ESCUELA POLITE CNICA DEL EJE RCITO

Manual de Políticas

de Seguridad

Informática

PROGRAMA ACTUALIZACIÓN DE

CONOCIMIENTOS

COMERCIO ELECTRÓNICO

CINTHIA DUQUE GALLARDO

ESPE-PAC Página 1

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD

INFORMÁTICA

Introducción

La base para que cualquier organización pueda operar de una forma confiable

en materia de Seguridad Informática comienza con la definición de las políticas

y estándares.

La Seguridad Informática, es una función en la que se deben evaluar y

administrar los riesgos, basándose en políticas y estándares que cubran las

necesidades en materia de seguridad.

Este documento manifiesta las principales políticas de seguridad informática

para los siguientes puntos:

Técnicas de Encriptación

Certificados Digitales

Firma Digital

BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA

Los beneficios de un sistema de seguridad con políticas claramente

concebidas bien elaboradas son inmediatos, ya que SASF trabajará sobre una

plataforma confiable, que se refleja en los siguientes puntos:

Aumento de la productividad.

Aumento de la motivación del personal.

Compromiso con la misión de la compañía.

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.

Mejora de los climas laborales para los Recursos Humanos

ESPE-PAC Página 2

LEY DE COMERCIO ELECTRONICO, FIRMAS

ELECTRONICAS Y MENSAJES DE DATOS

TITULO PRELIMINAR

Art. 1.- Objeto de la ley.- Esta ley regula los mensajes de datos, la firma electrónica, los

servicios de certificación, la contratación electrónica y telemática, la prestación de servicios

electrónicos, a través de redes de información, incluido el comercio electrónico y la

protección a los usuarios de estos sistemas.

DEFINICIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

En esta sección del documento se presenta una propuesta de políticas de

seguridad, como un recurso para mitigar los riesgos a los que nos vemos

expuestos:

TECNICAS DE ENCRIPTACIÓN

Identificadores de usuario y contraseñas

1. Todos los usuarios con acceso a un sistema de información o a una red

informática, dispondrán de una única autorización de acceso compuesta de

identificador de usuario y contraseña.

2. Ningún usuario recibirá un identificador de acceso a la Red de

Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no

acepte formalmente la Política de Seguridad vigente.

3. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y

recursos que precisen para el desarrollo de sus funciones, conforme a los

criterios establecidos por el responsable de la información.

4. La longitud mínima de las contraseñas será igual o superior a ocho

caracteres, y estarán constituidas por combinación de caracteres

alfabéticos, numéricos y especiales.

Responsabilidades personales

1. Los usuarios no deben revelar bajo ningún concepto su identificador y/o

contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance

de terceros

2. Los usuarios no deben utilizar ningún acceso autorizado de otro usuario,

aunque dispongan de la autorización del propietario.

ESPE-PAC Página 3

3. Si un usuario tiene sospechas de que su acceso autorizado (identificador de

usuario y contraseña) está siendo utilizado por otra persona.

4. El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho

caracteres constituida por una combinación de caracteres alfabéticos,

numéricos y especiales.

Uso del correo electrónico

1. Los usuarios no deben usar cuentas de correo electrónico asignadas a

otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario

leer el correo de alguien más (mientras esta persona se encuentre fuera o

de vacaciones) el usuario ausente debe re direccionar el correo a otra

cuenta de correo interno, quedando prohibido hacerlo a una dirección de

correo electrónico externa, a menos que cuente con la autorización del Área

de Sistemas y Calidad.

2. Los usuarios deben tratar los mensajes de correo electrónico y archivos

adjuntos como información de propiedad de la institución. Los mensajes de

correo electrónico deben ser manejados como una comunicación privada y

directa entre emisor y receptor.

3. Los usuarios podrán enviar información reservada y/o confidencial vía

correo electrónico siempre y cuando vayan de manera encriptada y

destinada exclusivamente a personas autorizadas y en el ejercicio estricto

de sus funciones y atribuciones

4. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un

usuario de correo electrónico.

DE LAS FIRMAS ELECTRÓNICAS, CERTIFICADOS DE FIRMA ELECTRONICA,

ENTIDADES DE CERTIFICACION DE INFORMACION, ORGANISMOS DE

PROMOCION DE LOS SERVICIOS ELECTRONICOS, Y DE REGULACION Y

CONTROL DE LAS ENTIDADES DE CERTIFICACION ACREDITADAS

CAPITULO I

DE LAS FIRMAS ELECTRONICAS

Art. 13.- Firma electrónica.- Son los datos en forma electrónica consignados

en un mensaje de datos, adjuntados o lógicamente asociados al mismo, y

que puedan ser utilizados para identificar al titular de la firma en relación

con el mensaje de datos, e indicar que el titular de la firma aprueba y

reconoce la información contenida en el mensaje de datos.

ESPE-PAC Página 4

FIRMA ELECTRONICA

1. Para que una firma electrónica pueda ser utilizada deberá ser registrada en

el departamento jurídico de la institución, ya que previa autorización de uso

se pueda disponer al personal que podrá hacer uso de la misma para la

respectiva legalización de documentos.

2. La firma electrónica será únicamente usada en la institución en el envío de

documentos internos previa autorización de la persona.

3. Se deberá llevar un correcto registro de uso de la firma electrónica con el

número del documento, fecha, asunto, a quien va dirigido, quien lo recibe y

quien lo envía.

4. Una vez hecho uso de la firma electrónica, se deberá solicitar la respectiva

recepción del documento a fin de verificar que sea el mismo que se envió.

5. La persona encargada del envió y recepción de documentos, deberá

mantener un archivo con dichos documentos en su forma original.

6. La persona encarga de uso de la firma electrónica deberá cumplir

obligatoriamente con las políticas de encriptación (login y password) para el

ingreso a su equipo de trabajo como para uso de los diferentes correos

electrónicos institucionales.

7.

DE LOS CERTIFICADOS DE FIRMA ELECTRONICA

Art. 20.- Certificado de firma electrónica.- Es el mensaje de datos que certifica

la vinculación de una firma electrónica con una persona determinada, a través de

un proceso de comprobación que confirma su identidad.

CERTIFICADOS DIGITALES

1. Establecer un titular de la institución, el mismo que será el representante

con la entidad certificada para obtener los certificados necesarios.

2. El titular de la institución deberá mantener la información personal de las

personas que realizan firma electrónica y deberá eventualmente ser

verificada para un mejor control.

3. El titular del certificado conjuntamente con la entidad certificadora

determinar el plazo de validez del certificado.

4. El titular será el encargado de llevar un control de cada uno de los

certificados ya sean de validez, suspensión, revocados o no vigentes, a fin

de en un futuro realizar una verificación con la entidad contratante.

5. En caso de obtener certificados de firma digital o electrónica el titular de la

institución será el encargado de hacer los trámites pertinentes para su

ESPE-PAC Página 5

respectiva legalización y verificación en CONELEC para realizar la

revalidación respectiva.

6. Si el titular recibiere algún tipo de notificación de mal uso o intento de robo

de la firma digital, el mismo deberá ser el encargado de presentar a la

entidad contratante de los certificados.