INGENIERIA EN SISTEMAS MENCION TELEMATICA

SEGURIDAD DE REDES
10MO CICLO

CORREOS DEL ECUADOR

Gestión de la Seguridad de la Información

JEISON PINARGOTE
ANTONIO LOPEZ
BLADIMIR RODRIGUEZ
NEBEL VIERA

2018 – 2019
GESTIÓN DE LA SEGURIDAD
Cobit

Madurez del cobit aplicado en correos del ecuador

la escala de madurez puede ser establecida de 0 al 5( de no existente a optimizado) o en
porcentajes

grafico de modelo de madurez

no existente inicial repetible definido administrado optimizado
0 1 2 3 4 5
0% 20% 40% 60% 80% 100%

situacion actual de la organizacion en porcentaje con respecto a las politicas

indicadores:
organizacion de la seguridad de la informacion 20%
Seguridad de los recursos humanos, 45%
Gestion de activos, 75%
controles de acceso, 55%
criptografia, 0%
seguridad fisica y del entorno, 65%
seguridad de las operaciones, 85%
seguridad de las comunicaciones, 70%
adquisicion, desarrollo y mantenimiento de sistemas, 60%
relacion con proveedores, 85%
gestion de incidente de seguridad de informacion, 85%
aspectos de seguridad de la informacion de la gestion, 10%
cumplimiento, 85%
MADUREZ DE LOS PROCESOS
INDICADORES:
politicas, 20%
roles y responsabilidades, 40%
objetos de la seguridad, 40%
soporte, 40%
recursos, 90%
valoracion de los riesgos, 70%
tratamiento de los riesgos, 70%
auditorias internas, 10%

ventajas:
Tienen implementado la norma iso 9000 de calidad y gestion de los procesos, ademas de la ley
organica de transparencia y acceso a la informacion publica

desventajas
No esta aplicado cobit en el organigrama de la organizacion para definir los planes de accion de la
seguridad de la informacion, definiendo riesgos y correctivos.

conclusiones
Las politicas de la seguridad de informacion no se aplican todos los controles o son casi inexistentes
por no haber claridad en los procesos o no estan actualizados
ya sea por la falta de concienciacion sobre la importancia que debe tener la informacion dentro y
fuera de la organizacion.
 Artitulos Cientificos
IT Governance Evaluation on Educational Institutions based on COBIT 5.0 Framework
Resumen
Este estudio analiza e identifica la compatibilidad de Marco COBIT 5.0 para instituciones
educativas en Indonesia. El enfoque de investigación utilizado es cualitativo al realizar una
entrevista en profundidad. A los 5 expertos y objetivos empresariales analizados cada uno.
Instituciones educacionales. Los entrevistados para esta investigación tienen Certificación
COBIT5. Resultado de esta investigación, hay 12 procesos que COBIT 5.0 tiene Más apropiado
para instituciones educativas, entre otras: APO. 01 (Gestionar el marco de gestión de TI), APO 07
(Gestionar Recursos Humanos), EDM 02 (Asegurar la Entrega de Beneficios), APO 04 (Gestionar
la innovación), EDM 01 (Asegurar el marco de gobernanza Configuración y mantenimiento), APO
02 (Gestionar estrategia), APO 03 (Gestionar Arquitectura Empresarial), APO 05 (Gestionar
Cartera), APO 08 (Gestionar relaciones), APO 11 (Gestionar calidad), BAI01 (Gestionar
programas y proyectos). Sobre la base de los resultados de esta investigación, el marco COBIT 5.0
puede Apoyar el gobierno de TI de las instituciones educativas, pero todavía es necesario otros
marcos, como ITIL, TOGAF y CMMI para admitir más Gobierno de TI confiable y manejable.[1]
[1] D. Z. Darmawan and Wella, “IT governance evaluation on educational institutions based on
COBIT 5.0 framework,” Proc. 2017 4th Int. Conf. New Media Stud. CONMEDIA 2017, vol. 2018–
January, pp. 50–55, 2018.

