POLTICAS Y NORMAS DE SEGURIDAD INFORMTICA

GS-GESTIN DE SOPORTE EN SISTEMAS ING. ALVARO ARRIETA

Version 1.0
2011

I.

INTRODUCCIN

En una organizacin la gestin de seguridad puede tornarse compleja y difcil de reali

zar, esto no por razones tcnicas, mas bien por razones organizativas, coordinar t
odos los esfuerzos encaminados para asegurar un entorno informtico institucional,
mediante la simple administracin de recurso humano y tecnolgico, sin un adecuado
control que integre los esfuerzos y conocimiento humano con las tcnicas depuradas
de mecanismos automatizados, tomar en la mayora de los casos un ambiente inimagin
ablemente desordenado y confuso, para ello es necesario emplear mecanismos regul
adores de las funciones y actividades desarrolladas por cada uno de los empleado
s de la corporacin.
El documento que se presenta como polticas de seguridad, integra estos esfuerzos
de una manera conjunta. ste pretende, ser el medio de comunicacin en el cual se es
tablecen las reglas, normas, controles y procedimientos que regulen la forma en
que la Corporacin, prevenga, proteja y maneje los riesgos de seguridad en diversa
s circunstancias.
Las normas y polticas expuestas en este documento sirven de referencia, en ningn m
omento pretenden ser normas absolutas, las mismas estn sujetas a cambios realizab
les en cualquier momento, siempre y cuando se tengan presentes los objetivos d
e seguridad de la informacin y los servicios prestados por la red a los usuarios
finales.
Toda persona que utilice los servicios que ofrece la red, deber conocer y aceptar
el reglamento vigente sobre su uso, el desconocimiento del mismo, no exonera de
responsabilidad al usuario, ante cualquier eventualidad que involucre la seguri
dad de la informacin o de la red institucional.
En la actualidad la cultura informtica que se ha creado como consecuencia de la m
ayor disponibilidad de recursos informticos, ha creado nuevas necesidades y han h
echo ver las posibilidades que se tienen al utilizar las herramientas computaci
onales para facilitar el cumplimiento misional de la CVS, pero tambin esta expans
in ha mostrado que se debe hacerse de una manera planificada con el fin de optimi
zar los recursos en el presente y proyectarlos para que cumplan su objetivo fina
l en el futuro.
El rea mas susceptible a cambios, en una organizacin de cualquier
tipo que haya optado por organizar los sistemas de informacin de
manera

digital como una herramienta fundamental de trabajo y de planificacin, es la de S

istemas, ya que ella esta influenciado por un medio altamente dinmico, donde da a
da nacen, se adoptan, y se implantan nuevas tecnologas, razn por la cual se debe c
ontar con una serie de normas que le permita mantener un norte fijo y no perder
de vista los objetivos de la organizacin.
En trminos generales el manual de normas y polticas de seguridad informtica, englob
a los procedimientos ms adecuados, tomando como lineamientos principales cuatro c
riterios, que se detallan a continuacin:
Seguridad Organizacional
Dentro de este, se establece el marco formal de seguridad que debe sustentar la
corporacin, incluyendo servicios o contrataciones externas a la infraestructura d
e seguridad, Integrando el recurso humano con la tecnologa, denotando responsabil
idades y actividades complementarias como respuesta ante situaciones anmalas a la
seguridad.
Seguridad Lgica
Trata de establecer e integrar los mecanismos y procedimientos, que permitan mon
itorear el acceso a los activos de informacin, que incluyen los procedimientos de
administracin de usuarios, definicin de responsabilidades, perfiles de seguridad,
control de acceso a las aplicaciones y documentacin sobre la gestin de soporte en
sistemas, que van desde el control de cambios en la configuracin de los equipos,
manejo de incidentes, seleccin y aceptacin de sistemas, hasta el control de softw
are malicioso.
Seguridad Fsica
Identifica los lmites mnimos que se deben cumplir en cuanto a permetros de segurida
d, de forma que se puedan establecer controles en el manejo de equipos, transfer
encia de informacin y control de los accesos a las distintas reas con base en la i
mportancia de los activos.
Seguridad Legal
Integra los requerimientos de seguridad que deben cumplir todos los empleados y
usuarios de la red institucional bajo la reglamentacin de la normativa interna de
polticas y manuales de procedimientos de la Corporacin en cuanto al recurso human
o, sanciones aplicables ante faltas cometidas, as como cuestiones relacionadas co
n la legislacin del pas y contrataciones externas.

II.

GENERALIDADES

INSTRUCCIONES DE INTERPRETACIN
La informacin presentada como normativa de seguridad, ha sido organizada de maner
a sencilla para que pueda ser interpretada por cualquier persona que ostente un
cargo de empleado o terceros con un contrato de trabajo por servicios en la Corp
oracin Autnoma Regional de los Valles del Sin y del San Jorge - CVS, con conocimien
tos informticos o sin ellos.
Las
polticas
fueron creadas segn el
contexto
de
aplicacin
, organizadas por niveles de seguridad y siguiendo un entorno de desarrollo, sob

re la problemtica de la Corporacin o previniendo futuras rupturas en la seguridad,

aplicada sobre los diferentes recursos o activos de la Corporacin.
El esquema de presentacin del documento consta de tres secciones, la primera que
trata especficamente de las polticas de seguridad, las cuales estn organizadas por
niveles, dentro de stos se engloban los dominios que se detallan en el texto subs
iguiente a estas lneas.
La segunda seccin esta integrada por lo que son las normas de seguridad, que tien
en una relacin directa, en base a la ejecucin y soporte de las polticas de segurida
d informtica. Estas siguen el mismo enfoque organizativo que las polticas, con la
salvedad de seguir un enlace figurativo sobre cada poltica dentro del dominio CVS
.
Los niveles de seguridad fueron organizados constatando un enfoque objetivo de l
a situacin real de la Corporacin, desarrollando cada poltica con sumo cuidado sobre
qu activo proteger, de qu protegerlo cmo protegerlo y por qu protegerlo; Los mismos
se organizan siguiendo el esquema, normativo de seguridad, ISO 17799 (mejores p
rcticas de seguridad) y que a continuacin se presenta:
Nivel de Seguridad Organizativo:
Seguridad Organizacional
Polticas de Seguridad
Excepciones de Responsabilidad
Clasificacin y Control de Activos:
Responsabilidad por los Activos
Clasificacin de la Informacin

Seguridad Ligada al Personal

Capacitacin de Usuarios
Respuestas a Incidentes y Anomalas de Seguridad
Nivel de Seguridad Fsica:
Seguridad Fsica
Seguridad Fsica y Ambiental
Seguridad de los Equipos
Controles Generales
Nivel de Seguridad Lgico:
Control de Accesos
Administracin del Acceso de Usuarios
Seguridad en Acceso de Terceros
Control de Acceso a la Red
Control de Acceso a las Aplicaciones
Monitoreo del Acceso y Uso del Sistema
Nivel de Seguridad Legal:
Seguridad Legal
Conformidad con la Legislacin
Cumplimiento de Requisitos Legales
Revisin de Polticas de Seguridad y Cumplimiento Tcnico
o Consideraciones Sobre Auditorias de Sistemas
El lector de las polticas y normas deber enmarcar sus esfuerzos sin importar el ni
vel organizacional en el que se encuentre dentro de la Corporacin, por cumplir to
das las polticas pertinentes a su entorno de trabajo, utilizacin de los activos o
recursos informticos en los que ste se desenvuelve.

DEFINICIN DE NORMAS Y POLTICAS DE SEGURIDAD INFORMTICA

Que son las normas de seguridad?

Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles

con el propsito de dar respaldo a las polticas de seguridad y a los objetivos desa
rrollados por stas, a travs de funciones, delegacin de responsabilidades y otras tcn
icas, con un objetivo claro y acorde a las necesidades de seguridad establecidas
para el entorno administrativo de la red institucional.
Que son las polticas de seguridad?

Son una forma de comunicacin con el personal, ya que las mismas constituyen un ca
nal formal de actuacin, en relacin con los recursos y servicios informticos de la o
rganizacin. Estas a su vez establecen las reglas y procedimientos que regulan la
forma en que una organizacin previene, protege y maneja los riesgos de diferentes
daos, sin importar el origen de estos.

IMPORTANCIA DE LOS MANUALES DE NORMAS Y POLTICAS

Como parte integral de un Sistema de Gestin de Seguridad de la Informacin (SGSI),
un manual de normas y polticas de seguridad, trata de definir; Qu?, Por qu?, De qu? y
? se debe proteger la informacin. Estos engloban una serie de objetivos, establec
iendo los mecanismos necesarios para lograr un nivel de seguridad adecuado a las
necesidades establecidas dentro de la Corporacin. Estos documentos tratan a su v
ez de ser el medio de interpretacin de la seguridad para toda la organizacin.

ORGANIZACIN DE LA SEGURIDAD INFORMTICA

DIRECCION
Autoridad de nivel superior que integra el comit de seguridad. Bajo su administra
cin estn la aceptacin y seguimiento de las polticas y normativa de seguridad en conc
ordancia con las autoridades de nivel superior.
COORDINADOR DE SISTEMAS
Persona dotada de conciencia tcnica, encargada de velar por la seguridad de la in
formacin, realizar auditorias de seguridad, elaborar documentos de seguridad como
, polticas, normas; y de llevar un estricto control con la ayuda de la unidad de
informtica referente a los servicios prestados y niveles de seguridad aceptados p
ara tales servicios.
UNIDAD DE SISTEMAS
Entidad o Departamento dentro de la Corporacin, que vela por todo lo relacionado
con la utilizacin de computadoras, sistemas de informacin, redes informticas, proce
samiento de datos e informacin y la comunicacin en s, a travs de medios electrnicos.
RESPONSABLE DE ACTIVOS

Personal dentro de los diferentes departamentos administrativos de la Corporacin,

que velar por la seguridad y correcto funcionamiento de los activos informticos,
as como de la informacin procesada en stos, dentro de sus respectivas reas o niveles
de mando. (Lideres de Procesos)

III.

MARCO LEGAL

La elaboracin del manual de normas y polticas de seguridad informtica, est fundament

ado bajo la norma ISO/IEC 17799, unificada al manual interno de trabajo y el man
ual de normas y polticas de recurso humano de la Corporacion Autnoma Regional de l
os Valles del Sin y del San Jorge - CVS.

IV.

VIGENCIA

La documentacin presentada como normativa de seguridad entrar en vigencia desde el

momento en que ste sea aprobado como documento tcnico de seguridad informtica por
la alta direccin de la Corporacin Autnoma Regional de los Valles del Sin y del San J
orge - CVS. Esta normativa deber ser revisada y actualizada conforme a las exigen
cias de la Corporacin, o en el momento en que haya la necesidad de realizar cambi
os sustanciales en la infraestructura tecnolgica de la Red Institucional

V.

