Publicado el 25 de Abril del 2018
1.195 visualizaciones desde el 25 de Abril del 2018
1,8 MB
132 paginas
Creado hace 11a (02/05/2012)
UNIDAD DE GESTIÓN DE TECNOLOGÍAS DE LA
INFORMACIÓN
Manual de Políticas Institucionales
de Seguridad de la Información
UNIDAD DE GESTIÓN DE TECNOLOGÍAS DE LA
INFORMACIÓN
Manual de Políticas Institucionales de Seguridad de
la Información
El presente Manual constituye el conjunto de Políticas Institucionales de Seguridad de la
Información, aprobadas por el Dr. José Barbosa, Rector – Canciller de la UTPL y revisadas
por el comité de Seguridad, integrado por:
Dr. Santiago Acosta – Vicecanciller UTPL
Dr. Roberto Beltrán – Director General Académico
Eco. Ramiro Armijos – Director Financiero Loja
Es deber de todos quienes son parte de la UTPL
cumplir con las políticas contenidas en el presente manual
CONTENIDO
1. Política de gestión de Riesgos………………………………………………….. ………5
2. Política de Seguridad de la Información…………………………………………….....13
3. Política de Responsabilidad de la Seguridad de la Información.…………………….19
4. Política de Gestión de Activos………………..…………………………………………33
5. Política de-seguridad Física en las Instalaciones……………………………….……..44
6. Política de Seguridad en las Comunicaciones y Operaciones……………………….50
7. Política de Control de Accesos Lógicos………………………………………………...70
8. Política de Adquisición, Desarrollo y Mantenimiento de
Sistemas Informáticos……………………………………………………..…... ………..81
9. Política de Gestión de Incidentes de Seguridad………………………………………..90
10. Política de Cumplimiento ……………………………………………………………….114
11. Política de Licenciamiento de Software ………………………………………………..119
12. Política de Gestión del Servicio …………………………………………………………126
POLÍTICA DE GESTIÓN DE RIESGOS POLÍTICA DE GESTIÓN DE RIESGOS CÓDIGO
POL-GR 1.0
FECHA DE
VIGENCIA
DESDE SU
APROBACIÓN
VERSIÓN
PÁGINAS
1.0
8
RUBRO
APROBADO POR:
APROBADO POR:
CARGO
JOSE BARBOSA
RECTOR CANCILLER
DR. SANTIAGO ACOSTA
COMITE DE SEGURIDAD UTPL
VICECANCILLER
DR. ROBERTO BELTRÁN
DIRECTOR GENERAL ACADÉMICO
DRA. ROSARIO DE RIVAS
DIRECTORA GENERAL MAD
ECO. RAMIRO ARMIJOS
DIRECTOR FINANCIERO LOJA
MARÍA PAULA ESPINOZA
DIRECTORA UGTI
MARCO CEVALLOS
GERENTE DE RIESGO
REVISADO POR:
DESARROLLADO POR:
GEST IÓN DE RIESGOS E IMPLEMENT ACIÓN DE
CONT ROLES
1. GENERALIDADES
GESTIÓN DE RIESGOS
BAJO DEMANDA
07/06/2011
Versión del
documento:
1.0
Proceso al
cual
pertenece:
Frecuencia de
ejecución:
Fecha de
elaboración:
2. OBJETIVOS
Identificar y minimizar la probabilidad de materialización de los riesgos que
puedan afectar a los procesos críticos de la Institución, soportados por el
ambiente tecnológico.
Identificar y minimizar la probabilidad de materialización de riesgos que puedan
afectar a los proyectos críticos.
3. NIVELES DE RESPONSABILIDAD
ROL O CARGO DEL
RESPONSABLE
NIVEL DE RESPONSABILIDADO FUNCIONES
Comité de Seguridad de
UTPL
Aprobar esta política y otorgar lineamientos y
criterios generales para la gestión de riesgos.
Director de UGTI / Gerente
de Proyecto.
Aprobar acciones y planes de mitigación de
riesgos críticos que puedan afectar a los
procesos de Gestión Académica y Gestión
Financiera.
Revisar periódicamente el mapa de riesgos de
tecnología que puedan afectar a los procesos
críticos de la Universidad: Proceso de Gestión
Académica y Proceso de Gestión Financiera.
Gestionar
y
dar
la
implementación de controles para mitigar los
riesgos tecnológicos.
seguimiento
a
Definir los plazos de mitigación de cada riesgo
y un responsable, basado en las sugerencias
del Gestor de Riesgo.
Líderes de área
Ejecutar los planes de acción para mitigar los
riesgos identificados.
Gestor de Riesgo
Administrar el universo de riesgos tecnológicos
los
u operativos que pueden afectar a
procesos críticos de la Universidad.
Recomendar y asesorar a la Dirección de
UGTI y al Comité de Seguridad en la toma de
decisiones o definición de directrices para
mitigar riesgos críticos.
Presentar un
informe periódico sobre
la
exposición de riesgo tecnológico.
Mantener informado de manera ejecutiva al
riesgos
Comité
importantes y sus métodos de mitigación.
de Seguridad
sobre
4. DESCRIPCIÓN DE LA POLÍTICA
4.1. NORMAS Y DISPOSICIONES GENERALES
Todos los miembros de la UGTI y de proyectos críticos deben informar a
la Unidad de Gestión de Riesgos la existencia de debilidades o
amenazas que puedan afectar a los intereses de la Universidad.
