PDF de programación - Manual de Políticas Institucionales de Seguridad de la Información

UNIDAD DE GESTIÓN DE TECNOLOGÍAS DE LA

INFORMACIÓN

Manual de Políticas Institucionales



de Seguridad de la Información



UNIDAD DE GESTIÓN DE TECNOLOGÍAS DE LA

INFORMACIÓN

Manual de Políticas Institucionales de Seguridad de

la Información



El presente Manual constituye el conjunto de Políticas Institucionales de Seguridad de la

Información, aprobadas por el Dr. José Barbosa, Rector – Canciller de la UTPL y revisadas

por el comité de Seguridad, integrado por:

Dr. Santiago Acosta – Vicecanciller UTPL

Dr. Roberto Beltrán – Director General Académico

Eco. Ramiro Armijos – Director Financiero Loja

Es deber de todos quienes son parte de la UTPL

cumplir con las políticas contenidas en el presente manual







CONTENIDO



1. Política de gestión de Riesgos………………………………………………….. ………5

2. Política de Seguridad de la Información…………………………………………….....13

3. Política de Responsabilidad de la Seguridad de la Información.…………………….19

4. Política de Gestión de Activos………………..…………………………………………33

5. Política de-seguridad Física en las Instalaciones……………………………….……..44

6. Política de Seguridad en las Comunicaciones y Operaciones……………………….50

7. Política de Control de Accesos Lógicos………………………………………………...70

8. Política de Adquisición, Desarrollo y Mantenimiento de

Sistemas Informáticos……………………………………………………..…... ………..81

9. Política de Gestión de Incidentes de Seguridad………………………………………..90

10. Política de Cumplimiento ……………………………………………………………….114

11. Política de Licenciamiento de Software ………………………………………………..119

12. Política de Gestión del Servicio …………………………………………………………126







POLÍTICA DE GESTIÓN DE RIESGOS POLÍTICA DE GESTIÓN DE RIESGOS CÓDIGO

POL-GR 1.0

FECHA DE
VIGENCIA

DESDE SU

APROBACIÓN



VERSIÓN

PÁGINAS

1.0

8



RUBRO

APROBADO POR:

APROBADO POR:

CARGO

JOSE BARBOSA

RECTOR CANCILLER

DR. SANTIAGO ACOSTA

COMITE DE SEGURIDAD UTPL

VICECANCILLER

DR. ROBERTO BELTRÁN

DIRECTOR GENERAL ACADÉMICO

DRA. ROSARIO DE RIVAS

DIRECTORA GENERAL MAD

ECO. RAMIRO ARMIJOS

DIRECTOR FINANCIERO LOJA

MARÍA PAULA ESPINOZA

DIRECTORA UGTI

MARCO CEVALLOS

GERENTE DE RIESGO



REVISADO POR:

DESARROLLADO POR:







GEST IÓN DE RIESGOS E IMPLEMENT ACIÓN DE

CONT ROLES

1. GENERALIDADES

GESTIÓN DE RIESGOS

BAJO DEMANDA

07/06/2011

Versión del
documento:

1.0

Proceso al
cual
pertenece:

Frecuencia de
ejecución:

Fecha de
elaboración:



2. OBJETIVOS

Identificar y minimizar la probabilidad de materialización de los riesgos que
puedan afectar a los procesos críticos de la Institución, soportados por el
ambiente tecnológico.

Identificar y minimizar la probabilidad de materialización de riesgos que puedan
afectar a los proyectos críticos.

3. NIVELES DE RESPONSABILIDAD



ROL O CARGO DEL

RESPONSABLE

NIVEL DE RESPONSABILIDADO FUNCIONES

Comité de Seguridad de
UTPL

 Aprobar esta política y otorgar lineamientos y

criterios generales para la gestión de riesgos.

Director de UGTI / Gerente
de Proyecto.

 Aprobar acciones y planes de mitigación de
riesgos críticos que puedan afectar a los
procesos de Gestión Académica y Gestión
Financiera.

 Revisar periódicamente el mapa de riesgos de
tecnología que puedan afectar a los procesos
críticos de la Universidad: Proceso de Gestión
Académica y Proceso de Gestión Financiera.

 Gestionar

y

dar

la
implementación de controles para mitigar los
riesgos tecnológicos.

seguimiento

a

 Definir los plazos de mitigación de cada riesgo
y un responsable, basado en las sugerencias
del Gestor de Riesgo.

Líderes de área

 Ejecutar los planes de acción para mitigar los

riesgos identificados.







Gestor de Riesgo

 Administrar el universo de riesgos tecnológicos
los

u operativos que pueden afectar a
procesos críticos de la Universidad.

 Recomendar y asesorar a la Dirección de
UGTI y al Comité de Seguridad en la toma de
decisiones o definición de directrices para
mitigar riesgos críticos.

 Presentar un

informe periódico sobre

la

exposición de riesgo tecnológico.

 Mantener informado de manera ejecutiva al
riesgos

Comité
importantes y sus métodos de mitigación.

de Seguridad

sobre

4. DESCRIPCIÓN DE LA POLÍTICA

4.1. NORMAS Y DISPOSICIONES GENERALES







Todos los miembros de la UGTI y de proyectos críticos deben informar a
la Unidad de Gestión de Riesgos la existencia de debilidades o
amenazas que puedan afectar a los intereses de la Universidad.
La Unidad de Gestión de Riesgos tiene la obligación de detectar y
sugerir controles para mitigar los riesgos identificados basándose en un
plan de acción aprobado por la UGTI.

