ESCUELA POLITECNICA
DEL EJERCITO
Manual de Políticas
de Seguridad
Informática
PROGRAMA ACTUALIZACIÓN DE
CONOCIMIENTOS
COME...
ESPE-PAC Página 1
MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD
INFORMÁTICA
Introducción
La base para que cualquier organi...
ESPE-PAC Página 2
LEY DE COMERCIO ELECTRONICO, FIRMAS
ELECTRONICAS Y MENSAJES DE DATOS
TITULO PRELIMINAR
Art. 1.- Objeto d...
ESPE-PAC Página 3
3. Si un usuario tiene sospechas de que su acceso autorizado (identificador de
usuario y contraseña) est...
ESPE-PAC Página 4
FIRMA ELECTRONICA
1. Para que una firma electrónica pueda ser utilizada deberá ser registrada en
el depa...
ESPE-PAC Página 5
respectiva legalización y verificación en CONELEC para realizar la
revalidación respectiva.
6. Si el tit...
Upcoming SlideShare
Loading in...5
×

ACTIVIDAD DE APRENDIZAJE N° 7 : Manual de politicas de seguridad informatica

120

Published on

Manual de Politicas de Seguridad Informatica
ESPE-PAC
CINTHIA DUQUE
ACTIVIDAD DE APRENDIZAJE N° 7

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
120
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ACTIVIDAD DE APRENDIZAJE N° 7 : Manual de politicas de seguridad informatica