VISIN

Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y corr

ecto funcionamiento de la normativa y polticas de seguridad informtica, basado en
el sistema de gestin de seguridad de la informacin, a travs de la utilizacin de tcnic
as y herramientas que contribuyan a optimizar la administracin de los recursos in
formticos de la Corporacion Autnoma Regional de los Valles del Sin y del San Jorge
- CVS.

VI.

MISIN

Establecer las directrices necesarias para el correcto funcionamiento de un sist

ema de gestin para la seguridad de la informacin, enmarcando su aplicabilidad en u
n proceso de desarrollo continuo y actualizable, apegado a los estndares internac
ionales desarrollados para tal fin.

VII.

ALCANCES Y REA DE APLICACIN

El mbito de aplicacin del manual de normas y polticas de seguridad informtica, es la

infraestructura tecnolgica y entorno informtico de la red institucional de la Cor
poracin Autnoma Regional de los Valles del Sin y del San Jorge - CVS.
El ente que garantizar la ejecucin y puesta en marcha de la normativa y polticas de
seguridad, estar bajo el cargo del proceso GESTIN DE SOPORTE EN SISTEMAS, siendo
el responsable absoluto de la supervisin y cumplimiento, el Coordinador de Sistem
as, supervisados por la Subdireccin de planeacin.

VIII.

GLOSARIO DE TERMINOS

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de propi

edad de una persona natural o jurdica que por lo general son generadores de renta
o fuente de beneficios, en el ambiente informtico llmese activo a los bienes de i
nformacin y procesamiento, que posee la Corporacin. Recurso del sistema de informa
cin o relacionado con ste, necesario para que la organizacin funcione correctamente
y alcance los objetivos propuestos.
Administracin Remota: Forma de administrar los equipos informticos o servicios de
la Corporacion Autnoma Regional de los Valles del Sin y del San Jorge - CVS, a tra
vs de terminales o equipos remotos, fsicamente separados del usuario final.
Amenaza: Es un evento que puede desencadenar un incidente en la organizacin, prod
uciendo daos materiales o prdidas inmateriales en sus activos.
Archivo Log: Ficheros de registro o bitcoras de sistemas, en los que se recoge o
anota los pasos que dan (lo que hace un usuario, como transcurre una conexin, hor
arios de conexin, terminales o IPs involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistem
a.
Confidencialidad: Proteger la informacin de su revelacin no autorizada. Esto signi
fica que la informacin debe estar protegida de ser copiada por cualquiera que no
est explcitamente autorizado por el propietario de dicha informacin.
Cuenta: Mecanismo de identificacin de un usuario, llmese de otra manera, al mtodo d
e acreditacin o autenticacin del usuario mediante procesos lgicos dentro de un sist
ema informtico.
Desastre o Contingencia: interrupcin de la capacidad de acceso a informacin y proc
esamiento de la misma a travs de computadoras necesarias para la operacin normal d
e un negocio.
Disponibilidad: Los recursos de informacin sean accesibles, cuando estos
sean necesitados.

Encriptacin Es el proceso mediante el cual cierta informacin o "texto plano" es ci

frado de forma que el resultado sea ilegible a menos que se conozcan los datos n
ecesarios para su interpretacin. Es una medida de seguridad utilizada para que al

momento de almacenar o transmitir informacin sensible sta no pueda ser obtenida c

on facilidad por terceros.
Integridad: Proteger la informacin de alteraciones no autorizadas por la organiza
cin.
Impacto: consecuencia de la materializacin de una amenaza.
ISO: (Organizacin Internacional de Estndares) Corporacin mundialmente reconocida y
acreditada para normar en temas de estndares en una diversidad de reas, aceptadas
y legalmente reconocidas.
IEC: (Comisin Electrotcnica Internacional) Junto a la ISO, desarrolla
estndares que son aceptados a nivel internacional.
Normativa de Seguridad ISO/IEC 17799: (Cdigo de buenas prcticas, para el manejo de
seguridad de la informacin) Estndar o norma internacional que vela por que se cum
plan los requisitos mnimos de seguridad, que propicien un nivel de seguridad acep
table y acorde a los objetivos institucionales desarrollando buenas prcticas para
la gestin de la seguridad informtica.
Outsourcing: Contrato por servicios a terceros, tipo de servicio prestado por pe
rsonal ajeno a la Corporacin.
Responsabilidad: En trminos de seguridad, significa determinar que individuo en l
a Corporacin, es responsable directo de mantener seguros los activos de cmputo e i
nformacin.
Servicio: Conjunto de aplicativos o programas informticos, que apoyan la labor ad
ministrativa, sobre los procesos diarios que demanden informacin o comunicacin de
la Corporacin.
SGSI: Sistema de Gestin de Seguridad de la Informacin
Soporte Tcnico: (Personal en Outsourcing) Personal designado o encargado de velar
por el correcto funcionamiento de las estaciones de trabajo, servidores, o equi
po de oficina dentro de la Corporacin.
Riesgo: posibilidad de que se produzca un Impacto determinado en un

Activo, en un Dominio o en toda la Organizacin.

Terceros: proveedores de software, que tengan convenios o profesionales con la C
orporacin.
Usuario: Defnase a cualquier persona jurdica o natural, que utilice los servicios
informticos de la red institucional y tenga una especie de vinculacin con la Corpo
racin.
Vulnerabilidad: posibilidad de ocurrencia de la materializacin de una
amenaza sobre un Activo.

1.

POLITICA DE SEGURIDAD INFORMTICA

1.1. OBJETIVO
Dotar de la informacin necesaria en el ms amplio nivel de detalle a los usuarios,
empleados y gerentes de la Corporacion Autnoma Regional de los Valles del Sin y de
l San Jorge - CVS, de las normas y mecanismos que deben cumplir y utilizar para
proteger el hardware y software de la red institucional de la Corporacion Autnoma
Regional de los Valles del Sin y del San Jorge - CVS, as como la informacin que es
procesada y almacenada en estos.

Nivel 1: SEGURIDAD ORGANIZATIVA

1.2.

SEGURIDAD ORGANIZACIONAL

1.2.1. POLTICAS DE SEGURIDAD

Los servicios de la red institucional son de exclusivo uso acadmico, de investiga

cin, tcnicos y para gestiones administrativas, cualquier cambio en la normativa de
uso de los mismos, ser expresa y adecuada como poltica de seguridad en este docum
ento.

La Direccin de la Corporacin Autnoma Regional de los Valles del Sin y del San Jor
- CVS delegara al proceso GS-GESTIN DE SOPORTE EN SISTEMAS para que de seguimient
o al cumplimiento de la normativa y propicie el entorno necesario para crear un
SGSI, el cual tendr entre sus funciones:
a)

Velar por la seguridad de los activos informticos

b)

Gestin y procesamiento de informacin.

c)

Cumplimiento de polticas.

d)

Elaboracin de planes de seguridad.

e)

Capacitacin de usuarios en temas de seguridad.

f)
Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que
d sustento o solucin, a problemas de seguridad dentro de la Corporacin. El mismo or
ientar y guiar a los empleados, la forma o mtodos necesarios para salir avante ante
cualquier eventualidad que se presente.
g)

Informar sobre problemas de seguridad a la alta gerencia.

h)
Poner especial atencin a los usuarios de la red institucional sobre suger
encias o quejas con respecto al funcionamiento de los activos de informacin.

El Lider de proceso de cada unidad organizativa dentro de la

red

institucional es el nico responsable de las actividades procedentes de

sus acciones.

El administrador de sistemas es el encargado de mantener en buen estado los serv

idores dentro de la red institucional.


Todo usuario de la red institucional de la Corporacion Autnoma Regional de los Va
lles del Sin y del San Jorge - CVS, gozar de absoluta privacidad sobre su informa
cin, o la informacin que provenga de sus acciones, salvo en casos, en que se vea i
nvolucrado en actos ilcitos o contraproducentes para la seguridad de la red insti
tucional, sus servicios o cualquier otra red ajena a la Corporacin.

Los usuarios tendrn el acceso a Internet, siempre y cuando se cumplan los requisi
tos mnimos de seguridad para acceder a este servicio y se acaten las disposicione
s de conectividad de la unidad de informtica.
1.2.2. EXCEPCIONES DE RESPONSABILIDAD

Los usuarios que por disposicin de sus superiores realicen acciones que perjudiqu
en a otros usuarios o la informacin que estos procesan, y si estos no cuentan con
un contrato de confidencialidad y proteccin de la informacin de la Corporacin o su
s allegados.

Algunos usuarios pueden estar exentos de responsabilidad, o de seguir algunas de

las polticas enumeradas en este documento, debido a la responsabilidad de su car
go, o a situaciones no programadas. Estas excepciones debern ser solicitadas form
almente y aprobadas por la subdireccin de planeacin y supervisadas por la unidad d
e sistemas, con la documentacin necesaria para el caso, siendo la gerencia quien
d por sentada su aprobacin final.
1.2.3. CLASIFICACIN Y CONTROL DE ACTIVOS
1.2.3.1.

RESPONSABILIDAD POR LOS ACTIVOS

Cada rea, tendr un responsable por el/los activo/s crtico/s o de mayor

importancia para la corporacin.

La persona responsable de los activos de cada unidad organizativa o rea

de trabajo, velar por la salvaguarda de los activos fsicos (hardware y medios magnt
icos, aires acondicionados, mobiliario.), activos de informacin (Bases de Datos,
Archivos, Documentacin de sistemas, Procedimientos Operativos, configuraciones),
activos de software (aplicaciones, software de sistemas, herramientas y programa
s de desarrollo)

Los administradores de los sistemas son los responsables de la seguridad de la i

nformacin almacenada en esos recursos.
1.2.3.2.

CLASIFICACIN DE LA INFORMACIN

De forma individual, los departamentos de la Corporacion Autnoma Regional de los

Valles del Sin y del San Jorge - CVS, son responsables, de clasificar de acuerdo
al nivel de importancia, la informacin que en ella se procese.

Se tomarn como base, los siguientes criterios, como niveles de

importancia, para clasificar la informacin:
a)
b)

Pblica
Interna

c)

Confidencial

Los activos de informacin de mayor importancia para la Corporacin debern clasifica

se por su nivel de exposicin o vulnerabilidad.
1.2.4. SEGURIDAD LIGADA AL PERSONAL Referente a contratos:

Se entregar al contratado, toda la documentacin necesaria para ejercer sus labores

dentro de la Corporacin, en el momento en que se de por establecido su contrato
laboral.
El empleado:

La informacin procesada, manipulada o almacenada por el empleado es propiedad exc

lusiva de la Corporacion Autnoma Regional de los Valles del Sin y del San Jorge CVS.

La Corporacion Autnoma Regional de los Valles del Sin y del San Jorge
- CVS no se hace responsable por daos causados provenientes de sus empleados a la
informacin o activos de procesamiento, propiedad de la Corporacin, daos efectuados
desde sus instalaciones de red a equipos informticos externos.
1.2.4.1.

