Manual de Políticas Institucionales de Seguridad de la Información

Transcripción

1 UNIDAD DE GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Manual de Plíticas Institucinales de Seguridad de la Infrmación

2 UNIDAD DE GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Manual de Plíticas Institucinales de Seguridad de la Infrmación

3 El presente Manual cnstituye el cnjunt de Plíticas Institucinales de Seguridad de la Infrmación, aprbadas pr el Dr. Jsé Barbsa, Rectr Canciller de la UTPL y revisadas pr el cmité de Seguridad, integrad pr: Dr. Santiag Acsta Vicecanciller UTPL Dr. Rbert Beltrán Directr General Académic Ec. Ramir Armijs Directr Financier Lja Es deber de tds quienes sn parte de la UTPL cumplir cn las plíticas cntenidas en el presente manual

4 CONTENIDO 1. Plítica de gestión de Riesgs Plítica de Seguridad de la Infrmación Plítica de Respnsabilidad de la Seguridad de la Infrmación Plítica de Gestión de Activs Plítica de-seguridad Física en las Instalacines Plítica de Seguridad en las Cmunicacines y Operacines Plítica de Cntrl de Access Lógics Plítica de Adquisición, Desarrll y Mantenimient de Sistemas Infrmátics Plítica de Gestión de Incidentes de Seguridad Plítica de Cumplimient Plítica de Licenciamient de Sftware Plítica de Gestión del Servici 126

5 POLÍTICA DE GESTIÓN DE RIESGOS POLÍTICA DE GESTIÓN DE RIESGOS

6 CÓDIGO POL-GR 1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 8 RUBRO CARGO APROBADO POR: APROBADO POR: COMITE DE SEGURIDAD UTPL REVISADO POR: DESARROLLADO POR: JOSE BARBOSA RECTOR CANCILLER DR. SANTIAGO ACOSTA VICECANCILLER DR. ROBERTO BELTRÁN DIRECTOR GENERAL ACADÉMICO DRA. ROSARIO DE RIVAS DIRECTORA GENERAL MAD ECO. RAMIRO ARMIJOS DIRECTOR FINANCIERO LOJA MARÍA PAULA ESPINOZA DIRECTORA UGTI MARCO CEVALLOS GERENTE DE RIESGO

7 GESTIÓN DE RIESGOS E IMPLEMENTACIÓN DE CONTROLES 1. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Fecha de elabración: GESTIÓN DE RIESGOS BAJO DEMANDA 07/06/2011 Versión del dcument: OBJETIVOS Identificar y minimizar la prbabilidad de materialización de ls riesgs que puedan afectar a ls prcess crítics de la Institución, sprtads pr el ambiente tecnlógic. Identificar y minimizar la prbabilidad de materialización de riesgs que puedan afectar a ls pryects crítics. 3. NIVELES DE RESPONSABILIDAD ROL O CARGO DEL RESPONSABLE Cmité de Seguridad de UTPL Directr de UGTI / Gerente de Pryect. NIVEL DE RESPONSABILIDADO FUNCIONES Aprbar esta plítica y trgar lineamients y criteris generales para la gestión de riesgs. Aprbar accines y planes de mitigación de riesgs crítics que puedan afectar a ls prcess de Gestión Académica y Gestión Financiera. Revisar periódicamente el mapa de riesgs de tecnlgía que puedan afectar a ls prcess crítics de la Universidad: Prces de Gestión Académica y Prces de Gestión Financiera. Gestinar y dar seguimient a la implementación de cntrles para mitigar ls riesgs tecnlógics. Definir ls plazs de mitigación de cada riesg y un respnsable, basad en las sugerencias del Gestr de Riesg. Líderes de área Ejecutar ls planes de acción para mitigar ls riesgs identificads.

8 Gestr de Riesg Administrar el univers de riesgs tecnlógics u perativs que pueden afectar a ls prcess crítics de la Universidad. Recmendar y asesrar a la Dirección de UGTI y al Cmité de Seguridad en la tma de decisines definición de directrices para mitigar riesgs crítics. Presentar un infrme periódic sbre la expsición de riesg tecnlógic. Mantener infrmad de manera ejecutiva al Cmité de Seguridad sbre riesgs imprtantes y sus métds de mitigación. 4. DESCRIPCIÓN DE LA POLÍTICA 4.1. NORMAS Y DISPOSICIONES GENERALES Tds ls miembrs de la UGTI y de pryects crítics deben infrmar a la Unidad de Gestión de Riesgs la existencia de debilidades amenazas que puedan afectar a ls intereses de la Universidad. La Unidad de Gestión de Riesgs tiene la bligación de detectar y sugerir cntrles para mitigar ls riesgs identificads basándse en un plan de acción aprbad pr la UGTI. En cas de existir riesgs crítics que afecten significativamente a ls prcess de Gestión Académica y/ Gestión Financiera, el plan de acción debe aprbarl el Cmité de Seguridad de la UTPL. Ls riesgs crítics que serán infrmads al Cmité de Seguridad de UTPL deben presentar indicadres cm cst, valr y retrn de inversión, cn la finalidad de facilitar a ls niveles directivs la tma de decisines. En el Anex A se detallan las escalas de: a) Prbabilidad de currencia de un riesg; y, b) Impact en cas de materialización del rieg. Estas escalas han sid aprbadas pr el Cmité de Seguridad de UTPL. N se definirá cuantitativamente el apetit de riesg en términs ecnómics. Ls límites de apetit de riesg dependerán de cada pryect y deberán ser mitigads tds aquells riesgs que afecten a la peración Institucinal y/ al cumplimient de ls bjetivs principales de un pryect. Cualquier lineamient general cambi en la prirización de mitigación de riesg debe ser aprbada pr el Cmité de Seguridad de UTPL. En pryects estratégics cm Syllabus+ se deberá presentar un infrme de ls riesgs más imprtantes identificads al Cmité Impulsr cread para el efect. 5. MARCO DE REFERENCIA

9 La administración del riesg del pryect se basará en términs de prces en el estándar internacinal NIST SP para la gestión del riesg tecnlógic. 6. GLOSARIO DE TERMINOS Riesgs: Es la prbabilidad de que curra un event n desead, afectand en mayr menr medida a ls intereses de la Universidad. Plan de acción: Se refiere al plan de mitigación de riesg y ls actres invlucrads. Cmité de Seguridad de UTPL: De acuerd a la plítica Institucinal de Seguridad de la Infrmación, el cmité está cmpuest pr: 1. Presidida pr el Vicecanciller. 2. Directr General Académic. 3. Directr General de Mdalidad Abierta. 4. Directr General Administrativ Financier. Sin embarg, siempre estará asesrad pr el equip técnic de riesgs.

10 Escalas de impact de un riesg sbre alguns factres que pueden afectar a la Institución Muy baj Baj Mderad Alt Muy alt IMPACTO 0,05 0,1 0,2 0,4 0,8 Cualitativ Cuantitativ Objetivs Reputación e imagen Afectación al recurs human Legal Pérdida dañ insignificante. N aumenta las quejas de ls usuaris N hay impact negativ en el patrimni. Pérdida financiera <=$1000 Impact insignificante en el lgr de ls bjetivs. El event sl es de cncimient de ls ejecutivs directamente invlucrads Event que n casinó lesines u casinó lesines cn incapacidad de hasta 3 días Ls activs n se ven expuests a pérdidas ni cmprmetids pr vulnerabilidad de ámbit legal alguna. Las peracines n se ven afectadas. Ls pasivs y cntingentes se incrementan en un nivel insignificante. Pérdida dañ menr. Aumentan las quejas de ls usuaris. Impact mínim en el valr del patrimni (activs) Pérdida financiera > $1000 <= $ Impact menr que es fácilmente remediable. El event es de cncimient general de la rganización Event que casinó incapacidad de 3 días a 1 mes Ls activs se ven expuests a pérdida y cmprmetids en un nivel menr debid a la expltación de alguna vulnerabilidad en el ámbit legal. Las peracines se ven afectadas en un nivel menr. Ls pasivs y cntingentes se incrementan en un nivel n imprtante. Pérdida significativa. Reclams de usuaris a gran escala. Ptencial pérdida de valr en el patrimni Pérdida financiera >$ y <=$ Alguns bjetivs sn afectads El event es de cncimient a nivel lcal Event que casinó incapacidad de 1 mes hasta 3 meses Ls activs se ven expuests a pérdida y cmprmetids en un nivel mderad debid a algunas vulnerabilidades de ámbit legal. Las peracines se ven afectadas de manera negativa en un nivel cnsiderable. Ls pasivs y cntingentes se incrementan en un nivel imprtante. Pérdida dañ mayr. Investigación frmal del reguladr y aplicación de multas. Pérdida que afecta el valr del patrimni Pérdida financiera > $ y <=$ Alguns bjetivs imprtantes n pueden ser alcanzads. El event es de cncimient a nivel nacinal Event que casinó incapacidad de 3 a 6 meses Ls activs se ven expuests a pérdida y cmprmetids en un nivel grave debid a la expsición de varias vulnerabilidades de ámbit legal. Las peracines se ven afectadas negativamente en un nivel grave. Ls pasivs y cntingentes se incrementan de manera grave. Pérdida catastrófica. Riesg inaceptable en el sectr. Intervención de ente reguladr. Prduce quiebra de la entidad pne en peligr su cntinuidad. Pérdida financiera >$ La mayría de ls bjetivs n pueden ser alcanzads. El event es de cncimient a nivel internacinal Event que casinó pérdida de vidas humanas incapacidad permanente. Ls activs se ven expuests a pérdida y cmprmetids en un nivel critic debid a la expltación de varias vulnerabilidades de ámbit legal. Las peracines de la rganización fuern suspendidas. Ls pasivs y cntingentes se incrementan en un nivel crític. Escalas de prbabilidad de que un riesg se materialice Muy baja Baja Mderada Alta Muy alta Prbabilidad 0,10 0,30 0,50 0,70 0,90 Ha pasad Actualmente Nunca ha Ha pasad en Pasa la mayría Significad cntadas curre. / pasad alguna casión del tiemp casines Siempre curre

11 Escalas de impact de un riesg sbre alguns factres de cumplimient del pryect Muy baj Baj Mderad Alt Muy alt Objetivs del Pryect Recurss Tiemp Alcance 0,05 0,10 0,20 0,40 0,80 $0 - $2.000 <!% del pry. Aument del tiemp insignificante Variación del alcance apenas perceptible $ $6.000 < 2% del pry. Aument del tiemp < 5% Areas de alcance secundarias afectadas $ $ < 5% del pry. Aument del tiemp entre el 5% y 10% Areas de alcance principales afectadas $ $ > 5% del pry. Aument del tiemp entre el 10% y 20% Variacines en el alcance inaceptables pr el patrcinadr > $ < 15% del pry. Aument del tiemp > 20% El prduct final del pryect es inservible Calidad Degradación de la calidad apenas perceptible Sl alguns cmpnentes se ven afectads La reducción de calidad requiere de aprbación del patrcinadr Reducción en la calidad es inaceptable pr el patrcinadr El prduct final del pryect es inservible Dispnibilidad La n dispnibilidad del sistema n afecta en abslut a la gestión académica La n dispnibilidad del sistema afecta en l mínim a la gestión académica La n dispnibilidad del sistema n afecta cnsiderableme nte a la gestión académica La n dispnibilidad del sistema detiene pr cmplet el prces de gestión académica La dispnibilidad del sistema detiene casi pr cmplet el negci Cnfidencialidad La divulgación n autrizada de infrmación n prduce ningún incnveniente La divulgación n autrizada de infrmación puede afectar al pryect mínimamente La divulgación n autrizada de infrmación afecta al pryect cnsiderableme nte La divulgación n autrizada de infrmación afecta al pryect de manera crítica La divulgación n autrizada de infrmación puede traer cm cnsecuencia el detenimient casi ttal del pryect Integridad Fallas de integridad en la infrmación n afectan en abslut al pryect. Fallas de integridad en la infrmación n afectan mínimamente al pryect Fallas de integridad en la infrmación n afectan cnsiderableme nte al pryect Fallas de integridad en la infrmación n afectan de manera crítica al pryect Fallas de integridad en la infrmación pueden detener casi pr cmplet el pryect

12 Escalas de prbabilidad de que un riesg se materialice Muy baja Baja Mderada Alta Muy alta Prbabilidad 0,10 0,30 0,50 0,70 0,90 Ha pasad Actualmente Nunca ha Ha pasad en Pasa la mayría Significad cntadas curre. / pasad alguna casión del tiemp casines Siempre curre

13 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 13

14 CÓDIGO POL_UGTI_SEGURIDAD_V1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO DR. JOSÉ BARBOSA RECTOR CANCILLER ING. PAÚL SÁNCHEZ DIRECTOR DE UGTI (E) ING. MARCO CEVALLOS RESPONSABLE DE CONTROL INTERNO DE TI ING. JULIA PINEDA RESPONSABLE DE SEGURIDAD DE LA INFORMACIÓN

15 8. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLITICA POLÍTICA DE GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN (POL_UGTI_GTI) 12-OCT-2010 Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO Versión Mtiv Realizad Pr Fecha 1.0 Creación del Dcument Ing. Julia Pineda 12-OCT OBJETIVO Establecer ls lineamients necesaris que permitan resguardar la infrmación institucinal y ls recurss tecnlógics relacinads a su gestión y cnsum. 2. ALCANCE La presente plítica regirá para td el ambiente de tecnlgía de la infrmación y sus actres, tant peradres, administradres y beneficiaris de la UTPL en el campus Lja. 3. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES Es plítica de la Universidad generar nrmar de seguridad para: Definir un marc gerencial para iniciar y cntrlar la implementación de la seguridad de la infrmación, así cm para la distribución de funcines y respnsabilidades. La gestión de activs infrmátics para que ests reciban un aprpiad nivel de prtección. Asegurar a un nivel raznable que tds ls medis de prcesamient y/ cnservación de infrmación cuenten cn medidas de prtección física que eviten el acces y/ utilización indebida pr persnal n autrizad, así cm permitan la cntinuidad de las peracines.