The governance measurement of information system using framework COBIT 5 in

Automotive Company
Resumen:
Esta investigación llevó a cabo la medición y evaluación de la gestión de TI en la empresa
automotriz. El objetivo de esta investigación es realizar la medición y evaluación del gobierno de
TI en el área de Toyota Plaza. La medición utilizó el marco COBIT 5 según el método del Modelo
de Evaluación de Procesos (PAM). El enfoque utilizó los datos básicos que se recolectaron por
entrevista y los interrogadores, y los datos secundarios por observación y etapas del documento. El
resultado de esta investigación muestra que la mayoría de los procesos de nivel de capacidad del
gobierno de TI en Automotive Company están en el Nivel 1 (realizado), son 7 procesos (EDM02,
APO02, APO04, BAI08, BAI09, DSS03, DSS04) y Nivel 2 (administrado ), son 2 procesos
(APO07, BAI04). La conclusión de esta investigación muestra que la mayor parte del nivel de
capacidad de proceso en el presente (tal como está) se encuentra en el nivel 1 (realizado) [2]

[2]K. R. P. Harefa and N. Legowo, "The governance measurement of information system using
framework COBIT 5 in Automotive Company," 2017 International Conference on Applied
Computer and Communication Technologies (ComCom), Jakarta, 2017, pp. 1-6.
IT Governance Framework Planning Based on COBIT 5
Resumen
Inversión en tecnología de la información en una empresa. Impulsado por la importancia de la
información que necesita una empresa. La compañía busca aumentar el valor de las inversiones en
TI que tiene. pasado en el campo. El consejo de administración de la empresa ha También entendió
la importancia de una TI efectiva y eficiente. ambiente. En el presente estudio, planificaremos el
gobierno de TI. marco que se alineará con una de las empresas en Indonesia que tiene un alto nivel
de seguridad. El diseño de este marco adoptará normas internacionales marco es COBIT 5. El
diseño debe hacerse para producir efectivos y una gobernanza eficiente para que el uso de la
tecnología de la información. puede ser optimizado [3]
[3] I. K. Nisrina, I. J. Matheus Edward, and W. Shalannanda, “IT governance framework
planning based on COBIT 5 case study: Secured internet service provider company: Case Study:
Secured internet service provider company,” Proc. - ICWT 2016 2nd Int. Conf. Wirel. Telemat.
2016, pp. 51–56, 2017.

GESTIÓN DE LA SEGURIDAD
2. Planes de Seguridad
Seguridad Física y Ambiental
Controlar los factores ambientales que podrían perjudicar el correcto funcionamiento del
equipamiento informático que alberga la información de los Sistemas de Información.

Controles de Acceso Físico

Los cuartos de comunicaciones y servidores se resguardarán mediante el empleo de controles de
acceso físico, a fin de permitir el ingreso sólo al personal autorizado. Esta autorización es definida
por el Comité de Seguridad Informática.

Protección de Oficinas, Recintos e Instalaciones

Para la selección y el diseño de un área protegida se tendrá en cuenta la posibilidad de daño
producido por incendio, inundación, explosión, agitación civil, y otras formas de desastres naturales
o provocados por el hombre. Se tomará en cuenta las disposiciones y estándares en materia de
sanidad y seguridad. Se considerarán las amenazas de seguridad que representan los edificios y
zonas aledañas.

Desarrollo de Tareas en Áreas Protegidas

Para incrementar la seguridad de las áreas protegidas, se establecerán controles para el personal
que trabaja en el área protegida, así como para las actividades de terceros que tengan lugar allí.
Seguridad del Cableado El cableado de energía eléctrica y de comunicaciones que transporta
datos o brinda apoyo a los servicios de información estará respalda a través de UPS y planta de
energía con respaldo de un tiempo prudencial.

Mantenimiento de Equipos
La realización de tareas de mantenimiento preventivo al equipamiento, de acuerdo con los
intervalos de servicio y especificaciones recomendados por el proveedor y con la autorización
formal del Comité de Sistemas.

Controles Contra Software Malicioso

El Comité de Sistemas y de Seguridad Informática definirá controles de detección y prevención
para la protección contra software malicioso y designará el personal encargado para dichos
controles.