CAPACITACIN DE USUARIOS

Los usuarios de la red institucional, sern capacitados en cuestiones de seguridad

de la informacin, segn sea el rea operativa y en funcin de las actividades que se d
esarrollan.

Se deben tomar todas las medidas de seguridad necesarias, antes de realizar una
capacitacin a personal ajeno o propio de la Corporacin, siempre y cuando se vea im
plicada la utilizacin de los servicios de red o se exponga material de importanci
a considerable para la Corporacin.

1.2.4.2.

RESPUESTAS A INCIDENTES Y ANOMALAS DE SEGURIDAD

Se realizarn respaldos de la informacin, diariamente, para los activos de mayor i

mportancia o crticos, un respaldo semanal que se utilizar en caso de fallas y un t
ercer respaldo efectuado semestralmente, el cul deber ser guardado y evitar su uti
lizacin a menos que sea estrictamente necesaria.

Las solicitudes de asistencia, efectuados por dos o ms empleados o

reas de proceso, con problemas en las estaciones de trabajo, deber
drseles solucin en el menor tiempo posible.

Cualquier situacin anmala y contraria a la seguridad deber ser documentada, poster

or revisin de los registros o Log de sistemas con el objetivo de verificar la sit
uacin y dar una respuesta congruente y acorde al problema, ya sea est en el mbito l
egal o cualquier situacin administrativa.

Nivel 2 : SEGURIDAD LGICA

1.3.

SEGURIDAD LOGICA

1.3.1. CONTROL DE ACCESOS

El Coordinador de sistemas proporcionar toda la documentacin necesaria para agiliz

ar la utilizacin de los sistemas, referente a formularios, guas, controles, otros,
localizados en el sistema de gestin de la calidad de la corporacin.

Cualquier peticin de informacin, servicio o accin proveniente de un determinado us

ario o lder de proceso, se deber efectuar siguiendo los canales de gestin formalmen
te establecidos por la Corporacin, para realizar dicha accin; no dar seguimiento a
esta poltica implica:
a)

Negar por completo la ejecucin de la accin o servicio.

b)
Informe completo dirigido a comit de seguridad, mismo ser realizado por
la persona o el departamento al cual le es solicitado el servicio.
c)
Sanciones aplicables por autoridades de nivel superior, previamente disc
utidas con el comit de seguridad.
1.3.1.1.

ADMINISTRACIN DEL ACCESO DE USUARIOS

Son usuarios de la red institucional los empleados de planta, administrativos, s

ecretarias, contratistas, y toda aquella persona, que tenga contacto directo y u
tilice los servicios de la red institucional de la Corporacion Autnoma Regional d
e los Valles del Sin y del San Jorge - CVS.

Se asignar una cuenta de acceso a los sistemas de la intranet, a todo usuario de

la red institucional, siempre y cuando se identifique previamente el objetivo de
su uso o permisos explcitos a los que este acceder, junto a la informacin personal
del usuario.

Los usuarios externos, son usuarios limitados, estos tendrn acceso

nicamente a los servicios de Internet y recursos compartidos de la red institucio
nal, cualquier cambio sobre los servicios a los que estos tengan

acceso, ser
motivo de
revisin
adecundose a las nuevas especificaciones.

modificacin

de

esta

polt

Se consideran usuarios externos o terceros, cualquier entidad o persona natural,

que tenga una relacin con la Corporacin fuera del mbito de empleado/contratista y
siempre que tenga una vinculacin con los servicios de la red institucional.

El acceso a la red por parte de terceros es estrictamente restrictivo y permisib

le nicamente mediante firma impresa y documentacin de aceptacin de confidencialidad
hacia la Corporacin y comprometido con el uso exclusivo del servicio para el que
le fue provisto el acceso.

No se proporcionar el servicio solicitado por un usuario, o rea de trabajo, sin a

ntes haberse completado todos los procedimientos de autorizacin necesarios para s
u ejecucin segn el sistema de gestin de la calidad.

Se crear una cuenta temporal del usuario, en caso de olvido o extravo de informac
in de la cuenta personal, para brindarse al usuario que lo necesite, siempre y cu

ando se muestre un documento de identidad personal.

La longitud mnima de caracteres permisibles en una contrasea se establece en 6 car

acteres, los cuales tendrn una combinacin alfanumrica, incluida en estos caracteres
especiales.

La longitud mxima de caracteres permisibles en una contrasea se establece en 12 ca

racteres, siendo esta una combinacin de Maysculas y minsculas.
1.3.1.2.

RESPONSABILIDADES DEL USUARIO

El usuario es responsable exclusivo de mantener a salvo su contrasea.

El usuario ser responsable del uso que haga de su cuenta de acceso a los sistemas
o servicios, so pena de incurrir en una denuncia penal por mal uso de los servi
cios informticos de la corporacin.

Se debe evitar el guardar o escribir las contraseas en cualquier papel o superfic

ie o dejar constancia de ellas, amenos que sta se guardada en un lugar seguro.

El usuario es responsable de eliminar cualquier rastro de documentos proporciona

dos por el Administrador de la red, que contenga informacin que pueda facilitar a
un tercero la obtencin de la informacin de su cuenta de usuario.

El usuario es responsable de evitar la prctica de establecer contraseas relacionad

as con alguna caracterstica de su persona o relacionado con su vida o la de parie
ntes, como fechas de cumpleaos o alguna otra fecha importante.

El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su

cargo puedan acceder a la informacin almacenada en el, mediante una herramienta
de bloqueo temporal (protector de pantalla), protegida por una contrasea, el cual
deber activarse en el preciso momento en que el usuario deba ausentarse.

Cualquier usuario que encuentre un hueco o falla de seguridad en los sistemas in

formticos de la Corporacin, est obligado a reportarlo a los administradores del sis
tema o gestor de seguridad.
Uso de correo electrnico:

El servicio de correo electrnico, es un servicio gratuito, y no garantizable, se

debe hacer uso de el, acatando todas las disposiciones de seguridad diseadas para
su utilizacin y evitar el uso o introduccin de software malicioso a la red instit
ucional.

El correo electrnico es de uso exclusivo, para los empleados y contratistas de la

Corporacion Autnoma Regional de los Valles del Sin y del San Jorge - CVS.

Todo uso indebido del servicio de correo electrnico, ser motivo de suspensin tempo
al de su cuenta de correo o segn sea necesario la eliminacin total de la cuenta de
ntro del sistema.

El usuario ser responsable de la informacin que sea enviada con su

cuenta.

El Administrador de la red corporativa, se reservar el derecho de monitorear las

cuentas de usuarios, que presenten un comportamiento sospechoso para la segurida
d de la red institucional.


El usuario es responsable de respetar la ley de derechos de autor, no abusando d
e este medio para distribuir de forma ilegal licencias de software o reproducir
informacin sin conocimiento del autor.
1.3.1.3.

SEGURIDAD EN ACCESO DE TERCEROS

El acceso de terceros ser concedido siempre y cuando se cumplan con los requisito
s de seguridad establecidos en el contrato de trabajo o asociacin para el servici
o, el cual deber estar firmado por las entidades involucradas en el mismo.

Todo usuario externo, estar facultado a utilizar nica y exclusivamente

io que le fue asignado, y acatar las responsabilidades que devengan de la utiliz
acin del mismo.

el servic

Los servicios accedidos por terceros acataran las disposiciones generales de acc
eso a servicios por el personal interno de la Corporacin, adems de los requisitos
expuestos en su contrato/convenio con la Corporacin.
1.3.1.4.

CONTROL DE ACCESO A LA RED

Unidad de Sistemas y afines a ella.

El acceso a la red interna, se permitir siempre y cuando se cumpla con los requis
itos de seguridad necesarios, y ste ser permitido mediante un mecanismo de autenti
cacin.

Se debe eliminar cualquier acceso a la red sin previa autenticacin o

validacin del usuario o el equipo implicado en el proceso.

Cualquier alteracin del trfico entrante o saliente a travs de los dispositivos de

cceso a la red, ser motivo de verificacin y tendr como resultado directo la realiza
cin de una auditoria de seguridad.

El departamento de informtica deber emplear dispositivos de red para el bloqueo,

enrutamiento, o el filtrado de trfico evitando el acceso o flujo de informacin, n
o autorizada hacia la red interna o desde la red interna hacia el exterior.

Los accesos a la red interna o local desde una red externa de

la

Corporacin o extranet, se harn mediante un mecanismo de autenticacin seguro y el tr

afico entre ambas redes o sistemas ser cifrado con una encriptacin de 128 bit.6

Se registrara todo acceso a los dispositivos de red, mediante archivos de regist

ro o Log, de los dispositivos que provean estos accesos.

Se efectuara una revisin de Log de los dispositivos de acceso a la red

en un tiempo mximo de 48 horas.
1.3.1.5.

CONTROL DE ACCESO AL SISTEMA OPERATIVO

Se deshabilitarn las cuentas creadas por ciertas aplicaciones con privilegios de

sistema, (cuentas del servidor de aplicaciones, cuentas de herramientas de audit

ora, etc.) evitando que estas corran sus servicios con privilegios nocivos para l
a seguridad del sistema.

Al terminar una sesin de trabajo en las estaciones, los operadores o cualquier ot

ro usuario, evitara dejar encendido el equipo, pudiendo proporcionar un entorno
de utilizacin de la estacin de trabajo.
Servidores

El acceso a la configuracin del sistema operativo de los servidores, es

nicamente permitido al usuario administrador.

Los administradores de servicios, tendrn acceso nico a los mdulos de configuracin

las respectivas aplicaciones que tienen bajo su responsabilidad.

Todo servicio provisto o instalado en los servidores, correr o ser ejecutado bajo
cuentas restrictivas, en ningn momento se obviaran situaciones de servicios corri
endo con cuentas administrativas, estos privilegios tendrn que ser eliminados o c
onfigurados correctamente.
1.3.1.6.

CONTROL DE ACCESO A LAS APLICACIONES

Las aplicaciones debern estar correctamente diseadas, con funciones de acceso espe
cificas para cada usuario del entorno operativo de la aplicacin, las prestaciones
de la aplicacin.

Se deber definir y estructurar el nivel de permisos sobre las aplicaciones, de a

cuerdo al nivel de ejecucin o criticidad de las aplicaciones o archivos, y hacien
do especial nfasis en los derechos de escritura, lectura, modificacin, ejecucin o b
orrado de informacin.

Se debern efectuar revisiones o pruebas minuciosas sobre las aplicaciones, de for

ma aleatoria, sobre distintas fases, antes de ponerlas en un entorno operativo r
eal, con el objetivo de evitar redundancias en las salidas de informacin u otras
anomalas.

Las salidas de informacin, de las aplicaciones, en un entorno de red, debern ser d

ocumentadas, y especificar la terminal por la que deber ejecutarse exclusivamente
la salida de informacin.

Se deber llevar un registro mediante Log de aplicaciones, sobre las actividades d

e los usuarios en cuanto a accesos, errores de conexin, horas de conexin, intentos
fallidos, terminal desde donde conecta, entre otros, de manera que proporcionen
informacin relevante y revisable posteriormente.
1.3.1.7.