La Unidad de Gestión de Riesgos tiene la obligación de detectar y
sugerir controles para mitigar los riesgos identificados basándose en un
plan de acción aprobado por la UGTI.
En caso de existir riesgos críticos o que afecten significativamente a los
procesos de Gestión Académica y/o Gestión Financiera, el plan de
acción debe aprobarlo el Comité de Seguridad de la UTPL.
Los riesgos críticos que serán informados al Comité de Seguridad de
UTPL deben presentar indicadores como costo, valor y retorno de
inversión, con la finalidad de facilitar a los niveles directivos la toma de
decisiones.
En el Anexo A se detallan las escalas de: a) Probabilidad de ocurrencia
de un riesgo; y, b) Impacto en caso de materialización del riego. Estas
escalas han sido aprobadas por el Comité de Seguridad de UTPL.
No se definirá cuantitativamente el apetito de riesgo en términos
económicos. Los límites de apetito de riesgo dependerán de cada
proyecto y deberán ser mitigados todos aquellos riesgos que afecten a
la operación Institucional y/o al cumplimiento de los objetivos principales
de un proyecto.
Cualquier lineamiento general o cambio en la priorización de mitigación
de riesgo debe ser aprobada por el Comité de Seguridad de UTPL.
En proyectos estratégicos como Syllabus+ se deberá presentar un
informe de los riesgos más importantes identificados al Comité Impulsor
creado para el efecto.
5. MARCO DE REFERENCIA
La administración del riesgo del proyecto se basará en términos de proceso en el
estándar internacional NIST SP 800-30 para la gestión del riesgo tecnológico.
6. GLOSARIO DE TERMINOS
Riesgos: Es la probabilidad de que ocurra un evento no deseado, afectando en
mayor o menor medida a los intereses de la Universidad.
Plan de acción: Se refiere al plan de mitigación de riesgo y los actores
involucrados.
Comité de Seguridad de UTPL: De acuerdo a la política Institucional de
Seguridad de la Información, el comité está compuesto por:
1. Presidida por el Vicecanciller.
2. Director General Académico.
3. Director General de Modalidad Abierta.
4. Director General Administrativo Financiero.
Sin embargo, siempre estará asesorado por el equipo técnico de riesgos.
Escalas de probabilidad de que un riesgo se materialiceMuy bajaBajaModeradaAltaMuy altaProbabilidad0,100,300,500,700,90SignificadoNunca ha pasadoHa pasado en alguna ocasiónHa pasado contadas ocasionesPasa la mayoría del tiempoActualmente ocurre. /Siempre ocurreEscalas de impacto de un riesgo sobre algunos factores que pueden afectar a la InstituciónMuy bajoBajoModeradoAltoMuy altoIMPACTO0,050,10,20,40,8CualitativoPérdida o daño insignificante. No aumenta las quejas de los usuariosNo hay impacto negativo en el patrimonio.Pérdida o daño menor. Aumentan las quejas de los usuarios. Impacto mínimo en el valor del patrimonio (activos)Pérdida significativa. Reclamos de usuarios a gran escala. Potencial pérdida de valor en el patrimonioPérdida o daño mayor. Investigación formal del regulador y aplicación de multas. Pérdida que afecta el valor del patrimonioPérdida catastrófica. Riesgo inaceptable en el sector. Intervención de ente regulador. Produce quiebra de la entidad o pone en peligro su continuidad. CuantitativoPérdida financiera <=$1000Pérdida financiera > $1000 <= $10.000Pérdida financiera >$10.000 y <=$100.000Pérdida financiera > $100.000 y <=$1.000.000Pérdida financiera >$1.000.000ObjetivosImpacto insignificante en el logro de los objetivos.Impacto menor que es fácilmente remediable.Algunos objetivos son afectadosAlgunos objetivos importantes no pueden ser alcanzados.La mayoría de los objetivos no pueden ser alcanzados.Reputación e imagenEl evento solo es de conocimiento de los ejecutivos directamente involucradosEl evento es de conocimiento general de la organizaciónEl evento es de conocimiento a nivel localEl evento es de conocimiento a nivel nacionalEl evento es de conocimiento a nivel internacionalAfectación al recurso humanoEvento que no ocasionó lesiones u ocasionó lesiones con incapacidad de hasta 3 díasEvento que ocasionó incapacidad de 3 días a 1 mesEvento que ocasionó incapacidad de 1 mes hasta 3 mesesEvento que ocasionó incapacidad de 3 a 6 mesesEvento que ocasionó pérdida de vidas humanas o incapacidad permanente.LegalLos activos no se ven expuestos a pérdidas ni comprometidos por vulnerabilidad de ámbito legal alguna. Las operaciones no se ven afectadas. Los pasivos y contingentes se incrementan en un nivel insignificante. Los activos se ven expuestos a pérdida y comprometidos en un nivel menor debido a la explotación de alguna vulnerabilidad en el ámbito legal. Las operaciones se ven afectadas en un nivel menor. Los pasivos y contingentes se incrementan en un nivel no importante. Los activos se ven expuestos a pérdida y comprometidos en un nivel moderado debido a algunas vulnerabilidades de ámbito le
Comentarios de: Manual de Políticas Institucionales de Seguridad de la Información (0)
No hay comentarios