Controles de Redes
El Área de TIC definirá controles para garantizar la seguridad de la infraestructura de
comunicaciones y los servicios conectados en las redes de la Institución, contra el acceso no
autorizado. Se podrán implementar controles para limitar la capacidad de conexión de los usuarios,
de acuerdo a las políticas que se establecen a tal efecto. Dichos controles se podrán implementar
en los firewalls Se incorporarán controles de ruteo, para asegurar que las conexiones informáticas
y los flujos de información no violen la Política de Control de Accesos. Estos controles
contemplarán mínimamente la verificación positiva de direcciones de origen y destino.

Administración de Medios Informáticos Removibles.

Con el propósito de salvaguardar las copias de seguridad de los sistemas de información de la
empresa, se dispone de un contrato con una empresa que custodia y salvaguarda la información que
periódicamente es enviada según el procedimiento establecido para cada sistema.

Seguridad del Correo Electrónico

Las posibles vulnerabilidades a errores, por ejemplo, consignación incorrecta de la dirección o
dirección errónea, y la confiabilidad y disponibilidad general del servicio. La posible recepción de
código malicioso en un mensaje de correo, el cual afecte la seguridad de la terminal receptora o de
la red a la que se encuentra conectada. Las consideraciones legales, como la necesidad potencial de
contar con prueba de origen, envío, entrega y aceptación. El acceso de usuarios remotos a las
cuentas de correo electrónico. El uso inadecuado por parte del personal.
Control de Acceso al Sistema Operativo
Identificación Automática de Terminales, El Área de TIC realizará una evaluación de riesgos a fin
de determinar el método de protección adecuado para el acceso y uso del Sistema Operativo a través
del Controlador de Dominio.

Procedimientos de Conexión de Terminales

El acceso a los servicios de información sólo será posible a través de un proceso de conexión
seguro. El procedimiento de conexión en un sistema informático será diseñado para minimizar la
oportunidad de acceso no autorizado.

Identificación y Autenticación de los Usuarios

Todos los usuarios (incluido el personal de soporte técnico, los operarios, administradores de red,
programadores de sistemas y administradores de bases de datos) tendrán un identificador único (ID
de usuario) solamente para su uso personal exclusivo.

Sistema de Administración de Contraseñas

El sistema de administración de contraseñas debe:
 Sugerir el uso de contraseñas individuales para determinar responsabilidades. Permitir que los
usuarios seleccionen y cambien sus propias contraseñas e incluir un procedimiento de confirmación
para contemplar los errores de ingreso.
 Imponer una selección de contraseñas de calidad según lo señalado en el procedimiento establecido
para el manejo y uso de contraseñas.
 Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias
contraseñas, según lo señalado en el punto anterior.
 Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de
identificación, en los casos en que ellos seleccionen sus contraseñas.
 Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de
las mismas.
 Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.
 Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.
 Almacenar las contraseñas utilizando un algoritmo de cifrado.
 Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el
hardware (por ejemplo claves de impresoras, hubs, routers, etc.).
 Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se
tenga acceso a información temporal o en tránsito de forma no protegida.

Control de Acceso a las Aplicaciones

Restricción del Acceso a la Información. Los usuarios de los sistemas de aplicación, incluyendo al
personal de TIC, tendrán acceso a la información y a las funciones de los sistemas de aplicación de
conformidad con la Política de Control de Acceso definida, sobre la base de los requerimientos de
cada aplicación, y conforme a los permisos otorgados de acuerdo al perfil solicitado por cada
coordinador de área, Administradores o responsables de los Sistemas de Información.
Validación de Datos de Entrada. Se validarán durante la etapa de diseño los controles que aseguren
la validez de los datos ingresados, tan cerca del punto de origen como sea posible, controlando
también datos permanentes y tablas de parámetros.

Controles Criptográficos
Para la protección de claves de acceso a sistemas, datos y servicios. Para el resguardo de
información, en el proceso de generación de backups de los sistemas de información.
 Correos del Ecuador
Políticas y Procedimientos
Título:
V1.0
RESPONSABILIDADES DEL EMPLEADO
Fecha de aprobación: 1 diciembre 2018 Revisión: Anual
Fecha de vigencia: 1 diciembre 2018 Tecnologías de la información

Responsabilidades del empleado

La primera línea de defensa en seguridad de datos es el usuario. Los usuarios son
responsables de la seguridad de todos los datos que puedan recibir en cualquier formato.
Se deben efectuar programas de capacitación continua para informar a todos los usuarios
de estos requisitos.