MONITOREO DEL ACCESO Y USO DEL SISTEMA

Se registrar y archivar toda actividad, procedente del uso de las aplicaciones, si

stemas de informacin y uso de la red, mediante archivos de Log o bitcoras de siste
mas.

Los archivos de Log, almacenarn nombres de usuarios, nivel de privilegios, IP de

terminal, fecha y hora de acceso o utilizacin, actividad desarrollada, aplicacin i
mplicada en el proceso, intentos de conexin fallidos o acertados, archivos a los

que se tubo acceso, entre otros.

Se efectuar una copia automtica de los archivos de Log, y se conducir o enviara h

cia otra terminal o servidor, evitando se guarde la copia localmente donde se pr
oduce.

1.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES

1.3.2.1.

RESPONSABILIDADES Y PROCEDIMIENTOS OPERATIVOS

El personal administrador de algn servicio, es el responsable absoluto por mante

ner en ptimo funcionamiento ese servicio, coordinar esfuerzos con el coordinador
de sistemas, para fomentar una cultura de administracin segura y servicios ptimos.

Las configuraciones y puesta en marcha de servicios, son normadas por el departa

mento de informtica.

El personal responsable de los servicios, llevar archivos de registro de fallas d

e seguridad del sistema, revisara, estos archivos de forma frecuente y en especi
al despus de ocurrida una falla.
1.3.2.2.

PLANIFICACIN Y ACEPTACIN DE SISTEMAS

La unidad de informtica, o personal de la misma dedicado o asignado en el rea de p

rogramacin o planificacin y desarrollo de sistemas, efectuar todo el proceso propi
o de la planificacin, desarrollo, adquisicin, comparacin y adaptacin del software ne
cesario para la Corporacin.

La aceptacin del software se har efectiva por la Gerencia de la Corporacin, previo

anlisis y pruebas efectuadas por el personal de informtica.

nicamente se utilizar software certificado o en su defecto software previamente re

visado y aprobado, por personal calificado en el rea de seguridad.

La aceptacin y uso de los sistemas no exonera, de responsabilidad alguna sobre el

gestor de seguridad, para efectuar pruebas o diagnsticos a la seguridad de los m
ismos.

El software diseado localmente o llmese de otra manera desarrolladas por programad

ores internos, debern ser analizados y aprobados, por el gestor de seguridad, ant
es de su implementacin.

Es tarea de programadores el realizar pruebas de validacin de entradas,

en cuanto a:
o
Valores fuera de rango.
o
Caracteres invlidos, en los campos de datos.
o
Datos incompletos.
o
Datos con longitud excedente o valor fuera de rango.
o
Datos no autorizados o inconsistentes.
o
Procedimientos operativos de validacin de errores
o
Procedimientos operativos para validacin de caracteres.

o
Procedimientos operativos para validacin de la integridad de los
datos.
o
Procedimientos operativos para validacin e integridad de las
salidas.

Toda prueba de las aplicaciones o sistemas, se deber hacer teniendo en

cuenta las medidas de proteccin de los archivos de produccin reales.

Cualquier prueba sobre los sistemas, del mbito a la que esta se refiera deber ser
documentada y cualquier documento o archivo que haya sido necesario para su ejec
ucin deber ser borrado de los dispositivos fsicos, mediante tratamiento electrnico.

1.3.2.3.

PROTECCIN CONTRA SOFTWARE MALICIOSO

Se adquirir y utilizar software nicamente de fuentes confiables.

En caso de ser necesaria la adquisicin de software de fuentes no

confiables, este se adquirir en cdigo fuente.

Los servidores, al igual que las estaciones de trabajo, tendrn instalado y config
urado correctamente software antivirus actualizable y activada la proteccin en ti
empo real.
1.3.2.4.

MANTENIMIENTO

El mantenimiento de las aplicaciones y software de sistemas es de exclusiva resp

onsabilidad del personal de la unidad de informtica, o del personal de soporte tcn
ico.

El cambio de archivos de sistema, no es permitido, sin una justificacin aceptable

y verificable por el gestor de seguridad.

Se llevar un registro global del mantenimiento efectuado sobre

los
equipos y cambios realizados desde su instalacin.
1.3.2.5.

MANEJO Y SEGURIDAD DE MEDIOS DE ALMACENAMIENTO

Los medios de almacenamiento o copias de seguridad del sistema de archivos, o in

formacin de la Corporacin, sern etiquetados de acuerdo a la informacin que almacenan
u objetivo que suponga su uso, detallando o haciendo alusin a su contenido.

Los medios de almacenamiento con informacin crtica o copias de respaldo debern ser
manipulados nica y exclusivamente por el personal encargado de hacer los respaldo
s y el personal encargado de su salvaguarda.

Todo medio de almacenamiento con informacin crtica ser guardado

bajo llave en una caja especial a la cual tendr acceso nicamente, el

gestor de seguridad o
le, una segunda copia

Se llevar
almacenamiento en los

la gerencia administrativa, esta caja no debera ser removib

ser resguardada por un tercero, entidad financiera o afn.
un control, en el que se especifiquen los medios de
que se debe guardar informacin y su uso.

Nivel 3: SEGURIDAD FSICA

1.4.1. SEGURIDAD FSICA Y AMBIENTAL
1.4.1.1.

SEGURIDAD DE LOS EQUIPOS

El cableado de red, se instalar fsicamente separado de cualquier otro tipo de cabl

es, llmese a estos de corriente o energa elctrica, para evitar interferencias.

Los servidores, sin importar al dominio o grupo de trabajo al que estos pertenez
can, con problemas de hardware, debern ser reparados localmente, de no cumplirse
lo anterior, debern ser retirados sus medios de almacenamiento.

Los equipos o activos crticos de informacin y proceso, debern ubicarse en reas ai

das y seguras, protegidas con un nivel de seguridad verificable y manejable por
el administrador y las personas responsables por esos activos, quienes debern pos
eer su debida identificacin.
1.4.1.2.

CONTROLES GENERALES

Las estaciones o terminales de trabajo, con procesamientos crticos no deben de co

ntar con medios de almacenamientos extrables, que puedan facilitar el robo o mani

pulacin de la informacin por terceros o personal que no deba tener acceso a esta i
nformacin.

En ningn momento se deber dejar informacin sensible de robo, manipulacin o acceso

sual, sin importar el medio en el que esta se encuentre, de forma que pueda ser
alcanzada por terceros o personas que no deban tener acceso a esta informacin.

Deber llevarse un control exhaustivo del mantenimiento preventivo y otro para el

mantenimiento correctivo que se les haga a los equipos.

Toda oficina o rea de trabajo debe poseer entre sus inventarios, herramientas aux
iliares (extintores, alarmas contra incendios, lmpara de emergencia), necesarias
para salvaguardar los recursos tecnolgicos y la informacin.

Toda visita a las oficinas de tratamiento de datos crticos e informacin (unidad de

informtica, sala de servidores entre otros) deber ser registrada.

La sala o cuarto de servidores, deber estar separada de las oficinas administrati

vas de la unidad de informtica o cualquier otra unidad, departamento o sala de re
cepcin del personal, mediante una divisin en la unidad de informtica, recubierta de
material aislante o protegido contra el fuego, Esta sala deber ser utilizada nica
mente por las estaciones prestadoras de servicios y/o dispositivos a fines.

El suministro de energa elctrica debe hacerse a travs de un circuito exclusivo par

los equipos de cmputo, o en su defecto el circuito que se utilice no debe tener
conectados equipos que demandan grandes cantidades de energa.

El suministro de energa elctrica debe estar debidamente polarizado, no siendo conv

eniente la utilizacin de polarizaciones locales de tomas de corriente, si no que
debe existir una red de polarizacin.

Las instalaciones de las reas de trabajo deben contar con una adecuada instalacin
elctrica, y proveer del suministro de energa mediante una estacin de alimentacin ini
nterrumpida o UPS para poder proteger la informacin.

Las salas o instalaciones fsicas de procesamiento de informacin debern poseer inf

rmacin en carteles, sobre accesos, alimentos o cualquier otra actividad contraria
a la seguridad de la misma o de la informacin que ah se procesa.
Nivel 4: SEGURIDAD LEGAL
1.5.

SEGURIDAD LEGAL

1.5.1. CONFORMIDAD CON LA LEGISLACIN

1.5.1.1.

CUMPLIMIENTO DE REQUISITOS LEGALES

Licenciamiento de Software:

La Corporacin Autnoma Regional de los Valles del Sin y del San Jorge, se reserva e
derecho de respaldo, a cualquier miembro usuario de la red, o miembro de las rea
s administrativas, ante cualquier asunto legal relacionado a infracciones a las
leyes de copyright o piratera de software.

Todo el software comercial que utilice la Corporacin Autnoma Regional de los Va

lles del Sin y del San Jorge, deber estar
legalmente

registrado, en los contratos de arrendamiento de software con sus respectivas li

cencias.

La adquisicin de software por parte de personal que labore en la Corporacin, no ex

presa el consentimiento de la Corporacin, la instalacin del mismo, no garantiza re
sponsabilidad alguna para la Corporacin, por ende la Corporacin no se hace respons

able de las actividades de sus empleados.

Tanto el software comercial como el software libre son propiedad intelectual exc
lusiva de sus desarrolladores, la Corporacin respeta la propiedad intelectual y s
e rige por el contrato de licencia de sus autores.

El software comercial licenciado a la Corporacin Autnoma Regional de los Valles de

l Sin y del San Jorge, es propiedad exclusiva de la Corporacin, la misma se reserv
a el derecho de reproduccin de ste, sin el permiso de sus autores, respetando el e
squema de cero piratera y/o distribucin a terceros.

En caso de transferencia de software comercial a terceros, se harn las gestiones

necesarias para su efecto y se acataran las medidas de licenciamiento relacionad
as con la propiedad intelectual, con el apoyo de la unidad de bienes y suministr
os.

Las responsabilidades inherentes al licenciamiento de software libre son respons

abilidad absoluta de la Corporacin Autnoma Regional de los Valles del Sin y del San
Jorge.

Cualquier cambio en la poltica de utilizacin de software comercial o software libr

e, se har documentado y en base a las disposiciones de la respectiva licencia.

El software desarrollado internamente, por el personal que labora en la Corporac

in es propiedad exclusiva de la Corporacin Autnoma Regional de los Valles del Sin y
del San Jorge.

La adquisicin del software libre o comercial deber ser gestionado con las autorida
des competentes y acatando sus disposiciones legales, en ningn momento se obtendr
software de forma fraudulenta.

Los contratos con terceros, en la gestin o prestacin de un servicio, debern especi

icar, las medidas necesarias de seguridad, nivel de prestacin del servicio, y/o e
l personal involucrado en tal proceso.
1.5.1.2.

