SEGURIDAD DE ACCESO LGICO

DEFINICIONES
Poltica: son instrucciones mandatorios que indican la intencin de la alta direccin
respecto a la operacin de la organizacin.
Recurso Informtico: Elementos informticos (base de datos, sistemas operacionales,
redes, sistemas de informacin y comunicaciones) que facilitan servicios informticos.
Informacin: Puede existir en muchas formas. Puede estar impresa o escrita en papel,
almacenada electrnicamente, transmitida por correo o utilizando medios electrnicos,
presentada en imgenes, o expuesta en una conversacin. Cualquiera sea la forma que
adquiere la informacin, o los medios por los cuales se distribuye o almacena, siempre
debe ser protegida en forma adecuada.
Usuarios Terceros: Todas aquellas personas naturales o jurdicas, que no son
funcionarios de la Institucin, pero que por las actividades que realizan en la Entidad,
deban tener acceso a Recursos Informticos
Ataque ciberntico: intento de penetracin de un sistema informtico por parte de un
usuario no deseado ni autorizado a accederlo, por lo general con intenciones
perjudiciales.
Brecha de seguridad: deficiencia de algn recurso informtico o telemtico que pone en
riesgo los servicios de informacin o expone la informacin en si misma, sea o no
protegida por reserva legal.
Certificado Digital: un bloque de caracteres que acompaa a un documento y que
certifica quin es su autor (autenticacin) y que no haya existido ninguna manipulacin de
los datos (integridad). Para firmar, el firmante emisor utiliza una clave secreta que le
vincula al documento. La validez de la firma podr ser comprobada por cualquier persona
que disponga de la clave pblica del autor

Definicin de Usuario final

Se considera a todo el personal de la Institucin y/o terceros que hacen uso de las
aplicaciones y la informacin con el objetivo de poder cumplir con sus correspondientes
funciones.

Obligaciones del Personal

Es responsabilidad del Personal de Equipos y Servicios tecnolgicos del Instituto cumplir
las polticas y normal del Manual de Polticas de Seguridad para el Centro Superior.

Entrenamiento y Capacitacin en Seguridad Informtica:

Todo empleado de la Institucin de nuevo ingreso deber contar con la induccin sobre el
Manual de Polticas de Seguridad Informtica donde se den a conocer las obligaciones
para los usuarios y las sanciones que pueden existir tras el incumplimiento.

POLTICAS DE SEGURIDAD
INFORMACIN Y DATOS INSTITUCIONALES U OFICIALES
Es toda aquella informacin y datos que se utilizan en todos los Procesos y
Procedimientos del Sistema Integrado de Gestin para el logro de los objetivos, metas,
propsitos misionales y la satisfaccin al cliente y que se maneja, transfiere y procesa en
un medio tal como: papel, auditivos, visuales, digitales, electrnicos y/o cualquier otro
medio que las circunstancias propias de la gestin y/o de los avances tecnolgicos se
requieran para el cumplimiento de las obligaciones y responsabilidades legales de la
Institucin.
Cualquier otro tipo de informacin que no est contemplada en la Poltica, no ser
Institucional u Oficial y en consecuencia no est permitido su uso, manipulacin,
transferencia, procesamiento a travs de los Recursos de Informticos y/o cualquier otro
mecanismo o medio de manejo.
ACCESO A LA INFORMACIN
Todos los funcionarios pblicos, contratistas, y pasantes que laboran para la Institucin
deben tener acceso slo a la informacin necesaria para el desarrollo de sus actividades.
En el caso de personas ajenas a la Institucin, la rectora, la Secretaria General, los jefes
de procesos deben autorizar slo el acceso indispensable de acuerdo con el trabajo
realizado por estas personas, previa justificacin.
El otorgamiento de acceso a la informacin est regulado mediante las normas y
procedimientos definidos para tal fin.
Todas las prerrogativas para el uso de los sistemas de informacin de la entidad deben
terminar inmediatamente despus de que el trabajador cesa de prestar sus servicios a la
entidad
Proveedores o terceras personas solamente deben tener privilegios durante el periodo del
tiempo requerido para llevar a cabo las funciones aprobadas. Para dar acceso a la
informacin se tendr en cuenta la clasificacin de la misma al interior de la Entidad, la
cual deber realizarse de acuerdo con la importancia de la informacin en la operacin
normal de la Institucin.