16 El funcinamient crrect y segur de las instalacines de prcesamient de la infrmación y cmunicacines. Asegurar a un nivel raznable que la infrmación y la capacidad de prcesamient manual y autmátic, este dispnible en el mment necesari para usuaris autrizads. Cnsiderand la cntinuidad de la peración tecnlógica que sprta ls prcess institucinales. Asegurar que ls dats y/ transaccines cumplan cn ls niveles de autrización crrespndiente para su utilización y divulgación. El Registr e identificación inequívca de ls usuaris de ls sistemas. Evitar cass de suplantación de identidad pr medi de ls recurss tecnlógics. Mantener registrs de auditría de ls events currids así cm el respnsable de su ejecución. Mantener niveles de peración raznables en ls sistemas e infraestructura estratégica para la Universidad. La identificación de riesgs relacinads al ambiente tecnlógic que n permitan sprtar a la Universidad en su cumplimient de bjetivs. 4. RESPONSABILIDADES El Cmité de Seguridad de la Infrmación integrad pr: Vice-rectrad Directr Administrativ Financier Directr General Académic Este cmité tendrá la respnsabilidad de revisar y aprbar la Plítica de Seguridad de la Infrmación de la UTPL, así cm también; supervisar el Plan de Seguridad de la Infrmación de manera ejecutiva mediante: La revisión anual del Plan Estratégic del Área Seguridad La definición de pryects de tecnlgías que frtalezcan la Seguridad del Infrmación del Negci (Servici, Prduct e Infrmación). Aprbar el Manual de Gestión de Seguridad de la Infrmación y el plan de difusión respectiv, para lgrar el cmprmis de tds ls usuaris de la Universidad. El Área de Seguridad de la Infrmación elabrará las plíticas necesarias para prteger la infrmación generada en el ambiente tecnlógic de la UTPL. El Directr de cada dependencia, cumplirá la función de ntificar a td el persnal que ingresa de sus bligacines respect del cumplimient de la Plítica de Seguridad de la Infrmación y de tdas las nrmas, prcedimients y prácticas que de ella surjan. La Dirección de Unidad de Gestión de TI tiene la respnsabilidad de trgar las facilidades para la implementación del Sistema de Gestión de Seguridad de la Infrmación y tmar decisines estratégicas en el prces.

17 El Respnsable del Área Legal brindará la asesría necesaria en el ámbit legal y regulatri, así mism trgará ls lineamients necesaris para n incurrir en incngruencias legales dentr del ámbit de seguridad de la infrmación. El Área de cntrl Intern de TI, es respnsable de practicar auditrías periódicas sbre el cumplimient de las nrmas y prcedimients asciads al Sistema de Gestión de Seguridad de la Infrmación. 5. CONTROL DE CUMPLIMIENTO Y ACCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al departament de RRHH para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

18 ANEXOS TERMINOS Y DEFINICIONES Plítica General: Cntiene principis generales de seguridad de la infrmación sbre ls cuales deben basarse las nrmas, prcedimients y estándares técnics. Nrma: Definicines cncretas sbre cada un de ls temas de seguridad que lueg serán adaptads a cada recurs infrmátic en particular. Prcedimients: Detalle de curss de acción y tareas que deben realizar ls usuaris para hacer cumplir las definicines de las nrmas. Estándares técnics: Cnjunt de parámetrs específics de seguridad para cada una de las tecnlgías infrmáticas utilizadas. Cnfidencialidad: La infrmación sl puede ser cncida pr las persnas definidas. Integridad: La infrmación sl puede se creada y/ mdificada pr las persnas autrizadas. Dispnibilidad: La infrmación este dispnible cuand l necesite el usuari. Evaluación de Riesg: Se entiend pr evaluación de riesgs a valración de amenazas y vulnerabilidades relacinadas cn la infrmación y ls prcess que la cntienen en tres: dispnibilidad, integridad y cnfidencialidad. La evaluación de riesgs es un prces cíclic y debe ser llevad periódicamente. Administración de Riesgs: Es un prces en que se identifica, cntrla y minimiza elimina, a un cst aceptable, ls riesgs de seguridad que pueden afectar a la infrmación. Cmité de Seguridad de la Infrmación: Es un equip integrad pr representantes de las diferentes áreas de la rganización, destinad a apyar las iniciáticas de Seguridad de la Infrmación. Respnsable de Seguridad de la Infrmación: Persna que se encarga de supervisar el cumplimient de la presente plítica de seguridad y asesrar en materia de seguridad de la infrmación a ls miembrs de la rganización. Incidentes de Seguridad: Es cualquier event que cmprmeta la cnfidencialidad, integridad y dispnibilidad de la infrmación de la rganización.

19 POLÍTICA DE DE RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN

20 CÓDIGO POL_UGTI_RESPONSABLE- SEG_v1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA LÍDER DE SEGURIDAD DE LA INFORMACIÓN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD DE LA INFORMACIÓN DR. JUAN CARLOS ROMÁN DEPARTAMENTO LEGAL ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARITZA RUEDA SEGURIDAD DE LA INFORMACIÓN

21 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE DESCRIPCIÓN DE LA POLÍTICA...22 ORGANIZACIÓN INTERNA...22 Asignación de respnsabilidades en materia de seguridad de la infrmación...22 Definición del Cmité de Seguridad de la Infrmación...23 Respnsabilidades del Cmité de Seguridad de la Infrmación...23 Definición del Dueñ de Dats...24 Respnsabilidades del Dueñ de Dats...24 Definición del Área de Calidad, Riesgs y Seguridad...24 Respnsable del Calidad, Riesgs y Seguridad...25 Definición del Oficial de Seguridad...25 Respnsabilidades del Oficial de Seguridad...25 Definición de ls Administradres de ls Servicis...26 Respnsabilidades de ls Administradres de ls Servicis...26 Definición de Usuari final...26 Respnsabilidades del Usuari Final...26 Autrización para Instalacines de Prcesamient de Infrmación...27 Acuerds de cnfidencialidad...27 Revisión independiente de la seguridad de la infrmación...27 TERCEROS...27 Identificación de Riesgs Derivads del Acces de Tercers...27 Requerimients de Seguridad en Cntrats y Acuerds cn Tercers...27 Requerimients de Seguridad en Cntrats de Tercerización CONTROL DE CUMPLIMIENTO Y SANCIONES...29 ACUERDO DE CONFIDENCIALIDAD...31

22 9. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (POL_UGTI_SEGURIDAD) Octubre-2010 Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO 1.0 Versión Mtiv Realizad Pr Fecha Creación del Dcument Julia Pineda Maritza Rueda Octubre OBJETIVO Administrar adecuadamente la Seguridad de la Infrmación en la UTPL y establecer un marc gerencial para iniciar y cntrlar su implementación y establecer las funcines y respnsabilidades. Garantizar la aplicación de medidas de seguridad adecuadas pr tercers en el prcesamient de la infrmación interna de la UTPL. 11. ALCANCE La presente plítica regirá a td el ambiente de tecnlgía de la infrmación y sus actres, tant peradres, administradres y beneficiaris de la UTPL. 12. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES ORGANIZACIÓN INTERNA Asignación de respnsabilidades en materia de seguridad de la infrmación La Universidad deberá cnsiderar ls siguientes rles para llevar una adecuada administración de la Seguridad de la Infrmación.

23 TABLA 1 FUNCIONES REALACIONADAS CON SEGURIDAD DE LA INFORMACIÓN Función Respald de la Plítica de Seguridad Seguimient de la Plítica de Seguridad Clasificación de la infrmación Cumplimient de la Plítica de Seguridad Cntrl de la Plítica de Seguridad Rl Cmité de Seguridad Oficial de Seguridad Dueñ de Dats Usuaris finales Tercers y/ Persnal Cntratad Persnal de la Unidad de Gestión de TI Calidad, Riesgs y Seguridad Definición del Cmité de Seguridad de la Infrmación La seguridad de la infrmación es una respnsabilidad cmpartida cn tds ls miembrs de la Universidad, pr l cual se define un cmité de seguridad de la Infrmación que integra miembrs de la alta dirección para el apy de las iniciativas de seguridad de la infrmación. El cmité estará cnfrmad pr. Vice-rectrad Directr Administrativ Financier Directr General Académic Respnsabilidades del Cmité de Seguridad de la Infrmación Este cmité tendrá la respnsabilidad de revisar y aprbar la Plítica de Seguridad de la Infrmación de la UTPL, así cm también; supervisará el Plan de Seguridad de la Infrmación de manera ejecutiva mediante: La revisión anual del Plan Estratégic del Área Seguridad La definición de pryects de tecnlgías que frtalezcan la Seguridad del Infrmación del Negci (Servici, Prduct e Infrmación). Aprbar el Manual de Gestión de Seguridad de la Infrmación y el plan de difusión respectiv, para lgrar el cmprmis de tds ls usuaris de la Universidad.

24 Definición del Dueñ de Dats Sn tds ls respnsables de cada un de ls prcess y sistemas de infrmación que mantiene la Universidad. El ficial de Seguridad cnjuntamente cn cada líder UGTI sn ls respnsables de identificar ls dueñs de dats y hacer cncer a ls misms sus respnsabilidades. En esta identificación se debe determinar también: Infrmación Dueñ de Dats Recurss infrmátics que prcesan la infrmación Prces Invlucrad cn la infrmación TABLA 2 DUEÑO DE DATOS Infrmación Prpietari Recurs Asciad Prces invlucrad Respnsabilidades del Dueñ de Dats Deberá identificar tda la infrmación cnfidencial que crrespnda a su área de respnsabilidad directa cualquiera sea su frma y medi de cnservación, para prceder a clasificarla de acuerd a l establecid en la Plítica de Gestión de activs (POL_UGTI_GESTION-ACTIVOS). Deberá autrizar el acces a su infrmación a tda persna grup que requiera. Este acces cntemplará ls privilegis respectivs (lectura, escritura, actualización y eliminación). Pdrá delegar su función a persnal idóne, per cnservaran la respnsabilidad del cumplimient de la misma. Además, deberán verificar la crrecta ejecución de las tareas asignadas. La delegación de funcines debe quedar dcumentad pr el prpietaris e infrmadas al Oficial de Seguridad de dicha delegación. Definición del Área de Calidad, Riesgs y Seguridad La Universidad cm tda rganización maneja fluj cntinu de infrmación que mueve gran númer de las actividades de la institución, razón pr la cual se ha cnfrmad el Área de Seguridad de la Infrmación, cuys bjetivs sn: Desarrllar un grup frmal de administración de Seguridad en la UTPL, que trabaje en establecer mecanisms y plíticas de seguridad que minimicen ls

25 riesgs ptenciales. Disminuir el númer y criticidad de ls prblemas de seguridad. Difundir la cultura de la seguridad de la infrmación a ls usuaris finales. Desarrllar prcedimients de seguridad en las distintas platafrmas del campus. Ptenciar la frmación de Recurss Humans en el Área de Seguridad de la Infrmación. Definir una adecuada Gestión de Incidentes de Seguridad de la Infrmación. Respnsable del Calidad, Riesgs y Seguridad Deberá apyar al Oficial de Seguridad en la ejecución del plan de Seguridad de la Infrmación. Deberá participar en la implementación de ls pryects establecids en el plan de Seguridad de la Infrmación aprbads pr el cmité de Seguridad. Deberá investigar y dar seguimient a ls incidentes de seguridad de la infrmación. Deberá estar en cnstante innvación y capacitación en temas relacinads cn la Seguridad de la Infrmación. Deberá establecer prcedimients de Auditria a través de ls cuales se efectúen cntrles permanentes del crrect cumplimient de las medidas en el presente manual. Deberá realizar revisines independientes sbre la vigencia y el cumplimient de la presente plítica. Definición del Oficial de Seguridad El ficial de seguridad tiene a su carg la definición y el mantenimient del Manual de Gestión de Seguridad de la Infrmación y el asesramient a td el persnal de la Universidad para su implementación. Respnsabilidades del Oficial de Seguridad Deberá implementar un plan para cncientizar a la administración acerca de la imprtancia de dar seguridad según la criticidad de la infrmación manejada en cada servici. Deberá llevar a cab el mantenimient, aprbación, actualización, distribución y mnitre del Manual de Gestión de Seguridad de la Infrmación en base a ls requerimients futurs presentads pr nuevs servicis. Deberá implementar ls pryects de seguridad que se planteen en el Plan de Seguridad de la Infrmación de la Universidad. Deberá participar en la investigación y recmendacines de prducts de seguridad para la implementación de las medidas de seguridad en la Universidad.