REVISIN DE POLTICAS DE SEGURIDAD Y CUMPLIMIENTO TCNICO

Toda violacin a las polticas de licenciamiento de software, ser

de sanciones aplicables al personal que incurra en la violacin.

El
documento de seguridad
ser
elaborado
y
por el

motivo
actualizado

Coordinador de Sistemas, su aprobacin y puesta en ejecucin ser

responsabilidad de la gerencia administrativa.

Cualquier violacin a la seguridad por parte del personal que labora, para la Corp
oracin, as como terceros que tengan relacin o alguna especie de contrato con la Cor
poracin se harn acreedores a sanciones aplicables de ley.
1.5.1.3.

CONSIDERACIONES SOBRE AUDITORIAS DE SISTEMAS

Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red,

semestral, enmarcada en pruebas de acceso tanto internas como externas, desarrol
ladas por personal tcnico especializado o en su defecto personal capacitado en el
rea de seguridad.

Toda auditoria a los sistemas, estar debidamente aprobada, y tendr el

sello y firma de la gerencia.

Cualquier accin que amerite la ejecucin de una auditoria a los sistemas informtico
deber ser documentada y establecida su aplicabilidad y objetivos de la misma, as
como razones para su ejecucin, personal involucrada en la misma y sistemas implic
ados.

La auditoria no deber modificar en ningn momento el sistema de archivos de los si

stemas implicados, en caso de haber necesidad de modificar algunos, se deber hace
r un respaldo formal del sistema o sus archivos.


Las herramientas utilizadas para la auditoria debern estar separadas de los siste
mas de produccin y en ningn momento estas se quedaran al alcance de personal ajeno
a la elaboracin de la auditoria.

2.

NORMAS DE SEGURIDAD INFORMTICA

2.1.

OBJETIVO

Proporcionar las directrices necesarias para la correcta administracin del Sistem

a de Gestin de Seguridad de la Informacin, bajo un entorno normativamente regulado
e interpretable por los usuarios de la red institucional y ajustada a las neces
idades de la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge.
2.2.

SEGURIDAD ORGANIZACIONAL

2.2.1. EN CUANTO A POLTICAS GENERALES DE SEGURIDAD Unidad de Informtica:

El usuario acatar las disposiciones expresas sobre la utilizacin de los

servicios informticos de la red institucional.

El administrador har respaldos peridicos de la informacin as como la depuracin d

discos duros.

El administrador de sistemas, realizarn auditorias peridicas en el sistema con el

fin de localizar intrusos o usuarios que estn haciendo mal uso de los recursos de
un servidor.

El administrador decidir, sobre el uso de los recursos del sistema restriccin de d

irectorios y programas ejecutables para los usuarios.

Se revisar el trfico de paquetes que se estn generando dentro de un segmento de re

, a fin de determinar si se est haciendo mal uso de la red o se esta generando a
lgn problema que pueda llevar a que se colapsen los sistemas.

El administrador de sistemas, dar de alta y baja a usuarios y revisar las cuentas

peridicamente para estar seguros de que no hay usuarios ficticios.

Recomendar sobre el uso e implementacin de nuevas tecnologas para

administracin de los sistemas y la red.

Reportar a la alta direccin, las fallas en el desempeo de la red.

Solucionar los problemas que se generen en su red local.

La Corporacin se guarda el derecho de divulgacin o confidencialidad de la informac

in personal de los usuarios de la red institucional, si estos se ven envueltos en
actos ilcitos.

El Administrador monitoreara las acciones y tareas de los usuarios de la red ins

titucional.

Se prestar el servicio de Internet, siempre que se encuentren presentes los requi

sitos de seguridad mnimos.

El usuario no tiene derecho sobre el servicio de Internet sino es mediante la ac

eptacin de la normativa de seguridad.

Se suspender cualquier usuario que utilice los computadores fuera del

mbito institucional, y los objetivos para los que estos fueron creados.
2.2.2. EXCEPCIONES DE RESPONSABILIDAD

La Corporacin debe establecer con sus empleados un contrato

confidencialidad de comn acuerdo.

de


Toda accin debe seguir los canales de gestin necesarios para su ejecucin.

La alta gerencia, proveer la documentacin necesaria para aprobar un acuerdo de no

responsabilidad por acciones que realicen dentro de la red institucional.

Las gestiones para las excepciones de responsabilidad son acordadas bajo comn acu
erdo de la gerencia y el comit de seguridad.
2.2.3. CLASIFICACIN Y CONTROL DE ACTIVOS
2.2.3.1.

RESPONSABILIDAD POR LOS ACTIVOS

La direccin nombrar un responsable de activos en cada departamento de la Corporaci

Autnoma Regional de los Valles del Sin y del San Jorge.

Los lideres de proceso de cada departamento de la Corporacin, son

responsables de mantener o proteger los activos de mayor importancia.
2.2.3.2.

CLASIFICACIN DE LA INFORMACION

Cada lder de proceso dar importancia a la informacin en base al nivel

de clasificacin que demande el activo.

La informacin pblica puede ser visualizada por cualquier

persona
dentro o fuera de la Corporacin.

La informacin interna, es propiedad del contratista y de la Corporacin, en ningn m

mento intervendrn personas ajenas a su proceso o manipulacin. La informacin confide
ncial es propiedad absoluta de la Corporacin, el acceso a sta es permitido nicament
e a personal administrativo.

Los niveles de seguridad se detallan como nivel de seguridad bajo, nivel de segu
ridad medio y nivel de seguridad alto.
2.2.4. SEGURIDAD LIGADA AL PERSONAL Referente a contratos.
Todo empleado ejercer las labores estipuladas en su contrato de trabajo. El emple
ado.

El empleado no tiene ningn derecho sobre la informacin que procese

dentro de las instalaciones de la red institucional.

La informacin que maneja o manipula el empleado, no puede ser

divulgada a terceros o fuera del mbito de laboral.

El usuario se norma por las disposiciones de seguridad informtica de

la
Corporacin Autnoma Regional de los Valles del Sin y del San Jorge.

Los usuarios son responsables de las acciones causadas por sus operaciones con e
l equipo de la red institucional.
2.2.4.1.

CAPACITACIN DE USUARIOS

El comit de seguridad capacitar los usuarios de la red institucional, por departam

entos.

El comit de seguridad proporcionara las fechas en que se impartirn las

capacitaciones.

El material de apoyo (manuales, guas, etc.) ser entregado minutos antes de inicia
r la capacitacin, en la sala donde ser efectuada la capacitacin.

En cada capacitacin se revisarn los dispositivos de conexin

de
servicios involucrados en la capacitacin.

Las capacitaciones deben realizarse fuera de reas de procesamiento de informacin.

Entre los deberes y derechos de los empleados institucionales y personal denotad

o como tercero, se encuentran acatar o respetar las disposiciones sobre capacita
ciones y por ende asistir a ellas sin excepcin alguna, salvo casos especiales.
2.2.4.2.

RESPUESTA A INCIDENTES Y ANOMALIAS DE SEGURIDAD

Los respaldos de informacin debern ser almacenados en un sitio aislado y libre de

cualquier dao o posible extraccin por terceros dentro de la Corporacin.

Los respaldos se utilizarn nicamente en casos especiales ya que su

contenido es de suma importancia para la Corporacin.

La Corporacin debe contar con respaldos de la informacin

ante
cualquier incidente.

Generar procedimientos manuales de respaldo de informacin.

La unidad de informtica tendr la responsabilidad, de priorizar una situacin de la

tra en cuanto a los problemas en las estaciones de trabajo.

En situaciones de emergencia que impliquen reas como atencin al

cliente entre otros, se da prioridad en el orden siguiente.
a.
rea Financiera
b.
rea Planeacion
c.
rea Administrativa.
d.
Area Juridica., etc

El documento de seguridad se elaborar, tomando en cuenta aspectos basados en situ

aciones pasadas, y enmarcarlo en la pro actividad de situaciones futuras.

Se prioriza la informacin de mayor importancia para la Corporacin.

Se evacua la informacin o activo de los niveles confidenciales de la Corporacin.

Respaldar los archivos de logs o registro de los sistemas en proceso, cada ciert
o tiempo durante el da.

Llevar un registro manual de las actividades sospechosas de los empleados.

2.3.

SEGURIDAD LGICA

2.3.1. CONTROL DEL

ITUCIONAL

ACCESO DE

USUARIOS

LA

RED INST

La documentacin de seguridad ser resguardada por el Administrador, esto incluye fo

lletos, guas, formularios, controles entre otros.

La elaboracin de la documentacin relacionada con formularios, guas, etc. Ser elab

da por el sistema de gestion corporativo en colaboracin con el coordinador de sis
temas.

Los canales de gestin y seguimiento para realizar acciones dentro de la

red institucional, no pueden ser violentados bajo ninguna circunstancia.

El personal encargado de dar soporte a la gestin de comunicaciones entre servicio

s y la prestacin del mismo, no est autorizado a brindar ninguna clase de servicios
, mientras no se haya seguido todos y cada uno de los canales de gestin necesario
s, procedimientos enmarcados en el sistema de gestin de la calidad.

2.3.1.1.
ADMINISTRACIN DEL
ACCESO DE
LOS SERVICIOS INFORMTICOS DE LA CORPORACIN.

USUARIOS

Sin excepcin alguna se consideran usuarios de la red institucional de la Corporac

in Autnoma Regional de los Valles del Sin y del San Jorge todos y cada uno del pers
onal que se encuentra denotado en la poltica de administracin de acceso de usuari
os.

El acceso a los sistemas y servicios de informacin, es

permitido
nicamente a los usuarios que dispongan de los permisos necesarios para su ejecuc
in. El usuario deber proveer toda la informacin necesaria para poder brindarle los
permisos necesarios para la ejecucin de los servicios de la red institucional.


Las necesidades y aprobacin de acceso, de los usuarios a los servicios de la red
institucional, deber ser documentada y actualizada su informacin, en la poltica que
norma su uso.

La vinculacin de servicios por parte de terceros con la red institucional, es car

acterstica propia del personal en outsourcing, contratistas, proveedores de softw
are.

La identificacin del usuario se har a travs del formulario que le proporcionara el

Administrador, y se autenticara, mediante la firma impresa de la persona que ten
dr acceso al sistema o se acreditar con su cuenta de usuario

Cualquier peticin de servicio, por parte de personal de la Corporacin o ajeno a la

misma, no se conceder sino es mediante la aprobacin de la poltica de acceso y pres
tacin de servicio.

La cuenta temporal es usada nicamente con propsitos legales y de ejecucin de tarea

, por olvido de la informacin de la cuenta personal.

La cuenta temporal es nicamente acreditable, si se proporciona

la
informacin necesaria para su uso.

Toda cuenta nula u olvidada, se eliminara del/los sistema/s, previa verificacin o

asignacin de una nueva cuenta, al usuario propietario de la cuenta a eliminar.

El par usuario/contrasea temporal, ser eliminada del sistema como tal, por el gest
or de seguridad, en el preciso momento en que sea habilitada una cuenta personal
para el usuario que haya solicitado su uso.