SEGURIDAD DE LA INFORMACIN
Los funcionarios pblicos, contratistas, y pasantes de la Institucin son responsables de la
informacin que manejan y debern cumplir los lineamientos generales y especiales
dados por la Institucin, por la Ley para protegerla y evitar prdidas, accesos no
autorizados, exposicin y utilizacin indebida de la misma.
Los funcionarios pblicos, contratistas, y pasantes no deben suministrar cualquier
informacin de la entidad a ningn ente externo sin las autorizaciones respectivas.
Todo funcionario que utilice los Recursos Informticos, tiene la responsabilidad de velar
por la integridad, confidencialidad, disponibilidad y confiabilidad de la informacin que
maneje, especialmente si dicha informacin est protegida por reserva legal o ha sido
clasificada como confidencial y/o crtica.
Los funcionarios, contratistas y pasantes deben firmar y renovar cada ao, un acuerdo de
cumplimiento de la seguridad de la informacin, la confidencialidad y el buen manejo de la
informacin. Despus de que el trabajador deja de prestar sus servicios a la Entidad, se
compromete entregar toda la informacin respectiva de su trabajo realizado. Una vez
retirado el funcionario, contratista o pasante de la Institucin deben comprometerse a no
utilizar, comercializar o divulgar los productos o a informacin generada o conocida
durante la gestin en la entidad, directamente o travs de terceros, as mismo, los
funcionarios pblicos que detecten el mal uso de la informacin estn en la obligacin de
reportar el hecho a la oficina de control interno.
Como regla general, la informacin de polticas, normas y procedimientos de seguridad se
deben revelar nicamente a funcionarios y entes externos que lo requieran, de acuerdo
con su competencia y actividades a desarrollar segn el caso respectivamente.

SEGURIDAD EN RECURSOS INFORMTICOS

Todos los recursos informticos deben cumplir como mnimo con lo siguiente:
Administracin de usuarios: Establece como deben ser utilizadas las claves de ingreso
a los recursos informticos. Establece parmetros sobre la longitud mnima de las
contraseas, la frecuencia con la que los usuarios deben cambiar su contrasea y los
perodos de vigencia de las mismas, entre otras.
Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos debern contar
con roles predefinidos o con un mdulo que permita definir roles, definiendo las acciones
permitidas por cada uno de estos. Debern permitir la asignacin a cada usuario de
posibles y diferentes roles. Tambin deben permitir que un rol de usuario administre el
Administrador de usuarios.
El control de acceso a todos los sistemas de computacin de la entidad debe realizarse
por medio de cdigos de identificacin y palabras claves o contraseas nicos para cada
usuario.

Las palabras claves o contraseas de acceso a los recursos informticos, que designen
los funcionarios pblicos, contratistas y pasantes de la Institucin son responsabilidad
exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona.
Los usuarios son responsables de todas las actividades llevadas a cabo con su cdigo de
identificacin de usuario y sus claves personales

Creacin de Usuarios

Cada administrador de servicios conjuntamente con el dueo del Servicio debern

definir el flujo de autorizacin y procedimiento de creacin de usuarios
considerando: las solicitudes y autorizaciones, roles y perfiles.

El nombre de usuario debe estar creado segn el estndar definido.

Gestin de accesos de usuarios

REGISTRO DE USUARIOS

El otorgamiento de roles y perfiles de usuario deber ser definido de acuerdo al

principio del mnimo privilegio.

Todo el personal del Liceo tendr asignado un nombre nico de usuario y

contrasea para acceder a los sistemas informticos permitidos segn su perfil. Si
existe alguna excepcin, esta debe ser autorizada por el Oficial de Seguridad.

Los administradores de servicios debern otorgar acceso a los diferentes sistemas

siempre que el solicitante posea la respectiva autorizacin.

Los administradores de cada servicio deber mantener actualizado sus registros

de usuario. As como una bitcora relacionada a accesos lgicos de los mismos.
Se debera mantener opciones y reportes automticos para obtener los listados
necesarios de las cuentas y privilegios de los usuarios en los sistemas.

GESTIN DE PRIVILEGIOS

Cada aplicacin debe gestionar el nivel de privilegios que tienen los usuarios
dentro del sistema informtico.

Todo el personal de la Institucin debe estar asociado a un rol/perfil en los

sistemas informticos de acuerdo a las actividades que realiza.

Es responsabilidad de los administradores de servidores y servicios, la correcta

administracin de las cuentas de acceso, el otorgamiento de privilegios de acuerdo
a las autorizaciones que se especifiquen en el flujo de autorizacin.