26 Deberá dar sprte a ls usuaris en ls prcess de: Identificación de la infrmación sensible. Identificación de las medidas de seguridad necesarias en cada sistema para cumplir cn el Manual de Gestión de Seguridad de la Infrmación. Implementar dichas medidas. Deberá analizar e infrmar cualquier event que atente cntra la seguridad de la infrmación al Directr de la Unidad de Gestión de TI, así cm mnitrear periódicamente que slamente ls usuaris autrizads tengan access a ls sistemas. Deberá verificar la validez del plan aprbad para la Seguridad de la Universidad mediante un teste cnstante. Deberá smeter al plan de seguridad en una mejra cntinua. Llevar un registr actualizad de cntacts de tds ls administradres de ls servicis de la Universidad. Definición de ls Administradres de ls Servicis Se cnsidera a las persnas encargadas de llevar la administración de las aplicacines, servidres, bases de dats y equips de cmunicación existentes en la Universidad. Respnsabilidades de ls Administradres de ls Servicis Deberán implementar las medidas de seguridad dadas en el Manual de Gestión de Seguridad de la Infrmación a fin de garantizar la seguridad de su servici. Deberá participar activamente en las capacitacines y actualizacines periódicas para cncer el Manual. Deberá apyar a ls pryects que se planteen en trn al tema de seguridad de la infrmación. Deberá ser parte del desarrll e implementación del Plan de Seguridad de la Universidad. Definición de Usuari final Se cnsidera a td el persnal de la Universidad y/ tercers que hacen us de las aplicacines y la infrmación cn el bjetiv de pder cumplir cn sus crrespndientes funcines. Respnsabilidades del Usuari Final Deberá cumplir cn tdas las medidas de seguridad definidas en el Manual de Gestión de Seguridad de la Infrmación. Deberá participar activamente de las capacitacines periódicas para cncer el Manual de Gestión de Seguridad de la Infrmación.

27 Autrización para Instalacines de Prcesamient de Infrmación La inclusión de nuevs servicis para el prcesamient de la infrmación deberá ser autrizada pr el dueñ de dats invlucrad y pr el directr de la Unidad de Gestión de TI. El Área de Calidad, Riesgs y Seguridad deberá identificar e implementar cntrles de seguridad necesaris cntra psibles vulnerabilidades intrducids pr la implementación de nuevs sistemas e infraestructura que prcese infrmación. Acuerds de cnfidencialidad Tds ls administradres de servicis deberán firmar un Acuerd de Cnfidencialidad. Td el persnal que trabaja en el Área de Calidad, Riesgs y Seguridad deberá bligatriamente firmar un Acuerd de Cnfidencialidad, ests incluyen persnal de planta, becaris de investigación, tesistas y gestión prductiva. (Ver Plantillas Acuerd de Cnfidencialidad ) Revisión independiente de la seguridad de la infrmación Área de Calidad, Riesgs y Seguridad realizará revisines independientes sbre la vigencia e implementación de la Plítica de Seguridad de Infrmación, cn el fin de verificar y garantizar que las prácticas de la Universidad reflejen adecuadamente sus dispsicines. TERCEROS Identificación de Riesgs Derivads del Acces de Tercers En cas que sea necesari que un tercer tenga acces a infrmación servicis tecnlógics interns de la Universidad, el Oficial de Seguridad y el respnsable de la infrmación servicis tiene la respnsabilidad de dcumentar y realizar una evaluación de riesgs para definir ls cntrles necesaris, tmand en cuenta ls siguientes aspects: El tip de access que requiere El mtiv pr el que slicita el acces El valr de la infrmación Ls cntrles que tmará la tercera parte La incidencia del acces en la seguridad de la infrmación de la Universidad. N se trgará acces a tercers a la infrmación, hasta que se hayan implementad ls cntrles aprpiads y se haya firmad un cntrat acuerds de cnfidencialidad que definan las cndicines para la cnexión acces. Requerimients de Seguridad en Cntrats y Acuerds cn Tercers

28 Ls cntrats acuerds cn tercers que se efectúen deben tmar en cuenta: Cumplimient de la Plítica de Seguridad de la Infrmación de la UTPL Prtección de ls activs de la Universidad, incluyend: Prcedimients para prteger ls bienes de la Universidad, abarcand ls activs físics, la infrmación y el sftware. Cntrles para garantizar la recuperación destrucción infrmación y ls activs al finalizar el cntrat acuerd, durante la vigencia del mism. Definición de nivel de servicis esperad y del nivel de servici aceptable. Acuerds de cntrl de acces que cntemplen: Métds de access permitid, y el cntrl us de identificadres únics. Prcess de autrización y privilegis de usuaris. Requerimient para mantener actualizada una lista de de individus autrizads a utilizar ls servicis que han de implementarse y sus derechs y privilegis cn respect a dich us. Prcess clars y detallads para la administración de cambis. Cntrles que garanticen la prtección cntra sftware malicis. Acuerds de cnfidencialidad en ls cntrats Requerimients de Seguridad en Cntrats de Tercerización Ls cntrats acuerds de tercerización ttal parcial para la administración y cntrl de sistemas de infrmación, redes y/ ambientes de PC del Organism, cntemplarán además de ls punts especificads en ( Requerimients de Seguridad en Cntrats Acuerds cn Tercers, ls siguientes aspects: Acuerd de cnfidencialidad Frma en que se cumplirán ls requisits legales aplicables. Medis para garantizar que tdas las partes invlucradas en la tercerización, incluyend ls subcntratistas, están al crriente de sus respnsabilidades en materia de seguridad. Frma en que se mantendrá y cmprbará la integridad y cnfidencialidad de ls activs de la Universidad. Cntrles físics y lógics que se utilizarán para restringir y delimitar el acces a la infrmación sensible de la Universidad. Frma en que se mantendrá la dispnibilidad de ls servicis ante la currencia de desastres. Niveles de seguridad física que se asignarán al equipamient tercerizad. Derech a la auditría pr parte de la universidad sbre ls aspects tercerizads en frma directa a través de la cntratación de este servici. Se debe prever la factibilidad de ampliar ls requerimients y prcedimients de seguridad cn el acuerd de las partes.

29 Si el servici que se va cntratar es la instalación y/ cnfiguración de servidres, equips de cmunicación y/ aplicación, se deberá pedir al tercer que se realice un hardening de seguridad que debe de cntemplar cm mínim. Definición de access a ls servicis Cambi de cnfiguracines pr defect Cambi eliminación de archivs de instalación Ocultamient de versines Cambi eliminación de usuaris y claves pr defect Desinstalación de servicis innecesaris Cnfiguración de Firewall Eliminación de access a recurss innecesaris 13. CONTROL DE CUMPLIMIENTO Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

30 PLANTILLAS

31 ACUERDO DE CONFIDENCIALIDAD Y,...pr el presente dej cnstancia de haber recibid access a sistemas de seguridad e infrmación cnfidencial de la UTPL. Cmprmetiéndme a aceptar y cumplir cn tdas las plíticas, nrmas y estándares de seguridad infrmática de la universidad y, específicamente, a: N utilizar la infrmación para fines cntraris a ls intereses de la Universidad. El intent de ganar acces a recurss n asignads al mism será cnsiderad intent de vilación a la seguridad del sistema en el cual la universidad se reserva el derech de tmar las accines pertinentes al cas. N divulgar la infrmación btenida de ls sistemas de la Universidad. N revelar la cntraseña trgada. Mdificar la cntraseña al sspechar que esta haya sid descubierta. Aceptar las respnsabilidades sbre el us de mi cuenta de usuari. Utilizar ls sistemas de la Universidad únicamente para fines aprbads pr ésta. N permitir la utilización de la cuenta de usuari pr tercers. N realizar instalación de ningún tip de sftware n hmlgad pr la Universidad. Aceptar que tda la infrmación cnservada en ls equips infrmátics (archivs y crres electrónics residentes en servidres de dats centralizads y/ estacines de trabaj) es de prpiedad de la Universidad, pr l que pdrá ser administrada y/ mnitreada pr ls respnsables del área de sistemas de acuerd cn las pautas de seguridad definids. Efectuar la destrucción de td mensaje cuy rigen es descncid, y asumir la respnsabilidad pr las cnsecuencias que puede casinar la ejecución de cualquier archiv adjunt. En ests cass, n se deben cntestar dichs mensajes y debe ser enviada una cpia al

32 administradr de seguridad para que efectúe las tareas de seguimient e investigación necesarias. Descnectarse de la estación de trabaj crrespndiente, cada vez que finalice cn las tareas que en ella desarrlla, a fin de evitar el us de la clave pr tra persna En cas de incumplimient de las bligacines cntenidas en este dcument, recnzc el derech de la UNIVERSIDAD para reclamar las indemnizacines respectivas a través de tdas las accines judiciales cntempladas en la legislación vigente y presentar inclusive las accines penales a que hubiere lugar de acuerd cn l dispuest en la Ley de Prpiedad Intelectual. La terminación del presente acuerd, pr cualquier causa, n me libera de las bligacines de cnfidencialidad adquiridas en virtud del mism, respect a la infrmación que le haya sid revelada hasta la fecha de la terminación. Usuari:... Fecha de entrega:.../.../ Firma de usuari C.I:.

33 POLÍTICA DE GESTIÓN DE ACTIVOS 33

34 CÓDIGO POL_UGTI_GESTION- ACTIVOS_v1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: GESTIÓN DE ACTIVOS RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARITZA RUEDA SOPORTE TÉCNICO

35 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE DESCRIPCIÓN DE LA POLÍTICA INVENTARIO 36 CLASIFICACIÓN DE LA INFORMACIÓN CONTROL DE CUMPLIMIENTO Y SANCIONES ET1N02 INVENTARIO DE EQUIPO COMPUTACIONES E IMPRESORAS ET2N02 INVENTARIO DE SERVIDORES Y EQUIPOS DE COMUNICACIÓN ET3N02 INVENTARIO DE INFORMACIÓN ET5N02 INVENTARIO DE SERVICIOS... 43

36 14. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (POL_UGTI_SEGURIDAD) Nviembre-2010 Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO 1.0 Versión Mtiv Realizad Pr Fecha Creación del Dcument Julia Pineda Maritza Rueda Nvimebre OBJETIVO Alcanzar y mantener una prtección adecuada de ls activs e infrmación de la Universidad. 16. ALCANCE La presente plítica regirá para td el ambiente de tecnlgía de la infrmación y sus actres, tant peradres, administradres y beneficiaris de la UTPL. 17. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES INVENTARIO Tdas las área de la Unidad de Gestión de TI debe llevan un inventari de ls activs tecnlógics que manejan. Sprte Técnic deberá mantener un inventari actualizad de las PC s e impresras instaladas dentr de la Universidad. (Ver estándar: Inventari de equips cmputacinales e impresras) Infraestructura de TI deberá mantener un inventari de ls servidres, y equips de cmunicación activs existentes en la Universidad. (Ver estándar: Inventari de Servidres y Equips de cmunicación) Td PC s e impresras del campus, equips activs y servidres deberán estar etiquetads para su identificación y cntrl de inventari. Este etiquetad serán

37 realizad pr el departament de Activs Fijs. El área de Sprte Técnic y Infraestructura de TI cnjuntamente cn Activs Fijs deberán cntrlar periódicamente y actualizar el inventari de sus respectivs equips cada que exista una mvilización y/ nueva adquisición. Cada área de la Unidad de Gestión de TI deberá identificar la infrmación que sn prcesads pr ls sistemas infrmátics y clasificarls, para lueg realizar un inventari de esta infrmación y mantenerl actualizad. (Ver estándar: Inventari de Infrmación). Cada área de la Unidad de Gestión de TI deberá definir el inventari de servicis que presta a la UTPL y mantenerl actualizad. (Ver estándar: Inventari de Servicis) El área de Sprte Técnic y Infraestructura deberá establecer prcedimients para la mvilización, adquisición y dar de baja (de manera técnica) ls equip a su carg. CLASIFICACIÓN DE LA INFORMACIÓN Cada área de la Unidad de Gestión de TI cnjuntamente cn el dueñ de dats y el Oficial de Seguridad deberán clasificar la infrmación según ls siguientes tres criteris: Cnfidencialidad 0. PUBLICO: Infrmación que puede ser cncida y utilizada sin autrización pr cualquier persna, sea de la Universidad n. 1. RESERVADA USO INTERNO: Infrmación que puede ser cncida y utilizada pr tds ls empleads de la Universidad y algunas entidades externas debidamente autrizadas, y cuya divulgación us n autrizads pdría casinar riesgs pérdidas leves para la Universidad. 2. RESERVADA PRIVADA: Infrmación que sól puede ser cncida y utilizada pr un grup de empleads, que la necesiten para realizar su trabaj, y cuya divulgación us n autrizads pdría casinar pérdidas significativas a la Universidad. 3. RESERVADA CONFIDENCIAL: Infrmación que sól puede ser cncida y utilizada pr un grup muy reducid de empleads, generalmente de la alta dirección de la Universidad, y cuya divulgación us n autrizads pdría casinar pérdidas graves al mism. Integridad 0. Infrmación cuya mdificación n autrizada puede repararse fácilmente, n afecta la peratividad de la Universidad. 1. Infrmación cuya mdificación n autrizada puede repararse aunque pdría casinar pérdidas leves para a la Universidad. 2. Infrmación cuya mdificación n autrizada es de difícil reparación y pdría casinar pérdidas significativas para la Universidad. 3. Infrmación cuya mdificación n autrizada n pdría repararse, casinand pérdidas graves a la Universidad. Dispnibilidad