El sistema no aceptar contraseas con una longitud menor a

la
expresada en la poltica de creacin de contraseas.

Los usuarios darn un seguimiento estricto sobre las polticas de creacin

de contraseas, acatando sus disposiciones en su totalidad.

El sistema revocar toda contrasea con una longitud mayor a

la
expresada en la poltica de creacin de contraseas.

El usuario se responsabiliza en crear una contrasea fuerte y difcil de

adivinar.

Se recomienda utilizar una frase coma base para la creacin de la contrasea, tomand
o la letra inicial de cada palabra. Por ejemplo: El azar favorece una mente brill
ante
2.3.1.2.

RESPONSABILIDADES DEL USUARIO

El Administrador debe desactivar cualquier caracterstica de los sistemas o aplica

ciones que les permita a los usuarios, almacenar localmente sus contraseas.

El usuario deber estar consiente de los problemas de seguridad que

acarrea la irresponsabilidad en la salvaguarda y uso de su contrasea.

El usuario deber ser precavido al manipular su cuenta de acceso a los sistemas, t

omando medidas de seguridad que no pongan en riesgo su integridad como persona.

Las cuentas de usuario son personales, en ningn momento deben ser

utilizadas por personal ajeno al que le fue asignada.

La prctica de guardar las contraseas en papel adherido al monitor o

reas cercanas al equipo de trabajo, es una falta grabe y sancionable.

Las contraseas deben ser memorizadas desde el mismo momento en

que le es asignada.

Se desechar, toda documentacin que tenga que ver con informacin relacionada a su c
enta de usuario, minutos despus de habrsele entregado y siempre que haya sido memo
rizada o resguarda su informacin.

Es importante que el usuario establezca contraseas fuertes y desligadas de su vid

a personal o de su entorno familiar o no emplean do formatos comunes de fechas.

El servidor de dominio deber bloquear cualquier estacin de trabajo con un protecto

r de pantalla, que tenga un tiempo de inactividad mayor a un minuto.

El usuario es parte esencial en la seguridad de la red institucional, su experie

ncia como operador en las estaciones de trabajo es de suma importancia para la c

orporacin.

Toda falla en el equipo debe ser documentado por el operador de las estacin de tr
abajo.
Normativa del uso

El correo
misor del mensaje
o reproducido por

de correo electrnico.
electrnico es un medio de comunicacin directo y confidencial, entre el e
y el receptor o receptores del mismo, por ende deber ser visto
las personas implicadas en la comunicacin.

El servidor de correo bloquear archivos adjuntos o informacin nociva como archivos

.exe o de ejecucin de comandos como applets java, javascript o archivos del tipo
activeX o IFrame.

Ningn usuario externo a la Corporacin, puede usar los servicios de

correo electrnico proporcionado por la red institucional.

Es responsabilidad del usuario hacer un correcto empleo del servicio de correo e

lectrnico.

Cualquier actividad no consecuente con los tems siguientes se considera un mal us

o:
a)
El no mandar ni contestar cadenas de correo.
b)
El uso de su cuenta con fines acadmicos y/o investigacin.
c) La depuracin de su bandeja de entrada del servidor (no dejar
correos por largos periodos).
d)
El no hacer uso de la cuenta para fines comerciales.
e)
El respetar las cuentas de otros usuarios.
f)
El uso de un lenguaje apropiado en sus comunicaciones.
g)
El
respetar
las
reglas de
"Conducta
Internet
"
para
las comunicaciones.
h) Respetar los trminos dados en el contrato de trabajo sobre normativas y poltica
s de seguridad.

Las cuentas de correo que no cumplan con la normativa de seguridad o los fines c
orporativos o de investigacin para lo que fueron creadas, pierden automticamente s
u caracterstica de privacidad.

La cuenta de usuario que mostrase un trafico excesivo y que almacenare software

de forma ilegal sern deshabilitadas temporalmente.

La informacin y el software tienen la caracterstica de ser propiedad intelectual,

la Corporacin no se responsabiliza por el uso del correo electrnico de parte de su
s empleados violentando la ley de derechos de autor.
2.3.1.3.

SEGURIDAD EN ACCESO DE TERCEROS

Al ser contratado como empleados de la Corporacin Autnoma Regional de los Valles d

el Sin y del San Jorge, se les entregar la documentacin necesaria para cubrir todas
las necesidades inherentes a su cargo.

Los requisitos mnimos de seguridad se expresan, en cuestin del monitoreo y adecuac

in de un servicio con respecto a su entorno o medio de operacin. El administrador
de sistemas tomar las medidas necesarias para asignar los servicios a los usuari
os externos.

El no cumplimiento de las disposiciones de seguridad y responsabilidad sobre su

s acciones por parte de los usuarios de la red institucional, se

obliga a la suspensin de su cuenta de usuario de los servicios.

2.3.1.4.

CONTROL DE ACCESO A LA RED


El administrador de sistemas disear los mecanismos necesarios para
proveer acceso a los servicios de la red institucional.

Los mecanismos de autenticacin y permisos de acceso a la red, debern

ser evaluados y aprobados por el Administrador de la red.

El Administrador, har evaluaciones peridicas a los sistemas de red, con el objetiv

o de eliminar cuentas de acceso sin proteccin de seguridad, componentes de red co
mprometidos.

El personal que de soporte a escritorio remoto efectuar la conexin

desde un maquina personal, en ningn momento lo har desde una red o
rea de servicios pblicos.

El administrador de sistemas, verificar que el trafico de red sea, estrictamente

normal, la variacin de este sin ninguna razn obvia, pondr en marcha tcnicas de anlis
is concretas.

Los dispositivos de red, estarn siempre activos, y configurados correctamente par

a evitar anomalas en el trafico y seguridad de informacin de la red institucional.

Se utilizarn mecanismos y protocolos de autenticacin como, ssh, IPsec, Claves pbli

as y privadas, autenticacin usuario/contrasea, cualquiera de ellos ser valido para
la autenticacin.

Los archivos de registro o logs de los dispositivos de red, debern estar

activados y configurados correctamente, en cada dispositivo.
2.3.1.5.

MONITOREO DEL ACCESO Y USO DEL SISTEMA

Personal de Informtica:

El administrador de sistemas tendr especial cuidado al momento de instalar aplica

ciones en los servidores, configurando correctamente cada servicio con su respec
tivo permisos de ejecucin.

La finalizacin de la jornada laboral, termina con cualquier actividad desarrolla

en ese momento, lo cual implica guardar todo cuanto se utilice y apagar equipos
informticos antes de salir de las instalaciones.

El servidor de dominios, verificar y desactivar cualquier estacin de trabajo, que

ste en uso despus de la hora de salida o finalizacin de la jornada laboral.

No le esta permitido al usuario operador, realizar actividades de configuracin de

l sistema, bajo ninguna circunstancia.

Los servidores estarn debidamente configurados, evitando el abuso

de

personal extrao a la administracin estos.

En el caso de haber la necesidad de efectuar configuracin de servicios por ms de u

n usuario administrador de estos, se conceder acceso exclusivo mediante una cuent
a referida al servicio.

La cuenta administrativa, es propiedad exclusiva del administrador de sistemas.

Las aplicaciones prestadoras de servicios corrern con cuentas restrictivas y jams

con privilegios tan altos como los de la cuenta administrativa.
2.3.1.6.

CONTROL DE ACCESO A LAS APLICACIONES

Las aplicaciones debern contar con su respectiva documentacin, la cual

ser entregada a cada empleado de la Corporacin.

El usuario tendr los permisos de aplicaciones necesarios para ejercer su

trabajo.

Tienen acceso total a las aplicaciones y sus archivos, los usuarios que lo ameri
ten por su cargo dentro de la Corporacin, siempre que sea aprobado por el comit de
seguridad.

Los niveles de privilegio son definidos por el comit de seguridad, en base

a lo importante o critico de la informacin que procesar el usuario.


Antes de ser puestas en ejecucin, las aplicaciones recibirn
una
auditoria sobre fallos o informacin errnea que puedan procesar.

Se hace nfasis en la importancia que tienen las salidas de informacin

provistas por una aplicacin, sin importar el medio de salida.

El programador, apoyado por el Administrador de la red, depurar el

cdigo, de las aplicaciones, antes de ser puestas en un entorno operativo.

Se llevar un seguimiento en limpio sobre que terminales es posible

efectuar las salidas de informacin desde el servidor.

La informacin ser visualizada nicamente en terminales previamente definidas, ya se

mediante direccionamiento de hardware o direccionamiento IP.

En el registro de sucesos del sistema se registran todas las actividades realiza

das por un determinado usuario, sobre las aplicaciones.

Se verifica constantemente la operatividad de los registros de logs, que no sea

n alterados de forma fraudulenta.
2.3.1.7.

MONITOREO DEL ACCESO Y USO DEL SISTEMA

Los archivos de registro de sucesos de los sistemas de aplicacin y de operacin, se

mantienen siempre activos y en ningn momento debern ser deshabilitados.

De ser necesarios, se crearan archivos de ejecucin de comandos por lotes para ver
ificar que se cumpla el grabado completo de la informacin a la que es accedida po
r los usuarios, aplicaciones, sistemas, y para los dispositivos que guardan esto
s archivos.

Es necesario efectuar un respaldo de los archivos de registro o logs, fuera de l

os dispositivos que les creen.

Los archivos de logs deben ser respaldados en tiempo real, sus nombres deben con
tener la hora y la fecha en la que fueron creados sus originales.
2.3.2. GESTIN DE OPERACIONES Y COMUNICACIONES
2.3.2.1.
RESPONSABILIDADES
OS OPERATIVOS.

DEL

USUARIO SOBRE

LOS PROCEDIMIENT

Es la unidad de sistemas es quien crea las reglas para la ejecucin de

algn servicio.

Los sistemas son configurados para responder de forma automtica, con la presentac
in de un informe que denote las caractersticas propias de un error en el sistema.
2.3.2.2.

PLANIFICACIN Y ACEPTACIN DE SISTEMAS

Ninguna otra persona que no sea la expresada en el la poltica de aceptacin y creac

in de sistemas puede intervenir, sino es por peticin expresa de alguna de estas.

Ninguna persona que labore para la Corporacin, est facultada para instalar softwar
e en las estaciones de trabajo, sin antes haberse aprobado su utilizacin.

Sin importar el origen del software y la utilizacin del mismo dentro de la Corpor
acin, ste ser evaluado, haya sido o no aprobada su utilizacin. Ninguna clase de cdigo
ejecutable ser puesto en marcha sin antes haber pasado el control de anlisis sobr
e seguridad del mismo.

Antes de efectuar cualquier anlisis o prueba sobre los sistemas de produccin, se r

ealizarn backups generales, de la informacin que en ellos se procesa y del sistema
en si.

Los sistemas o dispositivos que aun estn conectados a la red, pero que no tienen
utilizacin productiva alguna para la Corporacin, se les deber eliminar cualquier ra
stro de informacin que hayan contenido.
2.3.2.3.