Cualquier cambio en la configuracin, a la cuenta brindada con privilegios

administrativos ser responsabilidad del usuario y docente y debern ser Notificar
al rea de Soporte, para el cambio de privilegios, previamente Autorizado por el
jefe de rea y vuelva a su configuracin inicial.
Control de Acceso al Sistema Operativo

Al terminar una clase en el laboratorio las maquinas, evitar dejar encendido el

equipo, dejarlo de manera correcta y en estado ptimo para su nueva utilizacin.

GESTIN DE CONTRASEAS DE USUARIO

Se debe aplicar el estndar de creacin de contraseas seguras para el acceso de

usuarios finales a los diferentes sistemas.

Se debe aplicar el estndar de creacin de contraseas seguras para el acceso a

la administracin de los sistemas, servidores o equipos de comunicacin.

Las claves de acceso a los sistemas deben ser protegidas mediante controles
criptogrficos.

Los sistemas crticos: como el sistema de Gestin Acadmica deben estar

configurados de tal manera que: o Permitan al usuario cambie su clave
obligatoriamente cuando ingresa por primera vez al sistema.
Se debe utilizar un sistema de gestin de usuarios que permita:

Bloquear al usuario en la aplicacin por 30 minutos luego de 5 intentos fallidos.

Cambiar la contrasea al menos cada ao para los usuarios finales, con

excepcin del sistema para subir calificaciones que debe ser cambiado cada 3
meses. Y cada 3 meses para las cuentas administradores de servicios,
servidores o equipos de comunicacin.

Verificar la robustez de las contraseas segn estndar ET1N04 y ET2N04

Todo el personal de la Institucin debe mantener sus equipos de trabajo diario

como: PC, PORTATIL con contrasea de acceso segura cuando no estn
trabajando en ellas.

Se debe cambiar inmediatamente la contrasea al sospechar o detectar que ha

sido comprometida.


ESTNDARES DE SEGURIDAD
ET1N04 Creacin de contraseas para usuarios finales de sistemas o aplicaciones
-

La contrasea debe tener una longitud mnima de seis caracteres

La contrasea debe ser una combinacin de letras y nmeros.
La contrasea no debe estar conformada por nombres o palabras comunes.

ET2N04 Creacin de contraseas para administracin

-

La contrasea debe tener una longitud mnima de ocho caracteres

La contrasea debe ser una combinacin de letras maysculas, minsculas,
nmeros y caracteres especiales
La contrasea no debe estar conformada por nombres o palabras comunes.

ET3N04 Creacin de cuentas

El nombre de usuario estar conformado por:
-

Letra del primer nombre

Letra del segundo nombre
Apellido
En caso que ya exista el nombre de usuario agregar secuencia de nmeros

RESPONSABILIDADES
Del administrador
El administrador de Sistemas es el encargado de mantener en buen estado los servidores
dentro de la red Institucional.

Se tendr acceso a internet, siempre y cuando se cumpla las medidas mnimas de

seguridad para acceder a este servicio y acaten las normas de los laboratorios y/o
oficinas administrativas de la Institucin.

Las actividades como exmenes, practicas, clases, tareas, maquinas libres, en los
laboratorios de Computo tienen la primera prioridad, por lo que a cualquier alumno
utilizando otro servicio (Ejemplo: Chat, internet) se le podr indicar que abandone
el laboratorio, si as fuese necesario.

De los usuarios

Los usuarios son responsables de toda actividad relacionada con el uso de su

acceso autorizado que la empresa le asigno.

Los usuarios no deben revelar bajo ningn concepto su contrasea a ninguna

persona ni mantenerla por escrito a la vista, ni al alcance de terceros.

Los usuarios no deben utilizar ningn acceso o contrasea de otro usuario,

aunque dispongan de la autorizacin del propietario.

En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar

su contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr
denegar el acceso y se deber contactar con el jefe inmediato para solicitar al
administrador de la red una nueva clave.

Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten
que afecte o pueda afectar a la seguridad de los datos de carcter personal:
prdida de listados y/o informacin, sospechas de uso indebido del acceso
autorizado por otras personas.

Los usuarios nicamente introducirn datos identificativos y direcciones o

telfonos de personas en las agendas de contactos de las herramientas
informticas

REVISIN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS

Los lderes/jefes de rea del colegio sern responsables de ejecutar una depuracin de
los derechos y privilegios de acceso de los colaboradores a su cargo, tanto en los
sistemas informticos, dispositivos de red, bases de datos, servidores. Esto se lo debe
realizar mnimo dos veces al ao.
Los administradores de servicios debern reportar trimestralmente al Oficial de Seguridad
los derechos y privilegios de acceso de los usuarios con altos privilegios en los activos de
informacin.