38 0. Infrmación cuya inaccesibilidad n afecta la peratria de la Universidad durante un mes. 1. Infrmación cuya inaccesibilidad permanente durante una semana pdría casinar pérdidas significativas para la Universidad. 2. Infrmación cuya inaccesibilidad permanente durante un día pdría casinar pérdidas significativas a la Universidad. 3. Infrmación cuya inaccesibilidad permanente durante 2 hras pdría casinar pérdidas significativas a la Universidad. Se asignará a la infrmación un valr pr cada un de ests criteris. Lueg, se clasificará la infrmación en una de las siguientes categrías: CRITICIDAD BAJA: ningun de ls valres asignads superan el 1. CRITICIDAD MEDIA: algun de ls valres asignads es 2 CRITICIDAD ALTA: algun de ls valres asignads es 3 Sól el Dueñ de dats puede asignar cambiar su nivel de clasificación. El Dueñ de dats cn apy del administradr del servicis deberá identificará ls recurss asciads (sistemas, equipamient, servicis, etc.) y ls perfiles funcinales que deberán tener acces a la misma. En adelante se mencinará cm infrmación clasificada ( dats clasificads ) a aquella que se encuadre en ls niveles 1, 2 3 de Cnfidencialidad. El Dueñ de dats deberá definir ls criteris utilizads para la depuración de dats y su peridicidad. 18. CONTROL DE CUMPLIMIENTO Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar. 19. REFERENCIAS Mdel de Plítica de Seguridad de la Infrmación para Organisms de la Administración Pública Nacinal, Versión 1, Juli Dispnible en: [Cnsulta ]

39 ET1N02 Inventari de equip cmputacines e impresras Equips cmputacinales N. Prpietari Lcalización Cmpnentes Tip Edifici Departament Área Nmbre Marca Mdel Serie Activs Aplicacines extras Sistema Operativ Memria RAM Prcesadr Garantía Observacines Impresras N. Prpietari Lcalización Edifici Departament Área Tip Marca Mdel Serie Activs Garantía Observacines

40 ET2N02 Inventari de Servidres y equips de cmunicación Servidres Nº Nm bre del servidr Dependencia Dats del Administradr Nm bre y Apellids Extensión Núm er de Celular Dats del Backup Nm bre y Apellids Extensión Núm er de Celular Servicis que presta Dirección IP Sistem as Operativs Nm bre del Sistem a Operativ Versión Marca Hardware del Servidr Type/Parte Number Mdel N/S Descripción Prcesadr Núm er Tip Velcidad (GHz) Mem ria Disc Intern Núm er Tam añ Tip Cnfiguración Disc Intern Núm er Tam añ Tip Cnfiguración Tarjeta de Red Núm er Velcidad Ubicación Física Lugar Rack Blade Center Núm er de BladeCenter Cuchilla Expiración de Garantía

41 Fecha de Inici de prducción Respalds Respalda? Tam añs de respalds (aprxim ad) Medi de respald Perid de respald Criticidad Observacines Dispsitivs de red # Dirección IP Hstname Ubicación Mdel Versión Serie Numer de Parte Tip de Dispsitiv Criticidad Garantía Observación

42 ET3N02 Inventari de Infrmación Nº Infrmación Clasificación (0-3) Cnfidencialidad Integridad Dispnibilidad Categría Prpietari Lcalización Medi frmat de almacenamient Observación

43 ET4N02 Inventari de Servicis Nº Área Servici Descripción del Servici Administradr del Servici Criticidad del Servici

44 POLÍTICA DE LA SEGURIDAD FÍSICA EN LAS INSTALACIONES 44

45 CÓDIGO POL_UGTI_SEG- FISICA_v1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: SEGURIDAD FÍSICA EN LAS INSTALACIONES RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARITZA RUEDA SOPORTE TÉCNICO

46 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES CONSIDERACIONES GENERALES...47 Cntrl de access...48 Factres de ambientales...48 Instalacines eléctricas...49 Mvilización de equips...49 Vigilancia...49 Ordenadres prtátiles y teletrabaj CONTROL DE CUMPLIMIENTO Y SANCIONES... 49

47 20. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (POL_UGTI_SEGURIDAD) Octubre-2010 Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO 1.0 Versión Mtiv Realizad Pr Fecha Creación del Dcument Julia Pineda Maritza Rueda Octubre OBJETIVO Mantener una adecuada prtección física de ls equips, sprtes de prcesamient, transmisión y cnservación de la infrmación de la Universidad. 22. ALCANCE La presente plítica regirá para td el ambiente de tecnlgía de la infrmación y sus actres, tant peradres, administradres y beneficiaris de la UTPL. 23. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES CONSIDERACIONES GENERALES El área de Infraestructura de UGTI deberá cntar cn un estándar para la Sala de Servidres, tmand en cuenta: Un sistema de climatización adecuada para el buen funcinamient de ls equips Sistemas de detección de hum y calr La prtección cntra access n autrizads Cablead de red y eléctric (Ejempl: rganización y etiquetad) Sistema Eléctric (ejempl: energía redundante, UPS s (Uninterrumpible

48 Pwer Supply), generadres, etc.) Tds ls servidres de la Universidad deberán ubicarse en la sala de servidres y clcarls en racks. Si algún administradr n clcara su servidr en dich lugar, este debe presentar pr escrit ls mtivs y justificación de est al Respnsable del equip de la Sala de Servidres. Se deberá realizar revisines periódicas, al mens una vez al añ, sbre el estad del cablead de red y sbre su rganización. Cntrl de access El líder del grup de Infraestructura de TI deberá establecer un equip de trabaj que se encargará de velar pr el buen estad, funcinamient y la buena presentación de la Sala de Servidres. Este equip debe estar cmpuest pr: Respnsable del equip de la Sala de Servidres. Respnsable de red. Respnsable de la parte eléctrica. Respnsable de Aire acndicinand. Respnsable de mantenimient de servidres. Ls líderes de las diferentes áreas de UGTI y el Oficial de Seguridad deberán elabrar un listad del persnal autrizad para ingresar a la Sala de Servidres. Estrictamente se debe apuntar a las persnas que pr el rl de sus funcines tiene que ingresar ctidianamente. Este listad deberá estar a carg del Respnsable del equip de la sala de servidres y el Oficial de Seguridad. Las nuevas slicitudes de acces a la sala de servidres, deberán ser evaluadas pr el Oficial de Seguridad de la Infrmación. Ls miembrs del equip de la Sala de Servidres deberá entregar al persnal autrizad una clave única, la que le permitirá ingresar a la sala de servidres y ser registrada en el Sistema de Cntrl de Access. Ls miembrs del equip de la Sala de Servidres y el Oficial de Seguridad deberá implementar cntrles para vigilar que el acces a la sala de servidres sea efectivamente pr el persnal autrizad. El persnal de Sprte Técnic deberán prtar un identificativ para realizar el mantenimient de sftware equip en las diferentes instalacines de la Universidad. Ls turs de visitas a la sala de servidres, deben ser realizadas cn la presencia de al mens un persnal de UGTI. Factres de ambientales El equip de la sala de servidres deberá gestinar mantenimient periódic para: UPS`s Aire acndicinad de la sala de servidres

49 Generadr eléctric del edifici de UGTI. Servidres Se deberá prhibir el ingres de aliments y bebidas en la sala de servidres. Instalacines eléctricas Las estacines de trabaj y a ls equips que sn cnsiderads vitales en la Universidad deberán estar cnectadas a un UPS y a un generadr. Previ a la instalación de equips infrmátics en la sala de servidres el área de Infraestructura de UGTI deberá realizar cálculs de la carga eléctrica requerida en la instalación, de ls tablers de distribución, así cm de ls circuits y cnexines que deben sprtar la carga adicinal pryectada. Mvilización de equips Debe existir prcedimients frmales para la mvilización adquisición de equip cmputacinales. Las mvilizacines de equips cmputacinales ls deberán se infrmadas y autrizads pr el persnal de Sprte Técnic. Vigilancia El persnal de vigilancia deberá registrar la rden de salida de ls equips para su mvilización fuera de las instalacines de la UGTI. Ordenadres prtátiles y teletrabaj Ls equips prtátiles usads pr ls administradres deben ser de prpiedad de la UTPL. Ls administradres n puede prtar infrmación sensible de la Universidad en medis extraíbles cm: discs, pen drive, teléfns celulares, etc, fuera de las instalacines de la Universidad. Ls administradres n puede trabajar cn equips prtátiles persnales ni prtar infrmación de la Universidad en ls misms. 24. CONTROL DE CUMPLIMIENTO Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

50 POLÍTICA DE SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES 50

51 CÓDIGO POL_UGTI_OPERACIONES_v1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARITZA RUEDA SOPORTE TÉCNICO

52 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE DESCRIPCIÓN DE LA POLÍTICA CONSIDERACIONES GENERALES...53 RESPONSABILIDADES Y PROCEDIMIENTO DE OPERACIÓN...53 CONTROL DE CAMBIO EN LAS OPERACIONES...54 SEPARACIÓN DE LOS RECURSOS DE DESARROLLO, PRUEBAS Y OPERACIÓN...55 PLANIFICACIÓN Y ACEPTACIÓN DEL SISTEMA...55 PROTECCIÓN CONTRA SOFTWARE MALICIOSO...56 RESPALDOS...56 ADMINISTRACIÓN DE SERVIDORES...58 GESTIÓN DE SEGURIDAD EN LA RED...59 Red Interna...59 Acces Remt...60 Red Inalámbrica...60 Mnitre CONTROL DE CUMPLIMIENTO Y SANCIONES ET1N05 CONFIGURACIÓN DE EQUIPOS COMPUTACIONALES ET2N05 LÍNEA BASE DE SERVIDORES PLANTILLA SOLICITUD DE INFORMACIÓN PARA CONFIGURACION DE ALARMAS SOLICITUD DE PERMISOS ASIGNACIONES PRVEEDORES DE ENLACES... 69

53 25. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (POL_UGTI_SEGURIDAD) Octubre-2010 Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO 1.0 Versión Mtiv Realizad Pr Fecha Creación del Dcument Julia Pineda Maritza Rueda Octubre OBJETIVO Asegurar la integridad, cnfidencialidad y dispnibilidad de la infrmación en su transmisión y recepción tant en una red interna cm externa. 27. ALCANCE La presente plítica regirá para td el ambiente de tecnlgía de la infrmación y sus actres, tant peradres, administradres y beneficiaris de la UTPL. 28. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES Cnsideracines Generales Tds ls equips de cmunicación, servidres y aplicacines deberán cntar cn sprte de direccinamient Dual Stack (IPv4 e IPv6). IPv6 deberá estar habilitad en tds ls servicis de la Universidad tant interns cm externs. Respnsabilidades y Prcedimient de Operación Se dcumentarán y mantendrán actualizads ls prcedimients perativs identificads en esta plítica y sus cambis serán autrizads pr el Oficial de

54 Seguridad. Ls prcedimients especificarán instruccines para la ejecución detallada de cada tarea, incluyend: Mnitre de red y servidres Administración de la W-LAN, LAN y WAN Administración de equip de seguridad (Firewall, Switch de Cre, IPS y IDS) Administración de Servidres Administración de servicis infrmátics Alta y baja de cuenta de usuari en tds ls sistemas Verificación de access Respalds Mantenimient de servidres Mantenimient de equip cmputacinales Mantenimient de equips de red Manej de incidentes de seguridad Recuperación de infrmación Cntrl de cambis En cada un de ls prcedimients se deberán especificar cuales sn ls respnsable de realizar las tareas en cada prcedimient. Se deberá establecer estándares de cnfiguración segura para las diferentes platafrmas bases cm sn: servidres (Windws, Linux, Slaris y Aix), equips de cmunicación de red y bases de dats. Cntrl de Cambi en las Operacines Se deberá cumplir el prces de cntrl de cambis para cualquier cambi que se requiera realizar en: infraestructura, sistema, cnfiguración en servidres, WAN, LAN y la incrpración de nuevs servicis tecnlógics. Se definirán prcedimients y estándares para cada área de TI para el cntrl de ls cambis en ls ambientes perativs y de cmunicación. Td cambi deberá ser evaluad en aspects técnics y de seguridad. El Oficial de Seguridad de Infrmación cntrlará que ls cambis en ls cmpnentes perativs y de cmunicación n afecten la infrmación y seguridad de ls misms. Cada líder tiene la respnsabilidad de evaluar el impact perativ de su área debid a ls cambis prevists y verificará su crrecta implementación. Ls prcedimients de cntrl de cambis deberán cntemplar l siguiente: Identificación y registrs de cambis significativs. Evaluación del psible impact. Evaluación de riesgs.

55 Aprbación frmal de de ls cambis prpuests. Planificación del prces de cambis. Pruebas del nuev escenari. Cmunicación de cambis a tds ls invlucrads. Identificación de las respnsabilidades pr la cancelación de ls cambis fallids y la recuperación respect a ls misms. Regirse a la Plítica de Cntrl de Cambis establecida (POL_UGTI_CAMBIOS). Separación de ls recurss de desarrll, pruebas y peración Ls ambientes de desarrll, prueba y peracines, siempre que sea psible, estarán separads preferentemente en frma física, y se definirán y dcumentarán las reglas para la transferencia de sftware desde el estad de desarrll hacia el estad perativ. Para ell, se tendrán en cuenta ls siguientes cntrles: Ejecutar el sftware de desarrll y de peracines, en diferentes ambientes de peracines, equips, directris. Separar las actividades de desarrll y prueba, en entrns diferentes. Impedir el acces a ls cmpiladres, editres y trs utilitaris del sistema en el ambiente perativ, cuand n sean indispensables para el funcinamient del mism. Utilizar sistemas de autenticación y autrización independientes para ls diferentes ambientes, así cm perfiles de acces a ls sistemas. Prhibir a ls usuaris cmpartir cntraseñas en ests sistemas. Las interfaces de ls sistemas identificarán claramente a qué instancia se está realizand la cnexión. Definir prpietaris de la infrmación para cada un de ls ambientes de prcesamient existentes. El persnal de desarrll n tendrá acces al ambiente perativ. De ser extrema dicha necesidad, se establecerá un prcedimient de emergencia para la autrización, dcumentación y registr de dichs access. Td servici deberá ser prbad y verificad su funcinamient en un ambiente de pruebas. Ls servicis que se estén prband para su peración también deberán pasar pruebas de seguridad. Planificación y aceptación del sistema Cada líder de las áreas UGTI, el persnal que éste designe, efectuará el mnitre de las necesidades de capacidad de ls servicis en peración y pryectará las futuras demandas, a fin de garantizar un prcesamient y almacenamient adecuads. Para ell tmará en cuenta ls nuevs requerimients de ls servicis así cm las tendencias actuales y pryectadas en el prcesamient de la infrmación de la Universidad para el períd estipulad de vida útil de cada cmpnente.