PROTECCIN CONTRA SOFTWARE MALICIOSO

El software que venga de empresas no reconocidas o acreditadas

como

no confiables, no tendr valor alguno para la Corporacin siempre que

esta sea en formato ejecutable.

El administrador supervisar la instalacin y correcta configuracin de software anti

irus en todas y cada una de las estaciones de trabajo de la Corporacin.
2.3.2.4.

MANTENIMIENTO DE SISTEMAS Y EQUIPO DE CMPUTO

El usuario no est facultado a intervenir fsica o lgicamente ninguna

estacin de trabajo, que amerite reparacin.

En ningn momento es aceptable la modificacin de archivos en los equipos informtico

, sino es bajo circunstancias especiales, en las que de no hacerse de esa maner
a el sistema queda inutilizable.

En caso de ser afirmativo el cambio de archivos se har un backup

general de la aplicacin o sistema al cual se le realiza el cambio.

Cualquier falla efectuada en las aplicaciones o sistemas, por la manipulacin errne

a de archivos, posterior mantenimiento deber ser notificada y reparada por el per
sonal tcnico encargado en dicha funcin.

Se deber haber una bitcora completa, en cuando a las versiones

de
actualizacin del software y de las revisiones instaladas en los sistemas.
2.3.2.5.
SEGURIDAD
DE ALMACENAMIENTO

EN

EL

MANEJO DE

LOS

MEDIOS

La clasificacin e identificacin de los medios de almacenamiento, es

acorde al propsito u objetivo por el cual se respalda.

Bajo ninguna circunstancia se dejarn desatendidos los medios

de
almacenamiento, o copias de seguridad de los sistemas.

Todo medio de almacenamiento deber ser documentado e inventariado

en un registro especfico y nico sobre medios de almacenamiento.

La ubicacin de los medios de almacenamiento deber estar alejada del polvo, humedad
, o cualquier contacto con material o qumicos corrosibles. La llave de seguridad
que da acceso a los medios de almacenamiento resguardados bajo supervisin de la g
erencia, ser mantenida bajo estricta seguridad por cualquiera de las dos entidade
s encargadas de mantener la seguridad de los medios.

Entre la documentacin de seguridad deber existir un control para la

clasificacin y resguardo de los medios de almacenamiento.

2.4.

SEGURIDAD FSICA

2.4.1. LA SEGURIDAD EN LOS DIFERENTES DEPARTAMENTOS DE PROCESAMIENTO DE INFORMA

CIN
2.4.1.1.

RESGUARDO DE LOS EQUIPOS DE CMPUTO

Usuarios comunes y administrativos:

La unidad de sistemas disear, toda la red de la Corporacin siguiendo

la normativa de cableado estructurado.

Es totalmente prohibido, salvo autorizacin o supervisin expresa de la unidad de si

stemas, la intervencin fsica de los usuarios sobre los recursos de la red instituc

ional (cables, enlaces, estaciones de trabajo, dispositivos de red).

Solo el personal autorizado es el encargado exclusivo de intervenir fsicamente lo

s recursos de la red institucional.
Personal de Informtica:

El soporte tcnico a las estaciones de trabajo y servidores, es responsabilidad de

la unidad de informtica, por tanto deben tomarse todas las medidas de seguridad
necesarias para evitar cualquier anomala por manipulacin errnea efectuada por terce
ros.

Las estaciones de trabajo y servidores, deben operar en ptimas condiciones, efect

uando un mantenimiento constante y acorde a las especificaciones de los fabrican
tes del equipo.

Se deber proteger las salas que contengan los servidores, o equipos de informacin
crticos, con paredes recubiertas de material aislante o antiincendios.

Las lneas de alimentacin de energa externa debern estar

protegidas
con filtros de proteccin para rayos.

Los centros de procesamiento de datos o unidades de procesos crticos, son zonas r

estringidas, nicamente accesibles por personal autorizado o que labore en dichas
instalaciones.

Al permanecer en las instalaciones de procesamiento de informacin, se dedicara nic

a y exclusivamente a los procesos relacionados con las actividades propias del c
entro de procesamiento, evitando cualquier actividad contraria a los objetivos p
ara los que fue diseada.

El personal debe contar con su respectiva identificacin, donde

se
identifique su nombre, rea de trabajo, cargo que desempea dentro
de

dicha rea y su fotografa.

Cada estacin de procesamiento crtico de informacin deber estar protegido con un d

ositivo de alimentacin ininterrumpida, que deber ser de uso exclusivo para dicha e
stacin.
2.4.1.2.

CONTROLES FSICOS GENERALES

Los respaldos de informacin de las estaciones de procesos crticos, solo lo realiza

ra el personal responsable de dicho proceso.

Las disqueteras, unidades USB y lectoras de CD debern

deshabilitarse
en aquellas mquinas en que no se necesiten.

Cada empleado de la Corporacin, velar por la correcta salvaguarda de la informacin

el dejar informacin desatendida sin ningn medio de seguridad verificable es una p
ractica prohibida y sancionable.

Se debe establecer los periodos de mantenimiento preventivo.

El Administrador deber llevar el registro del mantenimiento que se realizan a los

equipos de cmputo.

No se permite el ingreso a las instalaciones de procesos crticos, sin antes habe

rse completado el proceso de registro de informacin, en el documento especificado
para ese uso.

Dentro de las instalaciones de la unidad de sistemas, habr un espacio dedicado nic

a y exclusivamente al rea de servidores, la cual se mantiene separado mediante u
na divisin de pared y protegido su acceso bajo llave. Cualquier actividad anmala,
efectuada dentro de las instalaciones fsicas de procesamiento de informacin ser can
celada en el momento en que se constatase la actividad.

El personal de procesamiento de informacin ser relevado de su cargo, si este no es

t cumpliendo con las actividades asignadas a su cargo y por lo contrario dedicase
su tiempo a realizar actividades extraas a los objetivos del centro de procesami
ento.

Al ingresar a las reas de procesamiento de informacin, se da por aceptada la norma

tiva de permanencia en las instalaciones, desarrollada bajo la poltica de acceso

y permanencia a las reas de procesamiento de datos. Los equipos de oficina, como
cafeteras, aires acondicionados, entre otros no deben estar conectados al mismo
circuito que los sistemas informticos.

Se har una revisin peridica de los equipos de respaldo de energa o UPS, constatan
su capacidad y correcto funcionamiento, se registrara cada revisin en una bitcora
de control y funcionamiento de los equipos.

Los UPS son de uso exclusivo de cada estacin de trabajo.

Es responsabilidad de los usuarios la correcta utilizacin de los UPS.

Al finalizar con la jornada laboral es necesario que cada usuario de las

estaciones de trabajo verifique el apagado correctamente el equipo y dispositivo

UPS.

Se debe efectuar una revisin peridica de los circuitos.

Es responsabilidad del Administrador proveer los materiales informativos (cartel

es) necesarios en las diferentes salas o instalaciones fsicas de procesamiento de
informacin.

El material debe ser claramente entendible y visible por todos los usuarios.
2.4.2. ACTIVIDADES PROHIBITIVAS
Est prohibido el ingreso de bebida(s) o alimento(s) de cualquier tipo a los
reas de procesamiento de datos, sin el consentimiento expreso
del
administrador del rea o persona encargada.
Se prohbe a los usuarios utilizar equipos informticos, herramientas o servicios pr
ovistos por la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge, p
ara un objetivo distinto del que estn destinadas o para beneficiar a personas a
jenas a la Corporacin.
Se prohbe el ingreso de personas en estado de embriagues sin importar el cargo qu
e estas desempeen, a las instalaciones fsicas de procesamiento de datos crticos o n
o, para la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge.
2.5.

SEGURIDAD LEGAL

2.5.1. CONFORMIDAD CON LA LEGISLACIN

2.5.1.1.

CUMPLIMIENTO DE REQUISITOS LEGALES

Las acciones de los empleados de la Corporacin Autnoma Regional de los Valles del
Sin y del San Jorge, referente a la utilizacin de software pirata dentro de las in
stalaciones de la Corporacin, no son propias de la Corporacin.

La Corporacin se reserva todo derecho al utilizar software licenciado en sus equi

pos de produccin, bajo ninguna circunstancia se aprueba la utilizacin de software
sin licencia, en sus instalaciones.

La unidad de sistemas, llevar un control detallado sobre los inventarios de softw

are referente a sus licencias y contratos firmados para ser utilizados en la inf
raestructura tecnolgica de la red institucional.

El original de los contratos de arrendamiento de software, ser

resguardado por la Unidad de sistemas de la Corporacin.

La Corporacin no participa con sus empleados en la adquisicin

software de forma no legal.

de


La Corporacin no respalda que sus empleados puedan instalar software no licenciad
o en los equipos de trabajo, los cuales son propiedad exclusiva de la Corporacin
Autnoma Regional de los Valles del Sin y del San Jorge.

La Corporacin deshecha por completo la utilizacin de software pirata o no licencia

do, en las estaciones de trabajo, servidores, y equipo informtico personalizado,
que sea parte de sus inventarios informticos.

El contrato de licencia de usuario final tanto de software comercial con derecho

s de copyright, como de software libre con derechos de copyleft, son respetados
en su totalidad por la Corporacin Autnoma Regional de los Valles del Sin y del San
Jorge, sus empleados no pueden utilizar software de este tipo sin su respectiva
licencia.

La Corporacin a razn de seguridad de sus activos, realizar copias de seguridad de

as unidades de software que le son licenciadas en el contrato de arrendamiento,
con el objetivo de resguardar la licencia original y su medio fsico.

Las copias que se hagan del software original sern que se utilicen para
las instalaciones en toda la red institucional.

La transferencia de software comercial a terceros, es una

actividad
nicamente permisible, por un derecho concedido a la Corporacin por el
propietario intelectual del software o licencia en cuestin.

La Corporacin no hace uso indebido de estas licencias, obteniendo provecho por su

distribucin si no es acordado por su contrato de licencia de derechos de autor.

El software libre, es regido por la licencia GPL, y concedido a la Corporacin con

derechos de copyleft, por tanto, no es permitido en ningn momento la distribucin
ilegal de este software, hacindose acreedor la Corporacin o empleados de los derec
hos de propiedad intelectual.

Al laborar para la Corporacin, cualquier informacin, cdigo u otros, producida, med

ante tratamiento electrnico dentro de sus instalaciones, es propiedad irrevocable
de la Corporacin.

Ningn empleado de la Corporacin Autnoma Regional de los Valles del Sin y del San
ge, esta facultado a obtener software para la Corporacin, sino es mediante los ca
nales de gestin necesarios.
rea de Informtica:
2.5.1.2.

CUMPLIMIENTO TCNICO DE LA REVISIN Y

ACTUALIZACIN

DE LAS POLTICAS DE SEGURIDAD

La documentacin de seguridad ac provista, podr ser actualizada respetando todas y

ada una de las polticas que demandan su correcto diseo y aplicabilidad.