 Asistir a los programas de capacitación

 Mostrar su identificación de manera visible.
 Personal externo debe llevar credencial de visitante provisto por recepción, caso
contrario debe ser reportado.
 Todos los usuarios deben bloquear sus equipos informáticos, no deben ni pueden
modificar configuración alguna.
 No se permite la instalación, uso de programas que no sean provisto por la
empresa.
 Las computadoras solo se deben usar para el fin comercial de la empresa.
 Solo se permite el uso y conexión de los equipos informáticos provistos por la
empresa.
 La información generada por el usuario es de propiedad de la empresa.
 Cada usuario es responsable de sus recursos, cualquier anomalía en los mismos
deberá ser reportada al departamento correspondiente para tomar las acciones
debidas.

Actividades prohibidas

 Provocar de manera deliberada el mal funcionamiento de algún equipo

informático
 Intentar obviar seguridades para tener acceso a datos confidenciales o que no
corresponden a su área.
 Instalar o ejecutar programas ajenos a la empresa o que infecten o generen algún
código malicioso al sistema informático.
Uso del correo electrónico

Todos los mensajes y comunicación electrónica generados con los equipos provistos
son de propiedad de la empresa.

El uso de estos servicios en horario de oficina es permitido siempre y cuando

 Sea una cantidad ínfima de tiempo,
 No afecte la productividad o actividad de la empresa
 No sea usado para prácticas ilegales
 La empresa puede monitorear el contenido de cualquier comunicación electrónica

Acceso a Internet
Debido al costo que este recurso representa se debe asignar y restringir de manera
adecuada para cada usuario según la necesidad comercial o administrativa, sin ser este
usado para entretenimiento de cualquier índole.
Si se detectase un uso indebido del mismo, el usuario será notificado y sancionado según
la falta.

Informe de fallas en los programas

Es obligación de los usuarios reportar el mal funcionamiento de los programas que utiliza
al departamento adecuado.

En el caso que sea debido a una infección por virus, se deberá proceder a:

 No intentar solucionar el problema.

 Dejar de usar la computadora
 No realizar ninguna acción en algún mensaje o programa.
 No apague la computadora o los dispositivos periféricos.
 Desconecte físicamente la computadora de las redes a las que está conectada.
 Informar al personal apropiado y comunicar los eventos previos al inconveniente.

Transferencia de Información Confidencial

El usuario deberá mantener toda la información de manera confidencial.
Evitar que cualquiera pueda tener acceso, guardándola en los equipos físicos o rutas
lógicas de almacenamiento.
Evitar divulgar la información para evitar sanciones incluso legales.
No usar equipos o conexiones remotas inseguras que permitan a personal no autorizado
acceder a la información.
No trasladar la información fuera de las instalaciones de la empresa.

Mecanismos
 Capacitaciones continuas al personal, por parte de expertos en seguridad
informática internos / externos
 Auditorias para evaluar el correcto cumplimiento de las políticas y del personal.

Correos del Ecuador

Políticas y Procedimientos
Título:
V1.0
IDENTIFICACION Y AUTENTICACION
Fecha de aprobación: 1 diciembre 2018 Revisión: Anual
Fecha de vigencia: 1 diciembre 2018 Tecnologías de la información

Identificación y autenticación

Inicio de sesión
Todos los usuarios tendrán su ID de inicio de sesión el cual será validado por un sistema
de control para evitar accesos no autorizados.

 La creación o des habilitación de los inicios de sesión se coordinará entre el Dpto.

de RRHH y TI.
 A cada usuario se le asignará un identificador único.
 Los usuarios serán responsables de su identificación de inicio de sesión.
 El inicio de sesión de bloquea máximo a los 3 intentos fallidos.
 El desbloqueo tendrá que ser notificado al Dpto. de TI, con su documentación
correspondiente.
Claves de acceso del usuario
Las contraseñas son requeridas para acceder a todos los dispositivos o servicios de la
empresa, las cuales tendrán que cumplir políticas preestablecidas en el sistema de control.