56 Ls líderes infrmarán las necesidades detectadas a las autridades cmpetentes para que puedan identificar y evitar ptenciales cuells de btella, que pdrían plantear una amenaza a la seguridad a la cntinuidad del prcesamient, y puedan planificar una adecuada acción crrectiva. El equip de cntrl de cambi deberán especificar ls criteris de aceptación para un nuev sistema servici tecnlógic a implementar en la UTPL. Debe cnsiderar ls siguientes punts: Verificar el impact en el desempeñ y requerimients de capacidad en ls equips infrmátics. Garantizar la recuperación ante errres. Garantizar la implementación acrde a las nrmas de seguridad establecidas. Asegurara que la nueva implementación n afectaran negativamente a ls sistemas existentes. Cnsiderar el efect en la seguridad de la Universidad cn la nueva implementación. Prtección cntra sftware malicis Las áreas de Sprte Técnic, y Calidad, Riesgs y Seguridad deberán definir e implementar cntrles de detección y prevención cntra códig maliciss. El equip de Calidad, riesgs y Seguridad desarrllará prcedimients adecuads para cncientizar a ls usuaris en materia de seguridad y cntrl de access a ls sistemas. Ests cntrles deberán cnsiderar las siguientes accines: Prhibir el us de sftware n autrizad pr la Universidad Instalar y actualizar periódicamente sftware de detección y reparación de virus, examinad cmputadras y medis infrmátics, cm medida precautria y rutinaria. Mantener ls sistemas al día cn las últimas actualizacines de seguridad dispnibles. Revisar periódicamente el cntenid de sftware y dats de ls equips de prcesamient que sustentan prcess crítics de la Universidad, investigand frmalmente la presencia de archivs n aprbads mdificacines n autrizadas. Verificar antes de su us, la presencia de virus en archivs de medis electrónics de rigen inciert, en archivs recibids a través de redes n cnfiables. Respalds Ls administradres de ls servicis y sus backp deberán mantener dcuments actualizads de plíticas y manuales de administración, cnfiguración y manej del sftware instalad en ls servidres y equips de cmunicación, y usuaris finales para la adecuada administración de ls misms. Ests dcuments deberán especificar:

57 fecha de creación versión del dcument cambis efectuads dats infrmativs de la persna que ls elabró aprbación Infraestructura de TI debe prveer al ls administradres de servicis un sistema de respalds cm: CD s, cintas, servidr de respalds cualquier tr medi de almacenamient. Ls administradres de ls servicis deberán respaldar el códig, dats, base de dats, cnfiguracines antes de aplicar cualquier cambi. Sl ls administradres de ls servidres y sus backup tiene acces al lugar de almacenamient de ls respalds dentr de la Universidad fuera de ella. Se deberá tener un lugar altern para guardar ls respalds físicamente, este lugar debe estar fuera de las instalacines del edifici de la UGTI. El lugar altern de respalds deberá cntar cn la infraestructura, medidas de seguridad y ambientales necesarias para mantener una adecuada rganización y clasificación de las cpias de respalds. Cada administradr deberá pririzar la infrmación según su nivel de imprtancia, (aplicand ls ítems mencinads en la Plítica de Gestión de Activs POL_UGTI_GESTION-ACTIVOS), y su cmprtamient para determinar la frecuencia de respalds. Se deberá trasladar de manera inmediata ls respalds residentes en el disc del cmputadr del administradr a dispsitivs secundaris cm CD s, cintas, cualquier tr tip de almacenamient en frma inmediata lueg de haber realizad esta tarea. La cpia de respalds si tuviere un us excesiv deberá reemplazarse periódicamente, antes de que el mism medi magnétic de almacenamient que la cntiene llegue a deterirarse. Al mment en que ls medi de respalds (cintas magnéticas, CD s, etc) deban desecharse, ests deberán ser destruids de frma segura para evitar cpias recuperación de la infrmación almacenada. Ls administradres de ls servicis y sus backup deberán verificar el funcinamient de ls medi de almacenamient antes de realizar el respald. Las cpias de respald deberán cnservase en armaris de acces restringid. El administradr principal y su backup deberán realizar pruebas periódicas para verificar la validez y funcinalidad de las mismas. Tda la infrmación respaldada será clasificada y etiquetada. En su medi de almacenamient debe incluir: nmbre del archiv, versión, aplicación sistema al que pertenece la infrmación, fecha de respald, persna que hiz el respald, ubicación física para su almacenamient. Ls administradres de ls servicis deberán llevar un registr de la infrmación respaldada para su fácil lcalización. Se deberá manejar plíticas y prcedimients para la administración, generación y

58 pruebas de respalds de infrmación. Administración de Servidres El respnsable de cada dependencia de la UTPL, dnde se administren servidres, debe asignar un administradr principal y de bakcup para ls equips. Ls administradres sn ls respnsables de establecer el manual de administración y cnfiguración de sus servicis, y slicitar y dcumentar ls permiss que sn necesaris para el funcinamient del servici. Cuand se implemente un nuev servici en prducción, el administradr tiene la respnsabilidad de slicitar al Área de Calidad, Riesgs y Seguridad un Reprte de vulnerabilidades de equip. El Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL debe realizar escane de vulnerabilidades a ls servidres de la Universidad y este debe entregar el reprte respectiv a cada administradr. El administradr y su backup debe dar respuesta a este reprte cn un infrme de ls huecs de seguridad arreglads. Se debe establecer una línea base del cmprtamient de ls servidres y equips de cmunicación para su mnitrización. Tds ls servidres y equips de cmunicación deben estar mnitreads pr el administradr de la red. Cm mínim deben mnitrearse: Dispnibilidad del Servici que presta el servidr Disc Prcesadr Memria Ls infrmes de mnitre deben ser enviads al administradr del servici cada mes cuand se presente una situación anrmal en el mism. Para el mnitre de la integridad del sistema de archivs de ls servidres se debe instalar un HIDS (Sistema de Detección de Intruss de Hst). Se puede utilizar siris para Windws y Linux. El administradr de la LAN cnjuntamente cn el administradr de cada servidr deben planificar cada 6 meses una depuración de permiss de red tant de intranet cm de internet para ls servidres que administran. La slicitud de permiss de red hacia ls servidres deben ser slicitads pr el administradr el backup del mism. Ls administradres de servidres deben cm mínim cnfigurar sus servidres baj el estándar técnic establecid (ver estándar: Línea base de servidres) El administradr de servidres debe infrmar al administradr del antivirus la presencia de códig malicis que n es detectad pr el antivirus de la institución. El administradr del antivirus debe reprtar l antes mencinad al prveedr de antivirus y dar un plan de acción al administradr. Tds ls servidres en prducción deben estar en una de las vlan s de servidres interns externs (DMZ Zna Desmilitarizada). En cas de que n sea psible est, el administradr de servidres se respnsabiliza pr la seguridad del mism.

59 Ls servidres interns n pdrán ser accedids desde una red externa cm Internet. En cas de ser estrictamente necesari este acces se l realizará a través de un mecanism segur cm una red privada virtual un canal dedicad. El administradr debe revisar periódicamente ls lg de auditría de su servidr. Cuand existan un cambi de administradres, se debe realizar la capacitación respectiva al nuev administradr y se debe realizar la entrega de manuales de administración y cnfiguración. Además, el nuev administradr debe prceder a realizar el cambi de claves de ls usuaris de administración, eliminar usuaris persnales del anterir administradr y depuración de permiss. En ls servidres de pruebas se debe implementar tds ls punts anterires de esta sección. Gestión de Seguridad en la red Red Interna El área de Infraestructura de TI deberá establecer estándares para el etiquetad y cablead estructurad de vz y dats. El área de Infraestructura deberá establecer estándares de cnfiguración para ls dispsitivs de red (firewall, ruter, switch) cn ls niveles de seguridad definids para cada servici. El área de Sprte Técnic deberá cnfigurar ls nuevs equips cmputacinales baj el estándar establecid (ver estándar: Cnfiguración de equips cmputacinales). N está permitid el us de módems en PC s que tengan también cnexión a la red lcal (LAN), a mens que sea debidamente autrizad. Tdas las cmunicacines de dats deben efectuarse a través de la LAN de la Universidad y las autrizacines pr parte del administradr, cn el fin de prevenir la intrusión de hackers. Tda estación de trabaj deberá estar asciad a una vlan dependiend de sus funcines. En ls segments de red de servidres interns y externs se debe establecer bligatriamente Listas de Cntrl de Access (ACL s) tmand en cuenta el principi del mínim privilegi. Si un usuari final necesita acceder a servicis externs de la UTPL que se encuentran restringidas (cm ftp, vpn s, escritri remt, etc), este debe realizar la slicitud pr medi de crre electrónic a cuentaseguridad@utpl.edu.ec (ver plantilla: Slicitud de Permiss). El persnal Sprte Técnic serán encargad de: primeramente validar la necesidad de l slicitad y realizar la asignación del permis en cas de que se requiera. Si un administradr de servicis necesita permiss adicinales a ls ya establecids en sus servidres, el únic persnal autrizad para slicitarls es el administradr del servici su backup. Ells deberán pr medi de crre electrónic a cuentaseguridad@utpl.edu.ec slicitar el permis (ver plantilla: Slicitud de Permiss). Estas slicitudes deberán ser atendidas pr el administradr de la LAN su backup, quienes sn ls únics autrizads para asignar permis de servidres. El administradr de la Red LAN debe tener dcumentad la asignación de IP s

60 públicas a ls servidres, equips cmputacinales y de red, tmand en cuenta: Justificación del us de la IP pública Vigencia de la asignación de la IP pública Permiss asignads a dicha IP pública Justificación de ls permiss asignads El Oficial de Seguridad deberá revisar cada tres meses la dcumentación de IP s Publicas asignadas y sus permiss asciads. Acces Remt Ls access remts a sistemas infrmátics de us intern deben estar debidamente autrizads pr el administradr del sistema y el Oficial de Seguridad. Se debe permitir acces remt (desde la red externa) a ls servidres, slamente a persnal autrizad e identificads dentr de la UTPL cm sn administradr y backup de un determinad servici. Para el acces remt a ls servidres se debe utilizar prtcls segurs cm SSH V2 para servidres Linux, Slaris, AIX, WMWare ESX, Rcks y MAC y mstsc para servidres Windws. Para la administración remta de ls servidres mediante aplicacines Web, se deberá bligatriamente habilitar SSL en la aplicación web (HTTPS). En cas de ser necesari el acces de tercers a la administración de un determinad servidr, el administradr de dich servidr y el Oficial de Seguridad sn ls respnsables de autrizar el acces. Las cnexines externas remtas deben ser autrizadas pr el Oficial de Seguridad. Las cnexines externas remtas se las debe establecer pr medi del servici de VPN (cisc /y utpl-explrer). Red Inalámbrica Infraestructura de TI deberá establecer ls Manuales de Cnfiguracines para Access Pint. El administradr de la red inalámbrica deberá desarrlla un Manual para usuari final en el que se presente pas a pas cm unirse a la red inalámbrica y ls psibles prblemas que puedan haber. Las redes WLAN deben ser asignadas a una subred dedicada y n cmpartidas cn una red LAN. La red WLAN es cnsiderada insegura, pr l que td el tráfic entre ella y la red crprativa debe ser filtrada. Ests filtrads deben ser aplicads principalmente a la red de servidres, pr l que n se permitir la administración de servidres desde la red inalámbrica. El acces a la administración de ls Access Pint ya sea pr ssh via web deben ser permitida sl al persnal autrizad. El Access Pint deberá estar cnfigurad bligatriamente cn una clave segura (ver estándar: Creación de cntraseñas para usuaris) mediante el mecanism de acces

61 WPA (Wi-Fi Prtected Access) para las red inalámbricas de us especific cm sn: Gubernativ Valle de Tecnlgía UGTI OUI Vide Cnferencia Salas de Reunines de Abierta Las claves de las redes inalámbricas prtegidas pdrán ser cambiads pr petición de un representante del departament al que pertenece la red. El administradr de la red inalámbrica deberá cambiar las claves de acces a la red cada 3 meses e infrmarle a cada departament. Realizar inspeccines físicas periódicas y emplear herramientas de gestión de red para revisar la red rutinariamente y detectar la presencia de punts de acces n autrizads. La instalación de un Access Pint sin autenticación deberá ser slicitada al líder de Infraestructura de TI. Cnjuntamente cn el Oficial de Seguridad el líder de Infraestructura de TI deberá evaluar ls riesgs a ls que está expuesta la infrmación que va a fluir en este canal insegur. Si el riesg es aceptable el administradr de la WLAN prcederá a instalar el Access Pint sin autenticación, cas cntrari se habilitará la autenticación. Mnitre El administradr de la red deberá estar mnitreand: Ls equips activs de red Ls enlaces de: Internet, centrs reginales asciads, videcnferencia y vz sbre IP. Cada administradr de ls servicis y equips activs deberá prprcinar al administradr de la red la infrmación que se slicite en la plantilla Cnfiguración de Alarmas (ver anex: Plantillas: Slicitud de Infrmación para Cnfiguración de Alarmas) para ser registrad en el mnitre y avis de alarmas que frece las herramientas de mnitre. El administradr de la red deberá cnfigurar en la herramienta de mnitre que ls aviss de alarmas llegue pr crre electrónic SMS. Ls tips de alarmas que se deberán cnfigurar sn ls siguientes: Ping: saturación Traps: anmalías Hst dwn: pérdida de cnectividad Almacenamient: almacenamient saturad El mnitre deberá ser habilitad las 24 hras x 7 días pr ls enlaces, equips activs y servidres.