En ningn momento personal ajeno a los mencionados responsables de la actualizacin

y aprobacin de sta documentacin, debern ser designados como propietarios de los car
gos de actualizacin y aprobacin de los mismos, sin antes haber aprobado una prepar
acin tcnica para tales efectos.

El personal o usuarios de la red institucional debern tener pleno conocimiento de

la documentacin de seguridad, apegarse a ella en todo caso o gestin.

El medio exclusivo de soporte para la seguridad en el tratamiento de la informac

in de la Corporacin, lo constituyen las polticas de seguridad informtica y toda su r
eglamentacin tcnica, esto incluye un sistema de gestin de seguridad de la informacin
.

Se suspender por plazo de hasta un ao, por incumplimiento de la normativa de segur

idad informtica o de proteccin de datos en los casos en los que el(los) problema(s
) ocasionado(s), sea(n) crtico(s) y vital(es), para el correcto funcionamiento de
la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge.

El nico caso en el que personal ajeno o propio de la Corporacin no ser sancionado

or violacin a la seguridad informtica de la Corporacin, sern, los motivos previstos
en la poltica de excepciones de responsabilidad.

2.5.1.3.
NORMATIVA
DE INFORMACIN

SOBRE

AUDITORIAS

LOS

SISTEMAS

La ejecucin de una auditoria a los sistemas informticos, ameritar la planificacin

la misma, herramientas a utilizar en la auditoria, objetivos de la auditora, imp
licaciones legales, contractuales, requisitos y conformidad con la gerencia.

De no existir personal tcnicamente preparado para efectuar auditorias a la seguri

dad de la informacin, estos debern ser capacitados por personal especializado en e
l rea.

Salvo casos especiales toda auditora, deber estar respaldada por la

gerencia.

La implicacin de casos especiales, en los cuales sea necesario de

inmediato, amerita realizar auditorias sin una fecha planificada.

Sin importar la razn de la auditora, se llevara un control exhaustivo, se

tomar registro de cada actividad relaciona con sta, quines la realizan,

fechas, horas y todo lo que tenga que ver con la auditora en si.

El personal de auditora no est facultado a realizar cambios en los sistemas inform

icos, ya sea de los archivos que integran el sistema o de la informacin que en el
los se procesa.

Salvo caso especial, cualquier cambio efectuado al sistema de archivos, ser motiv
o de sancin.

Las auditoras a los sistemas, sern realizadas con equipos mviles (Laptops) conecta
os a la red, en ningn momento el sistema de produccin mantendr instalado software p
ara auditora en su disco duro.

Toda aplicacin para la auditora ser instalado correctamente y supervisado su uso,

esde las terminales remotas en el mismo segmento de red.

3.

RECOMENDACIONES

Crear un Sistema de Gestin de Seguridad de la Informacin, que supervise y normalic

e, toda actividad relacionada con la seguridad informtica.

Aprobar y poner en marcha el manual de polticas y normas de seguridad

informtica.

Actualizar de forma constante, transparente y de acuerdo a las necesidades exist

entes al momento, el manual de normas y polticas de seguridad informtica.

Asignar presupuesto para la gestin de seguridad de la informacin,

independiente de la unidad de informtica.

Asignar personal al rea de seguridad de la informacin.

Crear un comit de seguridad de la informacin.

Involucrar tanto personal tcnico, como directivos de la Corporacin, o a

la alta gerencia en temas de seguridad.

Fijar objetivos para la salvaguarda de la informacin.

Concienciar los usuarios, en temas de seguridad, hacerles sentirse responsables

y parte de la Corporacin.

Dar seguimiento a estndares internacionales sobre temas de

de la informacin.

seguridad

Realizar pruebas de intrusin, locales y externas por personal de la

Corporacin, de forma peridica.

Contratar los servicios de terceros (Hacking tico), para ejecutar pruebas

completas de intrusin a los sistemas de la red institucional.

Capacitar los empleados de la Corporacin, en temas de seguridad, adoptando un est

ricto control de las tcnicas ms comunes de persuasin de personal (Ingeniera Social).

5.1.

ORGANIGRAMA

ORGANIGRAMA SEGURIDAD INFORMTICA

RFC 1244, Site Security Handbook

5.3.

DESCRIPCIN DE PUESTOS Y PERFILES

Corresponde a la unidad de Sistemas de la Corporacin Autnoma Regional de los Valle

s del Sin y del San Jorge, la supervisin y verificacin de las redes y los dispositi
vos de comunicacin de la Corporacin, con especial atencin a la compatibilidad de eq
uipos y condiciones de seguridad de las instalaciones, as como el cumplimiento

de la normativa tcnica sobre verificaciones de los equipos que en cada caso sea a
plicable.

Es responsabilidad del Departamento de Informtica, la organizacin y puesta en marc

ha de las comunicaciones informticas necesarias dentro de las instalaciones de la
Corporacin Autnoma Regional de los Valles del Sin y del San Jorge, as como de las c
omunicaciones que sta realice con terceros.

Corresponde a ste departamento mantener informadas a las Autoridades de la Corpor

acin y al resto de los usuarios de los avances tecnolgicos que se vayan produciend
o en el rea de informtica (hardware, software, material de informtica, etc.). Hacie
ndo efecto de las responsabilidades antes descritas, se establecer una normativa
reguladora de los servicios de comunicacin informtica dentro de las instalaciones
fsicas de la Corporacin Autnoma Regional de los Valles del Sin y del San Jorge, y de
las que sta realice con terceros.

Dicha normativa deber referirse en todo caso a:

a)
La definicin del servicio o servicios prestados.
b)
El nivel de prestacin.
c)
Los derechos y deberes de los usuarios.
d)
Las garantas tcnicas y jurdicas del servicio.

Las normas generales de Seguridad Informtica, de la Corporacin Autnoma Regional de

los Valles del Sin y del San Jorge, podrn condicionar el acceso a prestaciones de
la red en funcin de los niveles de compatibilidad y seguridad que se establezcan.
PERFIL COORDINADOR DE SISTEMAS


Corresponde al administrador, gestionar ante la gerencia una correcta aplicabili
dad de las normas y polticas establecidas para salvaguardar los activos de inform
acin de la Corporacin, as como de establecer los parmetros necesarios para el manten
imiento adecuado del Sistema de Gestin de Seguridad de la Informacin, desarrolland
o una serie de medidas estratgicas que propicien un alto nivel de seguridad en la
infraestructura tecnolgica de la Corporacin Autnoma Regional de los Valles del Sin
y del San Jorge, aceptable para los fines y objetivos institucionales.

El Coordinador de sistemas, podr constituir en el momento que crea conveniente, c

omisiones tcnicas de apoyo y asesoramiento, formadas por expertos en el rea de seg
uridad informtica; dichas comisiones sern siempre temporales.

Definir la misin de seguridad informtica de la Corporacin en conjunto

con la gerencia.

Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad

informtica en la Corporacin.

Definir la poltica de seguridad informtica de la Corporacin.

Definir los
procedimientos para
aplicar la
Poltica
de
segur
d
informtica.

Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las polt
icas dentro de la misin establecida.

Crear un grupo de respuesta a incidentes de seguridad, para atender los problema

s relacionados a la seguridad informtica dentro de la Corporacin.

Promover la aplicacin de auditoras enfocadas a la seguridad, para

evaluar las prcticas de seguridad informtica dentro de la Corporacin.

Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios
de seguridad en la Corporacin.

El coordinador de sistemas tiene como principal responsabilidad la administracin

y coordinacin diaria del proceso de Seguridad Informtica de la Corporacin.

Tiene como responsabilidad asegurar el buen funcionamiento del proceso de seguri

dad Informtica de la Corporacin.

Debe ser el punto de referencia para todos los procesos de seguridad y ser capaz
de guiar y aconsejar a los usuarios de la Corporacin sobre cmo desarrollar proced
imientos para la proteccin de los recursos.

Una tarea clave para el coordinador de sistemas, es guiar al cuerpo directivo y

a la administracin de la Corporacin ante incidentes de seguridad mediante un Plan
de Respuesta a Incidentes, con el fin de atender rpidamente este tipo de eventual
idades.

El coordinador de sistemas, es responsable de proponer y coordinar la realizacin

de un anlisis de riesgos formal en seguridad de la informacin que abarque toda la
Corporacin.

Es deber del coordinador de sistemas, el desarrollo de procedimientos de segurid

ad detallados que fortalezcan la poltica de seguridad informtica institucional.

El coordinador de sistemas, debe ser miembro activo del comit de seguridad, y man
tener contacto con los dems ingenieros de otras organizaciones, estar suscrito a
listas de discusin y de avisos de seguridad.

Es responsabilidad del coordinador de sistemas, promover la creacin y actualizacin

de las polticas de seguridad informtica, debido al comportamiento cambiante de la
tecnologa que trae consigo nuevos riesgos y amenazas.

Es responsabilidad del Coordinador de sistemas el desarrollo de un Plan de Segur

idad de la Informacin y el plan estratgico de sistemas PESI.

El Coordinador de sistemas debe atender y responder inmediatamente las notificac

iones de sospecha de un incidente de seguridad o de incidentes reales.

Es responsabilidad del Coordinador de sistemas, la elaboracin de un Plan de Respu

esta a Incidentes de Seguridad, con la finalidad de dar una respuesta rpida, que
sirva para la investigacin del evento y para la correccin del proceso mismo.

Es responsabilidad del Coordinador de sistemas, coordinar la realizacin peridica d

e auditoras a las prcticas de seguridad informtica.

El Coordinador de sistemas debe ser el punto central dentro de la Corporacin para

la revisin de problemas de seguridad de la informacin existentes y de aquellos qu
e se consideran potenciales.

El Coordinador de sistemas debe establecer la misin y metas internas en cuanto a

la seguridad de la informacin, de acuerdo a la misin y metas organizacionales.

El Coordinador de sistemas ser responsable de mantener relaciones interpersonales

, con otros Coordinadores de sistema de otras entidades, con el objetivo de ampl
iar sus conocimientos y aplicar soluciones a problemas de seguridad del entorno
institucional

Es responsable de mantenerse al da de las actualizaciones y nuevas

vulnerabilidades encontradas en el software de la Corporacin.

ste a su vez, coordinar con los responsables de los activos de los diferentes depa
rtamentos de la Corporacin, brindando los medios necesarios para asegurar la disp
onibilidad, integridad y confidencialidad de la informacin, previamente clasifica
da por los responsables de los activos.

Corresponde a los responsables de los activos, mantener un adecuado control sobr

e los recursos asignados a su departamento u oficina, clasificar cada activo segn
la importancia que ste tenga para los procesos desarrollados dentro del departam
ento o rea que tenga bajo su administracin o cargo. Coordinar sus esfuerzos con el
Coordinador de sistemas, brindando la informacin necesaria y relevante, con el o
bjetivo de lograr mantener una mejor y ms adecuada administracin de los recursos y
la Red Institucional.