  1. 1. ESCUELA POLITECNICA DEL EJERCITO Manual de Políticas de Seguridad Informática PROGRAMA ACTUALIZACIÓN DE CONOCIMIENTOS COMERCIO ELECTRÓNICO CINTHIA DUQUE GALLARDO
  2. 2. ESPE-PAC Página 1 MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA Introducción La base para que cualquier organización pueda operar de una forma confiable en materia de Seguridad Informática comienza con la definición de las políticas y estándares. La Seguridad Informática, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades en materia de seguridad. Este documento manifiesta las principales políticas de seguridad informática para los siguientes puntos:  Técnicas de Encriptación  Certificados Digitales  Firma Digital BENEFICIOS DE IMPLANTAR POLÍTICAS DE SEGURIDAD INFORMÁTICA Los beneficios de un sistema de seguridad con políticas claramente concebidas bien elaboradas son inmediatos, ya que SASF trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:  Aumento de la productividad.  Aumento de la motivación del personal.  Compromiso con la misión de la compañía.  Mejora de las relaciones laborales.  Ayuda a formar equipos competentes.  Mejora de los climas laborales para los Recursos Humanos
  3. 3. ESPE-PAC Página 2 LEY DE COMERCIO ELECTRONICO, FIRMAS ELECTRONICAS Y MENSAJES DE DATOS TITULO PRELIMINAR Art. 1.- Objeto de la ley.- Esta ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas. DEFINICIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA En esta sección del documento se presenta una propuesta de políticas de seguridad, como un recurso para mitigar los riesgos a los que nos vemos expuestos: TECNICAS DE ENCRIPTACIÓN Identificadores de usuario y contraseñas 1. Todos los usuarios con acceso a un sistema de información o a una red informática, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña. 2. Ningún usuario recibirá un identificador de acceso a la Red de Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no acepte formalmente la Política de Seguridad vigente. 3. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la información. 4. La longitud mínima de las contraseñas será igual o superior a ocho caracteres, y estarán constituidas por combinación de caracteres alfabéticos, numéricos y especiales. Responsabilidades personales 1. Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros 2. Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario.
  4. 4. ESPE-PAC Página 3 3. Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña) está siendo utilizado por otra persona. 4. El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho caracteres constituida por una combinación de caracteres alfabéticos, numéricos y especiales. Uso del correo electrónico 1. Los usuarios no deben usar cuentas de correo electrónico asignadas a otras personas, ni recibir mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien más (mientras esta persona se encuentre fuera o de vacaciones) el usuario ausente debe re direccionar el correo a otra cuenta de correo interno, quedando prohibido hacerlo a una dirección de correo electrónico externa, a menos que cuente con la autorización del Área de Sistemas y Calidad. 2. Los usuarios deben tratar los mensajes de correo electrónico y archivos adjuntos como información de propiedad de la institución. Los mensajes de correo electrónico deben ser manejados como una comunicación privada y directa entre emisor y receptor. 3. Los usuarios podrán enviar información reservada y/o confidencial vía correo electrónico siempre y cuando vayan de manera encriptada y destinada exclusivamente a personas autorizadas y en el ejercicio estricto de sus funciones y atribuciones 4. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo electrónico. DE LAS FIRMAS ELECTRÓNICAS, CERTIFICADOS DE FIRMA ELECTRONICA, ENTIDADES DE CERTIFICACION DE INFORMACION, ORGANISMOS DE PROMOCION DE LOS SERVICIOS ELECTRONICOS, Y DE REGULACION Y CONTROL DE LAS ENTIDADES DE CERTIFICACION ACREDITADAS CAPITULO I DE LAS FIRMAS ELECTRONICAS Art. 13.- Firma electrónica.- Son los datos en forma electrónica consignados en un mensaje de datos, adjuntados o lógicamente asociados al mismo, y que puedan ser utilizados para identificar al titular de la firma en relación con el mensaje de datos, e indicar que el titular de la firma aprueba y reconoce la información contenida en el mensaje de datos.
  5. 5. ESPE-PAC Página 4 FIRMA ELECTRONICA 1. Para que una firma electrónica pueda ser utilizada deberá ser registrada en el departamento jurídico de la institución, ya que previa autorización de uso se pueda disponer al personal que podrá hacer uso de la misma para la respectiva legalización de documentos. 2. La firma electrónica será únicamente usada en la institución en el envío de documentos internos previa autorización de la persona. 3. Se deberá llevar un correcto registro de uso de la firma electrónica con el número del documento, fecha, asunto, a quien va dirigido, quien lo recibe y quien lo envía. 4. Una vez hecho uso de la firma electrónica, se deberá solicitar la respectiva recepción del documento a fin de verificar que sea el mismo que se envió. 5. La persona encargada del envió y recepción de documentos, deberá mantener un archivo con dichos documentos en su forma original. 6. La persona encarga de uso de la firma electrónica deberá cumplir obligatoriamente con las políticas de encriptación (login y password) para el ingreso a su equipo de trabajo como para uso de los diferentes correos electrónicos institucionales. 7. DE LOS CERTIFICADOS DE FIRMA ELECTRONICA Art. 20.- Certificado de firma electrónica.- Es el mensaje de datos que certifica la vinculación de una firma electrónica con una persona determinada, a través de un proceso de comprobación que confirma su identidad. CERTIFICADOS DIGITALES 1. Establecer un titular de la institución, el mismo que será el representante con la entidad certificada para obtener los certificados necesarios. 2. El titular de la institución deberá mantener la información personal de las personas que realizan firma electrónica y deberá eventualmente ser verificada para un mejor control. 3. El titular del certificado conjuntamente con la entidad certificadora determinar el plazo de validez del certificado. 4. El titular será el encargado de llevar un control de cada uno de los certificados ya sean de validez, suspensión, revocados o no vigentes, a fin de en un futuro realizar una verificación con la entidad contratante. 5. En caso de obtener certificados de firma digital o electrónica el titular de la institución será el encargado de hacer los trámites pertinentes para su
  6. 6. ESPE-PAC Página 5 respectiva legalización y verificación en CONELEC para realizar la revalidación respectiva. 6. Si el titular recibiere algún tipo de notificación de mal uso o intento de robo de la firma digital, el mismo deberá ser el encargado de presentar a la entidad contratante de los certificados.

×