MANTENIMIENTO
El mantenimiento de las aplicaciones y software de sistemas es de exclusiva
responsabilidad del personal de informtica, o del personal de soporte tcnico.
Se llevar un registro global del mantenimiento efectuado sobre los equipos de
laboratorios y cambios realizados desde su instalacin.

CONSECUENCIAS Y SANCIONES
En caso de existir incumplimiento de la presente Poltica de Seguridad de la Informacin
por parte de un trabajador de la Institucin, se comunicar al jefe de rea para que tome
las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas
internas oficiales a ms de las responsabilidades civiles y penales a que hubiere lugar.

RESUMEN DE LAS POLTICAS DE CONTROL DE ACCESO EN LA

INSTITUCIN
-

Cada profesor y personal administrativo del colegio es responsable del mecanismo de

control de acceso que le sea proporcionado, como su nombre de usuario y
contrasea tiles para acceder a los recursos de red y a la infraestructura tecnolgica
de la Institucin, por lo cual no puede ser revelado a alguien ms.

El docente podr ingresar al sistema para registrar las notas de sus estudiantes
dentro de un tiempo establecido, el cual se le informar al inicio de clases, y la
contrasea de acceso se debe solicitar cada trimestre, es decir que tendr una fecha
de caducidad de tres meses para evitar posible manipulacin de notas.

Para que un usuario, ya sea docente o estudiante, pueda acceder a los sistemas de
intranet, primero debe registrarse con su nmero de cdula y datos personales lo que
validar su pertenencia como profesor acreditado o estudiante matriculado, despus
de este registro ya puede obtener un usuario y contrasea.

Si un usuario tiene la sospecha de que su contrasea ha sido interceptada por otras

personas, debe notificarlo al jefe de sistemas y cambiarla inmediatamente, ya que
cada persona es responsable del uso de la cuenta asignada dentro de la institucin.

Todo uso indebido del servicio de correo electrnico corporativo, ser motivo de
suspensin temporal de su cuenta de correo o segn sea necesario la eliminacin
total de la cuenta dentro del sistema.

El docente ser responsable de la informacin que sea enviada con su cuenta de

correo de la Institucin.

Necesitamos que la red sea lo suficientemente robusta para que los estudiantes
puedan acceder a la informacin acerca de sus notas, observaciones de profesores,
consulta de horarios, sin que se ponga en riesgo su alteracin, por ese motivo los
estudiantes son usuarios limitados, cualquier cambio sobre los servicios a los que
estos tengan acceso, ser motivo de revisin y modificacin de esta poltica,
adecundose a las nuevas especificaciones.

La informacin sobre festividades del colegio, actos institucionales, y otra informacin

acerca de las normas establecidas debe estar abierta a todo el pblico que visite la
pgina, con acceso totalmente restringido al resto de servicios para evitar que se filtre
cualquier otro dato.

CONCLUSIONES

Para tener una red segura no slo es necesario protegerla contra los posibles
ataques de entes externos sino tambin educar a los usuarios sobre las polticas
de seguridad que se deben manejar y sus respectivas sanciones por
incumplimiento de las mismas.

Para que el usuario tenga total conocimiento de las normas de seguridad que rigen
el colegio, es necesario que estas aparezcan en la pgina de forma clara, visible y
concisa de manera que no se tenga escusa por la violacin de alguna de ellas
sobre todo si afecta directamente a la base de datos del colegio.

REFERENCIAS
[1] POLITICA DE SEGURIDAD DE INFORMACION. En lnea. Disponible en:
http://www.colmayorbolivar.edu.co/files/POLITICAS%20SEGURIDAD%20DE%20LA
%20INFORMACION.pdf
[2] Manual de Polticas Institucionales de Seguridad de la Informacin. En lnea.
Disponible en: http://csirt.utpl.edu.ec/sites/default/files/files/ManualPoliticas.pdf
[3] Administracin de la Seguridad Informatica para la Infraestructura Fisica y Logica de
la
sede
del
Instituto
SISE.
En
lnea.
Disponible
en:
http://www.dspace.espol.edu.ec/bitstream/123456789/417/1/724.pdf
[4] POLITICA DE SEGURIDAD PARA INSTITUCION EDUCATIVA. En lnea. Disponible
en:
https://docs.google.com/document/d/1KP5QAdW_uPRjFVk2olpHOIXbtqlmRFGg6dgogC5
q7GM/edit