62 El administradr de la red deberá evaluar la capacidad de ls enlaces semestralmente, cn ls administradres de las aplicacines invlucradas. El administradr de la red deberá cntactarse inmediatamente cn el prveedr del servici cuand haya pérdida de enlace (ver anex: Asignacines: Prveedres de Enlaces) El servicis de snmp (Prtcl Simple de Administración de Red) debe estar habilitad en ls dispsitivs de cmunicación para su mnitre, el acces a este servici debe ser sl para el servidr del NOC. Cuand en un dispsitiv de cmunicación deba habilitarse el servici de snmp, se deberá cnsiderar l siguiente: Utilizar snmp versión 3 El nmbre del cmmunity n puede ser fácil de adivinar cm: public, private, utpl. El cmmunity debe ser una palabra rbusta. En el cas de mnitre se debe habilitar un cmmunity sl para lectura. En cas que se requiera utilizar snmp para la administración se debe crear tr cmmunity para esta función, de igual manera debe ser una palabra rbusta y difícil de adivinar. Se debe habilitar listas de acces en ls dispsitivs de cmunicación a mnitrear para que el servidr de NOC pueda acceder al servici de snmp. 29. CONTROL DE CUMPLIMIENTO Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

63 ET1N05 Cnfiguración de equips cmputacinales Instalación y c nfiguración de básica de equips cm putacinales Instalación del sistem a perativ cn últim ServicesPack Excepción: aplicacines que n sn sprtada pr el últim ServicesPack Instalación de drives de audi, vide, y red Instalación de Antivirus y su actualización Instalación de sftware básic Micrsft ffice Adbe Prfesinal Winzip Winrar Activación de Firewall Activación de IPv4 y IPV6 Cnfiguración de nm bre del equip y nm bre de dm ini (ver estándar: Nm bre de equip y grup de trabaj) Cnfiguración de zna hrari (Bgtá-Lim a-quit GT+5) Cnfiguración del prxy en cas de ser necesari Cnfiguración del Nm bre de equip (Ejem pl: ct-sa2-001) cmpuest pr: Edifici Centr Departam ent Núm er Cnfiguración del Grup de trabaj: utpl.edu.ec

64 ET2N05 Línea base de servidres Instalación y c nfiguración de básica de servidres Instalación del sistem a perativ cn la últim a actualización del sistem as Instalación de Antivirus y su actualización Activación y cnfiguración de Firewall Cnfiguración de nm bre del equip Cnfiguración estática de red Cnfiguración de zna hrari (Bgtá-Lim a-quit GT+5) Desinstalación de sftware y servicis innecesaris Eliminación de archivs de instalación Eliminación de cuentas pr defect Cam biar el nmbre el nmbre del usuari de adm inistración Establecer cntraseña segura para las cuentas adm inistración según estándar Creación de cntraseñas para adm inistración (Plítica de Cntrl de Access Lógics POL_UGTI_ACCESOS) Dcum entar ls servicis levantads en el equip y el sftware instalad

65 PLANTILLA

66 SOLICIT UD DE INFORMACIÓN PARA CONFIGURACION DE ALARMAS DAT OS GENERALES Fecha: Administradr Principal Nm bres Cm plets: Dirección de crre electrónic: Núm er de Teléfn Móvil: Administradr Backup Nm bres Cm plets: Dirección de crre electrónic: Núm er de Teléfn Móvil: SERVIDOR Dirección IP Interna Dirección IP Externa SERVICIOS A MONIT OREAR Servicis a mnitrear Puerts T ip de Alarma

67 SOLICIT UD DE PERMISOS ############################################################## ## FORMATO DE SOLICITUD DE PERMISOS - SEGURIDAD UTPL ## ############################################################## * NOMBRE DEL RESPONSABLE:.. * JUSTIFICACION:.... * PERIODO DE TIEMPO: * DESCRIPCIÓN: IP ORIGEN IP DESTINO PUERTO.....

68 ASIGNACIONES

69 PRVEEDORES DE ENLACES ENLACE PROVEEDOR CONT ACT O TELEFÓNICO Terrestre CEDIA Claudi Chacón Terrestre GLOBALCROSSING Patrici Andrade Terrestre TELCONET Gustav Alarcón Terrestre TELCONECT-LOJA Efrain Encarnación Satelital GLOBALCROSSING Patrici Andrade

70 POLÍTICA DE CONTROL ACCESOS LÓGICOS 70

71 CÓDIGO POL_UGTI_ACCESOS_v1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: CONTROL DE ACCESOS LÓGICOS RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARITZA RUEDA SOPORTE TÉCNICO

72 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE RESPONSABILIDADES DESCRIPCIÓN DE LA POLÍTICA CONSIDERACIONES GENERALES...74 CREACIÓN DE USUARIOS...75 GESTIÓN DE ACCESOS DE USUARIOS...75 Registr de usuaris...75 Gestión de privilegis...75 Seguimient y Auditria...76 Gestión de cntraseñas de usuari...76 Revisión de ls derechs de acces de ls usuaris CONSECUENCIAS Y SANCIONES ET1N04 CREACIÓN DE CONTRASEÑAS PARA USUARIOS FINALES DE SISTEMAS O APLICACIONES ET2N04 CREACIÓN DE CONTRASEÑAS PARA ADMINISTRACIÓN... 79

73 30. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (POL_UGTI_SEGURIDAD) Nviembre Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO 1.0 Versión Mtiv Realizad Pr Fecha Creación del Dcument Julia Pineda Maritza Rueda Nviembre OBJETIVO Prteger la infrmación institucinal, nrmand el acces a través de ls sistemas infrmátics, cnsiderand: perfiles, permiss, cuentas, cntraseñas y prtectres de pantalla. 32. ALCANCE Las nrmas definidas en esta plítica cubren tda la infrmación que se encuentra almacenada y gestinada en activs tecnlógics. Su cumplimient es de carácter bligatri para quienes necesitan hacer us de a la misma. 33. RESPONSABILIDADES El Oficial de Seguridad Infrmación estará a carg de: Definir nrmas y prcedimients para: la gestión de access a tds ls sistemas, bases de dats y servicis de infrmación. Definir pautas de utilización de ls activs de infrmación institucinales para ls usuaris del área de TI. Participar en el cmité de cntrl de cambis y aprbar rechazar un cambi lueg de pseer un infrme de impact de las áreas invlucradas en el cambi. Verificar el cumplimient del prcedimient de cntrl de cambis Verificar el cumplimient de las pautas establecidas, relacinadas cn cntrl de access, registr de usuaris, administración de privilegis, administración de cntraseñas, utilización de servicis de red, prtección

74 de puerts, subdivisión de redes, cntrl de cnexines a la red, etc. Autrizará el acces remt a la administración de servicis crítics de la UTPL y a dats sensibles, verificand que se adpten tdas las medidas que crrespndan en materia de seguridad de la infrmación, de md de cumplir cn las nrmas vigentes. Ls administradres de ls servicis junt cn el Área de Calidad, Riegs y Seguridad estarán encargads de identificar ls riesgs a ls cuales se expne la infrmación cn el bjet de: Definir el plan de acción que permita mitigar ls riesgs encntrads en: ls cntrles de access y autenticación. Definir ls events y actividades de usuaris a ser registrads en ls sistemas de prcesamient de su incumbencia y la peridicidad de revisión de ls misms. El Área de Calidad, Riesgs y Seguridad en su defect quien sea prpuest pr el Cmité de Seguridad de la Infrmación, realizarán auditrias periódicas a ls sistemas, ls mism que tendrán acces a ls registrs de events a fin de clabrar en el cntrl y efectuar recmendacines sbre mdificacines a ls aspects de seguridad. El Dirección General de Recurss Humans se encargará de: Ntificar vía crre electrónic al Oficial de Seguridad el cambi de rl, la salida ingres de un emplead para que ls administradres de ls servicis prcedan a eliminar/crear inmediatamente access y permiss a ls sistemas infrmátics. Emitir un reprte mensual al Oficial de Seguridad en el que se detalle tds ls ingress y salidas de persnal. 34. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES Cnsideracines Generales Ls líderes de cada área de UGTI cnjuntamente cn el Dueñ del Servici tienen la respnsabilidad de crear prcess frmales para la gestión de usuaris de ls sistemas infrmátics, en ls cuales se debe cnsiderar: Definición de rles y perfiles El rl esta definid pr la función que cumple un usuari dentr de un sistema. El perfil es la descripción detallada de las transaccines que un usuari puede realizar en un sistema. En definitiva sn ls privilegis cn ls que cuenta un usuari. Prcedimient de autrización, acces y nivel de privilegis en ls sistemas. Prcedimient de entrega de usuaris y claves a ls sistemas de manera

75 adecuada y segura. Prcedimients de creación de usuaris. Prcedimient para dar de baja a ls usuaris en ls sistemas. Ls sistemas infrmátics deben estar cnfigurads de tal manera que la sesión de ls usuaris caduque cuand exista un tiemp de inactividad de 15 minuts. Est bligatriamente para ls sistemas definids cm crítics y para ls usuaris de administración de ls sistemas. Creación de Usuaris Cada administradr de servicis cnjuntamente cn el Dueñ del Servici deberán definir el fluj de autrización y prcedimient de creación de usuaris cnsiderand: las slicitudes y autrizacines, rles y perfiles. El nmbre de usuari debe estar cread según el estándar definid (Ver estándar: Creación de cuentas). Gestión de access de usuaris REGISTRO DE USUARIOS El líder de cada área de UGTI cnjuntamente cn el Dueñ del Servicis deben definir el fluj de autrización para el acces y el nivel de privilegis en ls sistemas. El trgamient de rles y perfiles de usuari deberá ser definid de acuerd al principi del mínim privilegi. Td el persnal de la UTPL tendrá asignad un nmbre únic de usuari y cntraseña para acceder a ls sistemas infrmátics permitids según su perfil. Si existe alguna excepción, esta debe ser autrizada pr el Oficial de Seguridad. Ls administradres de servicis deberán trgar acces a ls diferentes sistemas siempre que el slicitante psea la respectiva autrización. Ls administradres de cada servici deberá mantener actualizad sus registrs de usuari. Así cm una bitácra relacinada a access lógics de ls misms. Se debería mantener pcines y reprtes autmátics para btener ls listads necesaris de las cuentas y privilegis de ls usuaris en ls sistemas. GESTIÓN DE PRIVILEGIOS Cada aplicación debe gestinar el nivel de privilegis que tienen ls usuaris dentr del sistema infrmátic. Td el persnal de la UTPL debe estar asciad a un rl/perfil en ls sistemas infrmátics de acuerd a las actividades que realiza. Es respnsabilidad de ls administradres de servidres y servicis, la crrecta administración de las cuentas de acces, el trgamient de privilegis de acuerd a las autrizacines que se especifiquen en el fluj de autrización.

76 SEGUIMIENTO Y AUDITORIA Ls servicis de TI serán auditads pr el Área de Calidad, Riesgs y Seguridad. Se deberá activar el registr de auditría en ls servicis, servidres, equips de cmunicación y sistemas crítics, para aquells usuaris que mantengan privilegis administrativs. Ls registrs de auditria deberán ser eliminads periódicamente, para que n afecten el rendimient de ls servicis. GESTIÓN DE CONTRASEÑAS DE USUARIO Se debe aplicar el estándar de creación de cntraseñas seguras para el acces de usuaris finales a ls diferentes sistemas. (ver estándar: Creación de Cntraseñas para usuaris finales). Se debe aplicar el estándar de creación de cntraseñas seguras para el acces a la administración de ls sistemas, servidres equips de cmunicación (ver estándar: Creación de Cntraseñas para administración). Las claves de acces a ls sistemas deben ser prtegidas mediante cntrles criptgráfics. Ls sistemas crítics: Sistema de Gestión Académica y BAAN deben estar cnfigurads de tal manera que: Permitan al usuari cambie su clave bligatriamente cuand ingresa pr primera vez al sistema. Se debe utilizar un sistema de gestión de usuaris que permita: Blquear al usuari en la aplicación pr 15 minuts lueg de 3 intents fallids. Cambiar la cntraseña al mens cada 6 meses para ls usuaris finales, cn excepción del sistema BAAN que debe ser cambiad cada 3 meses. Y cada 3 meses para las cuentas administradres de servicis, servidres equips de cmunicación. Verificar la rbustez de las cntraseñas según estándar ET1N04 y ET2N04 Se debe cambiar inmediatamente la cntraseña al sspechar detectar que ha sid cmprmetida. Td el persnal de UGTI debe mantener sus equips de trabaj diari cm: PC, PORTATIL cn cntraseña de acces segura cuand n estén trabajand en ellas. REVISIÓN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS Ls líderes/jefes de área de UGTI serán respnsables de ejecutar una depuración de ls derechs y privilegis de acces de ls clabradres a su carg, tant en ls sistemas infrmátics, dispsitivs de red, bases de dats, servidres. Est se l debe realizar mínim ds veces al añ.

77 Ls administradres de servicis deberán reprtar trimestralmente al Oficial de Seguridad ls derechs y privilegis de acces de ls usuaris cn alts privilegis en ls activs de infrmación. 35. CONSECUENCIAS Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

78 ET1N04 Creación de cntraseñas para usuaris finales de sistemas aplicacines La cntraseña debe tener una lngitud mínima de seis caracteres La cntraseña debe ser una cmbinación de letras y númers. La cntraseña n debe estar cnfrmada pr nmbres palabras cmunes.

79 ET2N04 Creación de cntraseñas para administración La cntraseña debe tener una lngitud mínima de ch caracteres La cntraseña debe ser una cmbinación de letras mayúsculas, minúsculas, númers y caracteres especiales La cntraseña n debe estar cnfrmada pr nmbres palabras cmunes.

80 ET3N04 Creación de cuentas El nmbre de usuari estará cnfrmad pr: Letra del primer nmbre Letra del segund nmbre Apellid En cas que ya exista el nmbre de usuari agregar secuencia de númers Ejempl: Usuari: Pabl Andrés Díaz Patiñ Cuenta de usuari: padiaz (Si ya existe el usuari, se cambiaría apadiaz1)

81 POLÍTICA DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 81

82 CÓDIGO FECHA DE VIGENCIA VERSIÓN PÁGINAS POL_UGTI_SISTEMAS_v1.0 DESDE SU APROBACIÓN POLÍTICA: ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS INFORMÁTICOS RUBRO APROBADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARÍA EUGENIA ENRIQUEZ LÍDER DE SOLUCIONES DE NEGOCIOS REVISADO POR: ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS REALIZADO POR: ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARITZA RUEDA SOPORTE TÉCNICO

83 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE RESPONSABILIDAD DESCRIPCIÓN DE LA POLÍTICA REQUISITOS DE SEGURIDAD DE LOS SISTEMAS INFORMÁTICOS...85 Análisis y especificacines de ls requisits de seguridad Etapa de Análisis...85 Etapa de Diseñ...85 Etapa de Cdificación...86 Etapa Testing/QA...86 PROCESAMIENTO CORRECTO EN LAS APLICACIONES...86 Validación de dats...86 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA...86 Cntrles del sftware en expltación...86 Prtección de dats de pruebas del sistema...87 Cntrl de acces al códig fuente de ls prgramas...87 SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE...87 Prcedimients de cntrl de cambis...87 EXTERNALIZACIÓN DEL DESARROLLO DE SOFTWARE...88 Para la tercerización del desarrll de sftware CONSECUENCIAS Y SANCIONES... 89

84 36. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (POL_UGTI_SEGURIDAD) Ener-2011 Versión del dcument: 1.0 REGISTRO DE CAMBIOS DEL DOCUMENTO 1.0 Versión Mtiv Realizad Pr Fecha Creación del Dcument Maritza Rueda Julia Pineda Ener OBJETIVO Asegurar la inclusión de cntrles de seguridad y validación de dats en el desarrll de ls sistemas infrmátics. Definir y dcumentar las nrmas y prcedimients que se aplicarán durante el cicl de vida de ls aplicativs y en la infraestructura de base en la cual se apyan. 38. ALCANCE Esta Plítica se aplica a tds ls sistemas infrmátics, tant desarrlls prpis de tercers, y a tds ls Sistemas Operativs y/ Sftware de Base. 39. RESPONSABILIDAD El Oficial de Seguridad de la Infrmación junt cn el líder de Slucines de Negci, definirán ls cntrles a ser implementads en ls sistemas desarrllads internamente pr tercers, en función de una evaluación previa de riesgs. El Oficial de Seguridad de la Infrmación, junt cn el líder de Slucines de Negci definirán en función a la criticidad de la infrmación, ls requerimients de prtección mediante métds criptgráfics. Así mism, el Oficial de Seguridad de la Infrmación cumplirá las siguientes funcines: Definir ls prcedimients de administración de claves. Verificar el cumplimient de ls cntrles establecids para el desarrll y mantenimient de sistemas.

85 Definir prcedimients para: el cntrl de cambis a ls sistemas; la verificación de la seguridad de las platafrmas y bases de dats que sprtan e interactúan cn ls sistemas; el cntrl de códig malicis; y la definición de las funcines del persnal invlucrad en el prces de entrada de dats. Cntrl Intern realizará auditrias para verificar el cumplimient de las definicines establecidas sbre ls cntrles y las medidas de seguridad a ser incrpradas a ls sistemas. 40. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES REQUISITOS DE SEGURIDAD DE LOS SISTEMAS INFORMÁTICOS Cnsideracines generales La definición de requerimients deben estar regids pr la POLÍTICA INSTITUCIONAL DE DEFINICIÓN DE REQUERIMIENTOS PARA SISTEMAS DE INFORMACIÓN. Ls sistemas infrmátics deben autenticarse cntra el Directri Activ de la UTPL. Las sistemas infrmátics deben cntar cn un mduló de gestión de la aplicación, en el que se cntemple: Gestión de usuaris (creación, eliminación, desactivación de usuaris, entre trs) Gestión de privilegis Análisis y especificacines de ls requisits de seguridad. Etapa de Análisis Se debe incrprar ls requerimients referentes al cumplimient cn la nrmativa lcal (SRI, Cnesup, Nueva ley de Educación, Derechs de Prpiedad intelectual, etc.). Se debe identificar el tip de infrmación que se trasmitirá y prcesará (pública, privada, dats financiers, cntraseñas, etc). La aplicación debe prprcinar registrs de auditría. Etapa de Diseñ En esta etapa se definirá el diseñ de autrización (definición de rles, permiss y privilegis de la aplicación). Se debe realizar el diseñ de la frma de autenticación de ls usuaris así cm ls mecanisms para evitar psibles ataques.

86 Se debe realizar el diseñ de ls mensajes de advertencia y errr cn la finalidad de evitar que ests brinden demasiada infrmación la misma que puede ser aprvechada pr atacantes. Realizar la evaluación de riesgs rientada a sftware utilizand técnicas cm Threat Mdeling. Etapa de Cdificación En esta etapa se realizará la identificación de ls tips de vulnerabilidades las cuales se las puede dividir en ds: Vulnerabilidades clásicas: dentr de estas vulnerabilidades tenems errres de manej de sesines, desbrdamient, denegación de servicis. Vulnerabilidades funcinales: estas vulnerabilidades se refieren a la funcinalidad del la aplicación cn respect a ls requerimients de la aplicación (Que haga l que tiene que hacer) Se verificará que ls dats de entrada sean ls misms que ls de salida. Etapa Testing/QA Se deberá evaluar ls cntrles definids en las etapas anterires. Se debe crear un prces frmal de testing de seguridad para prbar la aplicación cn escenaris n planificads incluyend: Valres fuera de rang Valres de tip incrrect Accines fuera de rden PROCESAMIENTO CORRECTO EN LAS APLICACIONES Validación de dats Elabrar prcedimients frmales para la validación de ls dats de entrada, prcesamient y salida de ls sistemas. Una vez culminadas las pruebas a ls sistemas se debe elabrar un infrme frmal de tdas las actividades realizadas y ls resultads btenids. SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA Cntrles del sftware en expltación Tda aplicación desarrllada pr Slucines de Negci pr un tercer tendrá un únic Respnsable técnic designad frmalmente pr el líder de Slucines de Negci. Ls prgramadres analistas de desarrll y mantenimient de aplicacines n pueden acceder a ls ambientes de prducción.

87 Tdas las mdificacines que se realicen a algún sistema infrmátic en el ambiente de prducción deben estar regidas pr la Plítica de Cntrl de Cambis. Prtección de dats de pruebas del sistema Ls dats que sn utilizads para pruebas n pueden ser dats de las bases de dats que se encuentran en prducción. Si se realizan cpias de bases de dats perativas se deberá autrizar frmalmente y llevar un registr de las autrizacines realizadas. Cntrl de acces al códig fuente de ls prgramas En el área de Slucines de Negci debe existir una persna respnsable de administrar y custdiar ls prgramas fuentes, la misma que debe: Prveer ls prgramas fuentes slicitads para su mdificación. Llevar un registr frmal y actualizad de tds ls prgramas fuentes en us en el que se debe incluir (nmbre del prgrama, prgramadr, Analista Respnsable que autrizó, versión, fecha de última mdificación y estad: en mdificación, en prducción). Administrar las distintas versines de una aplicación. Asegurar que un mism prgrama fuente n sea mdificad simultáneamente pr más de un desarrlladr. Verificar que el Analista Respnsable que autriza la slicitud de un prgrama fuente sea el designad para la aplicación, cas cntrari se deberá rechazar el pedid. El administradr de prgramas fuentes n puede mdificar el códig de ls prgramas fuente baj su custdia. Td prgrama ejecutable en prducción debe tener un únic prgrama fuente asciad a este. Desarrllar un prcedimient que garantice que tda vez que se migre a prducción el módul fuente, se cree el códig ejecutable crrespndiente en frma autmática. Se debe realizar cpias de respald de ls prgramas fuentes cumpliend requisits de seguridad especificads en la sección POLÍTICA DE SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES. SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE Prcedimients de cntrl de cambis Se debe mantener un cntrl de versines para tdas las actualizacines de sftware.

88 La dcumentación se debe mantener actualizada para cada cambi implementad, tant en ls manuales de usuari cm en la dcumentación perativa. Ls requisits de seguridad que debe cumplir el sftware deben ser revisads pr el Oficial de Seguridad. Ls prpietaris de la infrmación deberán autrizar ls cambis si ests afectan al prcesamient de la infrmación de un determinad sistema. Las actividades relativas al cambi deben efectuarse en el ambiente de desarrll. Se debe garantizar que la discntinuidad de las actividades sea mínima durante la implementación de cambis y que ls prcess invlucrads n sean alterads. Regirse a la Plítica de Cntrl de Cambis EXTERNALIZACIÓN DEL DESARROLLO DE SOFTWARE Para la tercerización del desarrll de sftware Se establecerán acuerds de Licencias, prpiedad de códig y derechs cnferids (Derechs de prpiedad intelectual) Si se intercambia infrmación que es cnfidencial, se deberá generar un dcument/acuerd de cnfidencialidad entre la UTPL y el prveedr de servicis, ya sea cm parte del cntrat de tercerización en sí un acuerd de cnfidencialidad pr separad. Se debe verificar el cumplimient de las cndicines de seguridad cntempladas en la POLÍTICA DE DE RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIÓN. Se establecer cm requerimient a la calidad del códig. Se establecerá prcedimients para la certificación de la calidad del trabaj llevad a cab pr el prveedr, que incluyan auditrías, revisión de códig para detectar códig malicis, verificación del cumplimient de ls requerimients de seguridad del sftware establecids, etc. Deben regirse a las plítica establecidas pr el área de Slucines de Negci: POLÍTICA DE DOCUMENTACIÓN DE DESARROLLO DE SISTEMAS DE INFORMACIÓN (PROGRAMACIÓN) POLÍTICA DE DOCUMENTACIÓN DE PROYECTOS DE DESARROLLO Y/Ó IMPLEMENTACIÓN DE SISTEMAS DE INFORMACIÓN POLÍTICA DE DEFINICIÓN Y REVISIÓN DE PISTAS DE AUDITORÍA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN EN SERVICIOS TERCERIZADOS POLÍTICA DE DEFINICIÓN DE MULTAS Y SANCIONES POLÍTICA DE DOCUMENTACIÓN DE ACUERDO DE RESPONSABILIDAD

89 41. CONSECUENCIAS Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

90 POLÍTICA DE GESTIÓN DE INCIDENTES DE SEGURIDAD 90

91 CÓDIGO POL_UGTI_INCIDENTES_V1.0 FECHA DE VIGENCIA DESDE SU APROBACIÓN VERSIÓN 1.0 PÁGINAS 132 POLÍTICA: GESTIÓN DE INCIDENTES DE SEGURIDAD RUBRO APROBADO POR: REVISADO POR: REALIZADO POR: NOMBRE - CARGO ING. MARÍA PAULA ESPINOZA DIRECTORA DE UGTI ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIÓN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CÓRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. REBECA PILCO SEGURIDAD DE LA INFORMACIÓN

92 CONTENIDO 1. GENERALIDADES OBJETIVO ALCANCE DESCRIPCIÓN DE LA POLÍTICA CONSIDERACIONES GENERALES...94 CATEGORIZACIÓN DE INCIDENTES...95 COMUNICACIÓN DE INCIDENTES Y EVENTOS EN LA SEGURIDAD DE LA INFORMACIÓN...96 Reprte de Incidentes de Seguridad...96 Reprte de vulnerabilidades de Seguridad...96 Respnsabilidades del Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL...97 Escanes de Vulnerabilidades a ls Sistemas...97 Respnsabilidades del Administradr de Servidres...98 GESTIÓN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN...99 Respuesta de Incidentes CONTROL DE CUMPLIMIENTO Y SANCIONES PRO1N07 REPORTE DE INCIDENTES DE SEGURIDAD INFORMÁTICA PRO2N07 RESPUESTA DE INCIDENTES DE SEGURIDAD INFORMÁTICA ET1N07 FORMULARIO DE REPORTE DE INCIDENTES ET2N07 FORMULARIO PARA SOLICITAR EL ESCANEO DE VULNERABILIDADES ET3N07 FORMULARIO PARA EL REPORTE DE VULNERABILIDADES ET4N07 FORMULARIO DE RESPUESTA A INCIDENTES...110

93 42. GENERALIDADES Prces al cual pertenece: Frecuencia de ejecución: Tip de Dcument: Dcument Padre: Fecha de elabración: SEGURIDAD DE LA INFORMACIÓN CONTÍNUA POLÍTICA POLÍTICA DE GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN (POL_UGTI_GTI) Versión del Juli dcument: REGISTRO DE CAMBIOS DEL DOCUMENTO Versión Mtiv Realizad Pr Fecha 1.0 Creación del Dcument Rebeca Pilc Vivanc Juli OBJETIVO Establecer prcedimients para el reprte de incidentes, para garantizar que ls incidentes, events y debilidades en la seguridad de ls sistemas infrmátics se cmuniquen prtunamente y sean atendids de la mejr manera. Garantizar que se aplica un enfque cnsistente y eficaz para la gestión de ls incidentes de seguridad. Establecer respnsabilidades y prcedimients para el manej de incidentes de seguridad infrmática de manera efectiva. 44. ALCANCE La presente plítica regirá para td el ambiente de tecnlgía de la infrmación y sus actres, tant peradres, administradres y beneficiaris de la UTPL.

94 45. DESCRIPCIÓN DE LA POLÍTICA NORMAS Y DISPOSICIONES GENERALES Cnsideracines Generales El Área de Calidad, Riesgs y Seguridad, debe hacer cncer al persnal de la UTPL ls cntacts a ls que puede cmunicarse para el reprte de incidentes de seguridad infrmática. Es respnsabilidad del Área de Calidad, Riesgs y Seguridad, hacer cncer al persnal de la Universidad, sbre la existencia del Equip de respuesta a incidentes de seguridad infrmática (CSIRT). El Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL debe elabrar y publicar ls dats estadístics acerca de ls incidentes de seguridad que se prducen en la UTPL. El Área de Sprte Técnic escala al CSIRT-UTPL tds ls incidentes de ls usuaris que cincidan cn la categrización de incidentes del CSIRT-UTPL y que n cnsten en el catálg de servicis de Sprte Técnic. Tdas las actividades cncernientes al manej de incidentes se realizan en base a ls prcedimients definids para el manej de incidentes. Pr ningún mtiv se debe utilizar métds ilegales para la reslución de un incidente, se debe tmar en cuenta que ests métds n casinen accines legales psterires en cntra de la UTPL. Es imprtante tmar en cuenta la asesría legal para las accines a realizar en incidentes relacinads a: suplantación de identidad, acces a infrmación cnfidencial e incidentes relacinads cn ingeniería scial. Tda la infrmación relativa a ls incidentes reprtads, deben ser manejada cn ttal cnfidencialidad, la clasificación de la infrmación se realiza de acuerd a la Plítica de Gestión de Activs. Se debe tmar en cuenta mecanisms para la reclección de evidencia durante el prces de respuesta a incidentes, l que servirá de recurs necesari, en el cas de instancias legales.

95 Categrización de Incidentes En el Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL se ha catalgad cm incidente a cualquier event que esté directamente relacinad cn ls sistemas y servicis UTPL de acuerd a las siguientes categrías: Tabla1: Categrización de Incidentes CSIRT-UTPL Severidad (Gravedad) Clase de Incidente Tip de Incidente Grave - Medi -Leve Códig Malicis Virus Wrm Trjan Ataques DOS (denegación de Medi - Leve Denegación de Servicis (Dispnibilidad) servicis) Ataques Dss (denegación de servicis distribuids) Leve Cntenid Abusiv Acs Ingeniería Scial Grave - Medi -Leve Medi - Leve Recpilación de Infrmación Intents de Intrusión Suplantación de Identidad Scanning (Escane) Detección de Vulnerabilidades Expltación de Vulnerabilidades cncidas Intents de acces a un sistema Grave - Medi -Leve Ataques de Autenticación (Intrusines) Ataques pr fuerza bruta Explits Grave - Medi -Leve Mal us de Recurss Tecnlógics Vilación de Plíticas

96 Grave - Medi -Leve Acces n Autrizad Access n autrizads Rb de Infrmación Brrad de Infrmación Alteración de la Infrmación Cmunicación de incidentes y events en la seguridad de la Infrmación Reprte de Incidentes de Seguridad Td el persnal UTPL debe cncer ls prcedimients para realizar el reprte de incidentes, events y vulnerabilidades de seguridad de la infrmación que puedan tener impact en la seguridad de ls sistemas que administra (Ver Prcedimient: Reprte de Incidentes). Td el persnal UTPL debe infrmar de cualquier incidente event de seguridad infrmática al Área de Sprte Técnic de acuerd al prces establecid. (Ver Prcedimient: Reprte de Incidentes Sección: Usuaris que reprtan a Sprte Técnic). Ls Administradres de Servidres deben realizar el reprte de incidentes y events de seguridad infrmática directamente al Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL de acuerd a ls prcedimients definids. (Ver Prcedimient: PRO1N07 Reprte de Incidentes Sección: Administradres de Servidres que reprtan al CSIRT-UTPL). Reprte de vulnerabilidades de Seguridad El reprte de vulnerabilidades es respnsabilidad del Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL, en el que a través de escanes de vulnerabilidades y test de penetración se hace cncer al administradr de servidres el estad de seguridad de ls equips que administra. Tds ls administradres de servidres y usuaris de sistemas deben ntificar cualquier debilidad bservada en ls sistemas que administra. El Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL previ acuerd cn ls administradres de servidres deberá establecer un crngrama para realizar el

97 escane de vulnerabilidades y test de penetración a ls servidres de la UTPL, de acuerd a servidres crítics y n crítics. Ls administradres pueden slicitar que se realice el escane al equip que administran en base al frmat establecid. (Ver Estándar: Frmulari para slicitar el Escane de Vulnerabilidades). Respnsabilidades del Área de Calidad, Riesgs y Seguridad / CSIRT- UTPL Es respnsabilidad del Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL de: Realizar el enví de reprtes y escanes de vulnerabilidades de ls servidres de la UTPL de acuerd al crngrama previamente establecid cn ls administradres. El mnitre de IDS e IPS se l realizará de frma diaria, en el cas de que se registren alertas críticas, se enviará al Administradr del equip, un reprte en el que se indique, vulnerabilidades críticas, puerts abierts, y las alternativas de slución. Est se realizará utilizand el frmat de reprte crrespndiente. (Ver Estándar: Frmulari para el Reprte de Vulnerabilidades y Frmulari de Reprte de Incidentes). Reprtar ls incidentes de seguridad que sean ntificads al área pr entes interns extern a ls respectivs implicads cn el incidente. Crdinar el plan de acción para mitigar el incidente cn el administradr del servici afectad y/ ls invlucrads. Dar seguimient a la ejecución del plan de acción establecid para ls incidentes de seguridad y reprtar su avance semanalmente al Oficial de Seguridad. Escanes de Vulnerabilidades a ls Sistemas Ls escanes de vulnerabilidades a ls sistemas, deben ser realizads de acuerd a: Sistemas Crítics Se realizará el escane de vulnerabilidades a ls sistemas crítics cada tres (3) meses y cuand el administradr l slicite. Sistemas n Crítics Se realizará el escane de vulnerabilidades a ls sistemas n crítics cada seis (6) meses, y cuand el administradr l slicite.

98 La criticidad de ls sistemas es definida pr ls líderes de cada Área. Respnsabilidades del Administradr de Servidres Ls administradres de servidres, al mment de recibir el reprte de vulnerabilidades enviad, tienen un plaz máxim de cinc días para cmunicar al Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL que recibiern el reprte y que el mism será atendid en el plaz señalad pr ls administradres. Ls administradres de servidres deben ntificar al Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL sbre el avance del plan de acción para remediar y crregir ls incidentes vulnerabilidades reprtadas. Pr ninguna circunstancia ls administradres pueden prceder a realizar pruebas de las psibles vulnerabilidades encntradas en ls sistemas de prducción, si se requiere estas pruebas, se deben ser hechas en un ambiente de pruebas. El administradr en base a la infrmación recibida cn el apy del Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL debe descartar las vulnerabilidades que se cnsidere cm falss psitivs. Para las demás vulnerabilidades se deberá dar slución en base a las sugerencias descriptas en el reprte enviad. El administradr de servidres puede slicitar la clabración del Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL, para la revisión e indicacines de ls reprtes de vulnerabilidades y cualquier tra infrmación, cncerniente al tema de Seguridad. Si el Administradr n envía ls reprtes en el tiemp indicad se prcederá cn las siguientes accines: Infrme Enviad al Líder de Grup Si en ls treinta (30) días siguientes a la emisión de ls reprtes, n se emite la respuesta al infrme enviad, se enviará nuevamente el reprte, adjuntand un fici dirigid al Líder del Área. Lueg del infrme emitid al líder de grup, el administradr tiene un plaz de veinte (20) días labrables para enviar el infrme cn las crreccines realizadas. Ntificación enviada pr parte de Dirección UGTI Si lueg de enviar la ntificación al líder de Área n se ha recibid respuesta a ls reprtes enviads, se enviará un fici firmad pr la Dirección de UGTI, en la que se deslinda la respnsabilidad del Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL y en la que el únic respnsable de cualquier incidente de seguridad cn ls equips es el administradr del mism.

99 Gestión de Incidentes y Mejras en la Seguridad de la Infrmación Respuesta de Incidentes Una vez que se reciba un reprte de incidente de seguridad en al Área de Calidad, Riesg y Seguridad / CSIRT-UTPL, el afectad recibirá un acuse de recib indicand que el reprte ha sid recibid y será resuelt en el menr tiemp psible. La respuesta a Incidentes pr parte de Sprte Técnic y Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL debe realizarse en base a ls prcedimients establecids. (Ver Prcedimient: Respuesta de Incidentes de Seguridad Infrmática) Una vez resuelt el incidente, se enviará un infrme ejecutiv al persnal que infrmó del incidente y a la Dirección UGTI, jefes de Áreas que requieran la infrmación del incidente. Se debe realizar un infrme técnic, el mism que será realizad en base al frmat establecid, este infrme queda archivad en el Área de Calidad, Riesgs y Seguridad / CSIRT-UTPL, y es entregad en el cas de que sea requerid pr la parte afectada (Ver Estándar: Frmulari de Respuesta a Incidentes). Se debe infrmar cnstantemente acerca de la reslución del incidente a las persnas que reprtarn el mism. Si la persna l slicita se envía el reprte técnic de la reslución del incidente, cas cntrari, slamente se envía el infrme ejecutiv de reslución del incidente reprtad. Ls reprtes de incidentes y vulnerabilidades, y ls infrmes ejecutivs sn de carácter cnfidencial. Se deberá enviar mensualmente al Oficial de Seguridad y al Gerente de Aseguramient de la Calidad y Riegs las estadísticas de l incidentes y vulnerabilidades atendidas pr el CSIRT-UTPL. 46. CONTROL DE CUMPLIMIENTO Y SANCIONES En cas de existir incumplimient de la presente Plítica de Seguridad de la Infrmación pr parte de un trabajadr de la Universidad, se cmunicará al Dirección General de Recurss Humans para que tmen las medidas de sanción respectivas pr incumplimient de acuerd a las nrmativas internas ficiales a mas de las respnsabilidades civiles y penales a que hubiere lugar.

100 PRO1N07 Reprte de Incidentes de Seguridad Infrmática Usuaris que reprtan a Sprte Técnic El usuari debe pnerse en cntact cn ls agentes del Área de Sprte Técnic para reprtar ls incidentes de seguridad. Sprte Técnic atenderá ls reprtes de incidentes de seguridad que se encuentran en su base de cncimient, cas cntrari, el reprte se escala al Área de Seguridad / CSIRT-UTPL. Administradres de Servidres que reprtan al Área de Seguridad / CSIRT-UTPL Ls incidentes de seguridad infrmática pueden ser reprtads pr ls siguientes medis: Crre Electrónic: El frmulari debe ser enviad al Equip CSIRT-UTPL pr (csirtutpl@utpl.edu.ec). (Ver Estándar Técnic: Reprte de Incidentes ET01N07) Persnalmente Via Web: (Sección: Reprta tu Incidente) Una vez que se ha recibid el reprte de incidente en el Área de Seguridad / CSIRT- UTPL, se envía al usuari un acuse de recib de que el infrme se recibió y será atendid en el menr tiemp psible.

101 PRO2N07 Respuesta de Incidentes de Seguridad Infrmática Lueg de recibir el reprte de incidente pr parte del usuari, el agente de mesa de servicis revisará si el incidente reprtad está en la base de cncimients y brindar la slución al incidente reprtad. Si el incidente n está en la base de cncimient de Sprte Técnic escala al Área de Seguridad / CSIRT-UTPL. Fig. 1: Prces de Respuesta Sprte Técnic Respuesta al Incidente - Área de Seguridad / CSIRT-UTPL Cuand se reciba el reprte de incidentes en el Área de Seguridad / CSIRT-UTPL, se debe realizar el prcedimient definid en para la Gestión de Incidentes, el primer prces a realizar es triage de la infrmación recibida. En el prces de triage se determina si el reprte recibid crrespnde a un incidente, vulnerabilidad infrmación general. Si se determina que es un incidente, se asigna el tiemp y recurss para su atención y respuesta.

102 Fig. 2: Prces de Respuesta a incidentes Si el reprte crrespnde a una vulnerabilidad, se brinda infrmación y clabración para mitigar el prblema, (búsqueda de parches, e infrmación general). Ls prcess que se realizan durante la respuesta al incidente deben ser realizads en base al prcedimient para la Gestión de Incidentes realizada.