 La longitud de estas deberá ser de mínimo 10 caracteres.

 Deben tener una combinación de mayúsculas, minúsculas, caracteres numéricos
y especiales.
 Se deben cambiar cada 90 días, y de manera inmediata aquella que se reporten
como comprometidas en su seguridad.
 No se podrán reutilizar las últimas 10 contraseñas.
 No se deben compartir con otros usuarios o anotarlas.

Sistema de control de acceso

Los sistemas de control de acceso incluyen tanto internos (contraseñas, cifrado, listas de
control de acceso, etc.) como externos (dispositivos de protección de puertos, firewalls,
autenticación basada en host). Las reglas de acceso a los recursos han sido establecidas
por el propietario o administrador de la información / aplicación responsable de los
recursos.

Mecanismos
 Implementación de un sistema de automatización LDAP (Lightweight Directory
Access Protocol) programado en PHP7 basado en el estandar X.500, llamado
MyRos(My computer Roster)

Correos del Ecuador

Políticas y Procedimientos
Título: CONECTIVIDAD DE RED VOZ Y
DATOS V1.0

Fecha de aprobación: 1 diciembre 2018 Revisión: Anual

Fecha de vigencia: 1 diciembre 2018 Tecnologías de la información
Conectividad de Red
La administración de configuración de todos los dispositivos de red tales como
enrutadores, switches, firewall, sistemas de detección de intrusos deberá ser
documentada, respaldada por el Dpto. de TI

 Identificar las redes y servicios de red a los cuales se permite el acceso.

 Realizar normas y procedimientos de autorización para determinar las personas y
las redes y servicios de red a los cuales se les otorgará el acceso mediante políticas.
 Establecer controles y procedimientos de gestión para proteger el acceso a las
conexiones y servicios de red mediante políticas.
 Asignar números telefónicos o líneas, en forma dedicada.
 Evitar la navegación ilimitada por la red mediante políticas.
 Imponer el uso de sistemas de aplicación y/o Gateway de seguridad específicos
para usuarios externos de la red.
 Controlar activamente las comunicaciones con origen y destino autorizados a
través de un Gateway, por ejemplo, utilizando firewalls.
 Restringir el acceso a redes, estableciendo dominios lógicos separados, VLans o
Vpn.

Mecanismos
 Firewalls
 Los controladores SDN como Maple, Nettle
 Lenguajes de flujo como Flow-Based Management Language (FML), Frenetic y
Pyretic proporcionan formas de expresar políticas de red de alto nivel utilizando
 Haskell y Python para gestionar las interacciones SDN dentro del dominio.

Correos del Ecuador

Políticas y Procedimientos
Título: INTEGRIDAD DE LA
INFORMACION V1.0

Fecha de aprobación: 1 diciembre 2018 Revisión: Anual

Fecha de vigencia: 1 diciembre 2018 Tecnologías de la información
Integridad de la información
Copias de Seguridad

Toda información que pertenezca a la matriz de activos de información institucional o

que sea de interés para un proceso operativo o de misión crítica debe ser respaldada por
copias de seguridad

 Configurar respaldos periódicos en servidores de almacenamiento locales y

externos.
 Configurar cronogramas y modos de respaldos para evitar una saturación de la
red.
 Evitar que el usuario modifique o cancele los respaldos.
 La restauración de alguna información desde los respaldos deberá ser solicitada
al Dpto. de TI con los formularios correspondientes.
 Efectuar auditorias aleatorias que permitan determinar el correcto funcionamiento
de los procesos de copia de seguridad
 Respaldos individuales de los usuarios en cualquier medio están prohibidos y
podrán incurrir en alguna sanción por confidencialidad.
.

Mecanismos
 Implementación de servidores con sistemas redundantes de almacenamiento
 Instalación y configuración de programa de respaldos agente servidor para
despliegue en la red
 Configuración de respaldos remotos en almacenamientos en la nube Amazon
 Análisis de información a respaldar por usuario y departamento.
 Auditoria para evaluar integridad, seguridad, confidencialidad e integridad de
los datos respaldados locales y remotos.

Correos del Ecuador

Políticas y Procedimientos
Título: CODIGO MALICIOSO V1.0
Fecha de aprobación: 1 diciembre 2018 Revisión: Anual
Fecha de vigencia: 1 diciembre 2018 Tecnologías de la información
Código malicioso:

Instalación de programas Antivirus

Todos los equipos informáticos tienen instalado un programa de antivirus, El Dpto. TI
encargado es quien monitorea y actualiza remotamente de manera automática tanto el
motor de búsqueda como las definiciones de los virus que existen actualmente para una
correcta detección y eliminación.

Configuración – El programa antivirus implementado es el Symantec Antivirus

empresarial. Las actualizaciones de la consola principal son descargadas en línea
directamente desde el sitio web del fabricante.
Configuración del despliegue remoto – La instalación y actualización del
programa de antivirus de los equipos de usuarios y servidores se efectúa de manera
automática a través de la red, tanto el motor de búsqueda y las definiciones tan
pronto estén disponibles nuevas actualizaciones.
Detección – Todos los archivos y programas accedidos o enviados ya sea por
medios extraíbles, no extraíbles, aplicaciones de correo, navegación, acceso de
datos en red, etc. serán escaneados por el programa antivirus mostrando solo la
alerta en el caso de encontrar algún virus sin que el usuario pueda modificar la
opción predeterminada de cuarentena solo al fallar la desinfección.
Reporte y monitoreo – El Dpto. de TI encargado es quien responde ante las alertas
y proporciona los informes para las auditorias correspondientes.

Instalación de nuevos programas

Todos los programas instalados en los equipos de la empresa deberán ser evaluados por
el Dpto. de TI encargado para asegurar la compatibilidad con otros programas, datos,
estabilidad con la red o equipos, además evitar problemas de seguridad o privacidad.

Mecanismos
 Instalación y configuración de Antivirus corporativo Symantec
 Despliegue de agentes por la red para una automatización del sistema NIDS
 Monitoreo y auditoria de agentes y servidor
 Correos del Ecuador
Políticas y Procedimientos
Título: ENCRIPTACION Revisión: Anual
Fecha de aprobación: 1 diciembre 2018 Tecnologías de la información
Fecha de vigencia: 1 diciembre 2018 Revisión: Anual

Encriptación

Instalación de certificados de autenticación y cifrado en

el sistema de correo electrónico
Los equipos informáticos dispondrán de clientes de correo previamente configurados por
el Dpto. de TI. Con sus respectivos certificados y con las opciones de correo para el uso
de cifrado SSL tanto para envió o recepción del correo electrónico.
Cualquier certificado adicional que se necesite para intercambiar información con otra
institución se deberá notificar al Dpto. de TI para la correcta instalación y funcionamiento
de ese requerimiento.

Interfaces Web de aplicaciones con SSL

Las aplicaciones web implementadas o accedidas deberán contar con soporte SSL.

Los equipos informáticos que accedan a esas aplicaciones web con soporte SSL deberán
tener previamente instalado su certificado para su correcto funcionamiento y
autentificación a ese servicio.

Mecanismos
 Instalación y configuración de servicio STEGANOS para la encriptación de
correos, medios extraíbles, vpns, navegación
 Monitoreo y auditoria de documentos cifrados con el aplicativo.
 Correos del Ecuador
Políticas y Procedimientos
Título: SEGURIDAD DEL EDIFICIO Revisión: Anual
Fecha de aprobación: 1 diciembre 2018 Tecnologías de la información
Fecha de vigencia: 1 diciembre 2018 Revisión: Anual

Seguridad del edificio

Las medidas de seguridad estarán vigentes los 365 días del año las 24 horas, para asegurar
un control máximo.

 El acceso a las instalaciones en horarios laborables se realizará con su respectivo

código de acceso y la lectura de huella en el dispositivo biométrico para su
registro.
 El código de acceso será otorgado, cambiado o anulado en coordinación con el
Dpto. RRHH y TI, y será notificado vía correo electrónico.
 Se asignarán tarjetas magnéticas codificadas para el acceso a las áreas específicas
de cada usuario según su función.
 El ingreso a las instalaciones fuera de horarios de oficina deberá ser notificado
previamente para su habilitación en el dispositivo biométrico.
 Todos los pisos tendrán sensores de movimiento, cualquier actividad fuera de
horarios de oficina será registrada y notificada al área de guardianía de la empresa.
 Todos los ventanales o puertas exteriores tendrán sensores que registraran y
notificaran al área de guardianía de la empresa eventos inusuales.
 El sistema contra incendio será implementado con ciertas especificaciones para
evitar daños adicionales al hardware informático según el fabricante.
 Disponer de varias líneas de suministro eléctrico para evitar un único punto de
falla en el suministro de energía a los equipos de cómputo.
 Utilizar dispositivos de energía y protección como UPS en cada equipo
informático.
 Instalar, mantener en buen funcionamiento un generador de energía ante fallas de
energía prolongadas, definiendo previo análisis áreas y tiempo a cubrir con el
sistema
 El cableado estructurado deberá cumplir con la categoría requerida según su uso
en todos los departamentos.
 Proteger el cableado estructurado de posibles accesos al pasar por áreas públicas.
 Proteger el cableado estructurado de posibles interferencias electromagnéticas y
ambientales.
Mecanismos
 Implementación de tarjetas electrónicas.
 Implementación de sensores en puertas y ventanas
 Implementación de cámaras de seguridad IP, con sensores de movimiento, visión
nocturna
 Implementación de dispositivos BIO Métricos de ingreso y salida con sensores de
huellas
 Implementación de sensores de humo
 Implementación de equipos de respaldo de energía
 Implementación de cableado estructurado siguiendo normas de instalación y
seguridad

Correos del Ecuador

Políticas y Procedimientos
Título: Sanciones
Revisión: Anual
Violaciones de seguridad y medidas disciplinarias
Fecha de aprobación: 1 diciembre 2018 Tecnologías de la información
Fecha de vigencia: 1 diciembre 2018 Revisión: Anual

Política de sanciones
Se impondrán sanciones a todo personal que acceda, altere, elimine, use o divulgue
información crítica o confidencial sin la autorización correspondiente.

Violaciones

Nivel Descripción
1 • Acceder a información que no necesita.
• Facilitar nombre de usuario y contraseña del equipo informático.
• Copiar información sensible sin autorización.
• Cambio de información sensible sin autorización.
• Discutir información sensible con una persona no autorizada.
 2 • Segunda violación de Nivel 1.
• Uso de información sensible sin autorización.
• Usar nombre de usuario y contraseña ajenos.
3 • Tercera violación de Nivel 1.
• Segunda violación de Nivel 2.
• Provocar daños intencionados a la información.
• Obtener ganancias personales al facilitar la información a terceros.

Acciones disciplinarias recomendadas

Nivel Acciones disciplinarias

1 • Amonestación verbal o escrita
• Capacitación sobre las políticas de privacidad y seguridad de la
información.
• Entrenamiento del uso adecuado de formularios internos.
2 • Suspensión
• Amonestación en la hoja de vida
• Capacitación sobre las políticas de privacidad y seguridad de la
información.
• Entrenamiento del uso adecuado de formularios internos.
3 • Terminación de contrato.
• Sanciones civiles.
 Artículos Cientificos
Integrating VoIP/UC security into the holistic information security planning 3
Resumen:
VoIP se ha convertido en un componente importante de las comunicaciones corporativas
modernas, y muchas empresas dependen completamente de él para voz y multimedia. Al
igual que con la mayoría de las nuevas tecnologías, existen oportunidades y riesgos de
seguridad con VoIP y muchas de las preocupaciones de seguridad asociadas con esta
tecnología no se están abordando. En las instituciones financieras y otras industrias donde
existen controles reglamentarios estrictos para garantizar la privacidad de la información del
cliente, la falta continua de énfasis en la seguridad de VoIP finalmente dejará a las
organizaciones abiertas a riesgos legales. Este estudio trata sobre las amenazas de seguridad
de VoIP / UC asociadas con la comunicación empresarial junto con los riesgos e impactos
empresariales y proporciona la Lista de verificación de las mejores prácticas de seguridad de
VoIP / UC para ayudar a integrar VoIP / UC en la planificación holística de la seguridad de
la información corporativa. [4]

[4] İ. M. Taş, B. Uğurdoğan and H. Taş, "Integrating VoIP/UC security into the holistic
information security planning," 2015 23nd Signal Processing and Communications Applications
Conference (SIU), Malatya, 2015, pp. 1002-1005.

Strategic Planning for Information Security and Assurance

Resumen:
Tratar con el riesgo es crítico para el éxito de cualquier esfuerzo de seguridad y seguridad de
la información. Con la dependencia cada vez mayor de la sociedad de los sistemas de
información a gran escala, lidiar con los riesgos de seguridad es un tema de considerable
importancia y atención. En general, no es factible proporcionar "seguridad total" para ningún
sistema de información. Como resultado, la gestión exitosa del riesgo debe planificarse
estratégicamente con respecto a los niveles y costos de seguridad deseados. En este
documento definimos las prácticas asociadas con la planificación estratégica para gestionar
la seguridad y la seguridad de la información. Brindamos un enfoque concreto y práctico para
generar dichos planes estratégicos que es probadamente óptimo y robusto. [5]

[5] D. Port, R. Kazman and A. Takenaka, "Strategic Planning for Information Security and
Assurance," 2008 International Conference on Information Security and Assurance (isa 2008),
Busan, 2008, pp. 466-471.
A Planning-Based Method of Risk Process Modeling for Information Security
Resumen:
Para evaluar el riesgo de seguridad de la información, se propone un enfoque llamado
PISRPMA para modelar el proceso de riesgo de la seguridad de la información. PISRPMA
describe el dominio de riesgo y el problema de riesgo en el lenguaje PDDL, razona todas las
rutas de explotación utilizando algoritmos relativos y crea un Gráfico de Explotación de
Planificación para modelar el proceso de riesgo. El experimento muestra que este método
tiene las características de formalización y escalabilidad, y es una buena solución para el
modelado de procesos de riesgo para la seguridad de la información. [6]
[6] W. Zhen-zhen, W. Xiao-yue, L. Zhong, T. Xu and C. Feng, "A Planning-Based Method of
Risk Process Modeling for Information Security," 2008 International Conference on Advanced
Computer Theory and Engineering, Phuket, 2008, pp. 1010-1014
 Referencias
[1] D. Z. Darmawan and Wella, “IT governance evaluation on educational institutions based on
COBIT 5.0 framework,” Proc. 2017 4th Int. Conf. New Media Stud. CONMEDIA 2017, vol.
2018–January, pp. 50–55, 2018.
[2]K. R. P. Harefa and N. Legowo, "The governance measurement of information system using
framework COBIT 5 in Automotive Company," 2017 International Conference on Applied
Computer and Communication Technologies (ComCom), Jakarta, 2017, pp. 1-6.
[3] I. K. Nisrina, I. J. Matheus Edward, and W. Shalannanda, “IT governance framework
planning based on COBIT 5 case study: Secured internet service provider company: Case Study:
Secured internet service provider company,” Proc. - ICWT 2016 2nd Int. Conf. Wirel. Telemat.
2016, pp. 51–56, 2017.
[4] İ. M. Taş, B. Uğurdoğan and H. Taş, "Integrating VoIP/UC security into the holistic
information security planning," 2015 23nd Signal Processing and Communications Applications
Conference (SIU), Malatya, 2015, pp. 1002-1005.
[5] D. Port, R. Kazman and A. Takenaka, "Strategic Planning for Information Security and
Assurance," 2008 International Conference on Information Security and Assurance (isa 2008),
Busan, 2008, pp. 466-471.
[6] W. Zhen-zhen, W. Xiao-yue, L. Zhong, T. Xu and C. Feng, "A Planning-Based Method of
Risk Process Modeling for Information Security," 2008 International Conference on Advanced
Computer Theory and Engineering, