ACTIVIDAD DE APRENDIZAJE N° 7 : Manual de politicas de seguridad informatica
1. ESCUELA POLITECNICA
DEL EJERCITO
Manual de Políticas
de Seguridad
Informática
PROGRAMA ACTUALIZACIÓN DE
CONOCIMIENTOS
COMERCIO ELECTRÓNICO
CINTHIA DUQUE GALLARDO
2. ESPE-PAC Página 1
MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD
INFORMÁTICA
Introducción
La base para que cualquier organización pueda operar de una forma confiable
en materia de Seguridad Informática comienza con la definición de las políticas
y estándares.
La Seguridad Informática, es una función en la que se deben evaluar y
administrar los riesgos, basándose en políticas y estándares que cubran las
necesidades en materia de seguridad.
Este documento manifiesta las principales políticas de seguridad informática
para los siguientes puntos:
Técnicas de Encriptación
Certificados Digitales
Firma Digital
BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA
Los beneficios de un sistema de seguridad con políticas claramente
concebidas bien elaboradas son inmediatos, ya que SASF trabajará sobre una
plataforma confiable, que se refleja en los siguientes puntos:
Aumento de la productividad.
Aumento de la motivación del personal.
Compromiso con la misión de la compañía.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los Recursos Humanos
3. ESPE-PAC Página 2
LEY DE COMERCIO ELECTRONICO, FIRMAS
ELECTRONICAS Y MENSAJES DE DATOS
TITULO PRELIMINAR
Art. 1.- Objeto de la ley.- Esta ley regula los mensajes de datos, la firma electrónica, los
servicios de certificación, la contratación electrónica y telemática, la prestación de servicios
electrónicos, a través de redes de información, incluido el comercio electrónico y la
protección a los usuarios de estos sistemas.
DEFINICIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA
En esta sección del documento se presenta una propuesta de políticas de
seguridad, como un recurso para mitigar los riesgos a los que nos vemos
expuestos:
TECNICAS DE ENCRIPTACIÓN
Identificadores de usuario y contraseñas
1. Todos los usuarios con acceso a un sistema de información o a una red
informática, dispondrán de una única autorización de acceso compuesta de
identificador de usuario y contraseña.
2. Ningún usuario recibirá un identificador de acceso a la Red de
Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no
acepte formalmente la Política de Seguridad vigente.
3. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y
recursos que precisen para el desarrollo de sus funciones, conforme a los
criterios establecidos por el responsable de la información.
4. La longitud mínima de las contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por combinación de caracteres
alfabéticos, numéricos y especiales.
Responsabilidades personales
1. Los usuarios no deben revelar bajo ningún concepto su identificador y/o
contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance
de terceros
2. Los usuarios no deben utilizar ningún acceso autorizado de otro usuario,
aunque dispongan de la autorización del propietario.
4. ESPE-PAC Página 3
3. Si un usuario tiene sospechas de que su acceso autorizado (identificador de
usuario y contraseña) está siendo utilizado por otra persona.
4. El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho
caracteres constituida por una combinación de caracteres alfabéticos,
numéricos y especiales.
Uso del correo electrónico
1. Los usuarios no deben usar cuentas de correo electrónico asignadas a
otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario
leer el correo de alguien más (mientras esta persona se encuentre fuera o
de vacaciones) el usuario ausente debe re direccionar el correo a otra
cuenta de correo interno, quedando prohibido hacerlo a una dirección de
correo electrónico externa, a menos que cuente con la autorización del Área
de Sistemas y Calidad.
2. Los usuarios deben tratar los mensajes de correo electrónico y archivos
adjuntos como información de propiedad de la institución. Los mensajes de
correo electrónico deben ser manejados como una comunicación privada y
directa entre emisor y receptor.
3. Los usuarios podrán enviar información reservada y/o confidencial vía
correo electrónico siempre y cuando vayan de manera encriptada y
destinada exclusivamente a personas autorizadas y en el ejercicio estricto
de sus funciones y atribuciones
4. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un
usuario de correo electrónico.
DE LAS FIRMAS ELECTRÓNICAS, CERTIFICADOS DE FIRMA ELECTRONICA,
ENTIDADES DE CERTIFICACION DE INFORMACION, ORGANISMOS DE
PROMOCION DE LOS SERVICIOS ELECTRONICOS, Y DE REGULACION Y
CONTROL DE LAS ENTIDADES DE CERTIFICACION ACREDITADAS
CAPITULO I
DE LAS FIRMAS ELECTRONICAS
Art. 13.- Firma electrónica.- Son los datos en forma electrónica consignados
en un mensaje de datos, adjuntados o lógicamente asociados al mismo, y
que puedan ser utilizados para identificar al titular de la firma en relación
con el mensaje de datos, e indicar que el titular de la firma aprueba y
reconoce la información contenida en el mensaje de datos.
5. ESPE-PAC Página 4
FIRMA ELECTRONICA
1. Para que una firma electrónica pueda ser utilizada deberá ser registrada en
el departamento jurídico de la institución, ya que previa autorización de uso
se pueda disponer al personal que podrá hacer uso de la misma para la
respectiva legalización de documentos.
2. La firma electrónica será únicamente usada en la institución en el envío de
documentos internos previa autorización de la persona.
3. Se deberá llevar un correcto registro de uso de la firma electrónica con el
número del documento, fecha, asunto, a quien va dirigido, quien lo recibe y
quien lo envía.
4. Una vez hecho uso de la firma electrónica, se deberá solicitar la respectiva
recepción del documento a fin de verificar que sea el mismo que se envió.
5. La persona encargada del envió y recepción de documentos, deberá
mantener un archivo con dichos documentos en su forma original.
6. La persona encarga de uso de la firma electrónica deberá cumplir
obligatoriamente con las políticas de encriptación (login y password) para el
ingreso a su equipo de trabajo como para uso de los diferentes correos
electrónicos institucionales.
7.
DE LOS CERTIFICADOS DE FIRMA ELECTRONICA
Art. 20.- Certificado de firma electrónica.- Es el mensaje de datos que certifica
la vinculación de una firma electrónica con una persona determinada, a través de
un proceso de comprobación que confirma su identidad.
CERTIFICADOS DIGITALES
1. Establecer un titular de la institución, el mismo que será el representante
con la entidad certificada para obtener los certificados necesarios.
2. El titular de la institución deberá mantener la información personal de las
personas que realizan firma electrónica y deberá eventualmente ser
verificada para un mejor control.
3. El titular del certificado conjuntamente con la entidad certificadora
determinar el plazo de validez del certificado.
4. El titular será el encargado de llevar un control de cada uno de los
certificados ya sean de validez, suspensión, revocados o no vigentes, a fin
de en un futuro realizar una verificación con la entidad contratante.
5. En caso de obtener certificados de firma digital o electrónica el titular de la
institución será el encargado de hacer los trámites pertinentes para su
6. ESPE-PAC Página 5
respectiva legalización y verificación en CONELEC para realizar la
revalidación respectiva.
6. Si el titular recibiere algún tipo de notificación de mal uso o intento de robo
de la firma digital, el mismo deberá ser el encargado de presentar a la
entidad contratante de los certificados.