 En caso de existir riesgos críticos o que afecten significativamente a los
procesos de Gestión Académica y/o Gestión Financiera, el plan de
acción debe aprobarlo el Comité de Seguridad de la UTPL.



Los riesgos críticos que serán informados al Comité de Seguridad de
UTPL deben presentar indicadores como costo, valor y retorno de
inversión, con la finalidad de facilitar a los niveles directivos la toma de
decisiones.

 En el Anexo A se detallan las escalas de: a) Probabilidad de ocurrencia
de un riesgo; y, b) Impacto en caso de materialización del riego. Estas
escalas han sido aprobadas por el Comité de Seguridad de UTPL.

 No se definirá cuantitativamente el apetito de riesgo en términos
económicos. Los límites de apetito de riesgo dependerán de cada
proyecto y deberán ser mitigados todos aquellos riesgos que afecten a
la operación Institucional y/o al cumplimiento de los objetivos principales
de un proyecto.

 Cualquier lineamiento general o cambio en la priorización de mitigación

de riesgo debe ser aprobada por el Comité de Seguridad de UTPL.

 En proyectos estratégicos como Syllabus+ se deberá presentar un
informe de los riesgos más importantes identificados al Comité Impulsor
creado para el efecto.



5. MARCO DE REFERENCIA





La administración del riesgo del proyecto se basará en términos de proceso en el
estándar internacional NIST SP 800-30 para la gestión del riesgo tecnológico.



6. GLOSARIO DE TERMINOS

Riesgos: Es la probabilidad de que ocurra un evento no deseado, afectando en
mayor o menor medida a los intereses de la Universidad.
Plan de acción: Se refiere al plan de mitigación de riesgo y los actores
involucrados.

Comité de Seguridad de UTPL: De acuerdo a la política Institucional de
Seguridad de la Información, el comité está compuesto por:

1. Presidida por el Vicecanciller.
2. Director General Académico.
3. Director General de Modalidad Abierta.

4. Director General Administrativo Financiero.
Sin embargo, siempre estará asesorado por el equipo técnico de riesgos.







Escalas de probabilidad de que un riesgo se materialiceMuy bajaBajaModeradaAltaMuy altaProbabilidad0,100,300,500,700,90SignificadoNunca ha pasadoHa pasado en alguna ocasiónHa pasado contadas ocasionesPasa la mayoría del tiempoActualmente ocurre. /Siempre ocurreEscalas de impacto de un riesgo sobre algunos factores que pueden afectar a la InstituciónMuy bajoBajoModeradoAltoMuy altoIMPACTO0,050,10,20,40,8CualitativoPérdida o daño insignificante. No aumenta las quejas de los usuariosNo hay impacto negativo en el patrimonio.Pérdida o daño menor. Aumentan las quejas de los usuarios. Impacto mínimo en el valor del patrimonio (activos)Pérdida significativa. Reclamos de usuarios a gran escala. Potencial pérdida de valor en el patrimonioPérdida o daño mayor. Investigación formal del regulador y aplicación de multas. Pérdida que afecta el valor del patrimonioPérdida catastrófica. Riesgo inaceptable en el sector. Intervención de ente regulador. Produce quiebra de la entidad o pone en peligro su continuidad. CuantitativoPérdida financiera <=$1000Pérdida financiera > $1000 <= $10.000Pérdida financiera >$10.000 y <=$100.000Pérdida financiera > $100.000 y <=$1.000.000Pérdida financiera >$1.000.000ObjetivosImpacto insignificante en el logro de los objetivos.Impacto menor que es fácilmente remediable.Algunos objetivos son afectadosAlgunos objetivos importantes no pueden ser alcanzados.La mayoría de los objetivos no pueden ser alcanzados.Reputación e imagenEl evento solo es de conocimiento de los ejecutivos directamente involucradosEl evento es de conocimiento general de la organizaciónEl evento es de conocimiento a nivel localEl evento es de conocimiento a nivel nacionalEl evento es de conocimiento a nivel internacionalAfectación al recurso humanoEvento que no ocasionó lesiones u ocasionó lesiones con incapacidad de hasta 3 díasEvento que ocasionó incapacidad de 3 días a 1 mesEvento que ocasionó incapacidad de 1 mes hasta 3 mesesEvento que ocasionó incapacidad de 3 a 6 mesesEvento que ocasionó pérdida de vidas humanas o incapacidad permanente.LegalLos activos no se ven expuestos a pérdidas ni comprometidos por vulnerabilidad de ámbito legal alguna. Las operaciones no se ven afectadas. Los pasivos y contingentes se incrementan en un nivel insignificante. Los activos se ven expuestos a pérdida y comprometidos en un nivel menor debido a la explotación de alguna vulnerabilidad en el ámbito legal. Las operaciones se ven afectadas en un nivel menor. Los pasivos y contingentes se incrementan en un nivel no importante. Los activos se ven expuestos a pérdida y comprometidos en un nivel moderado debido a algunas vulnerabilidades de ámbito le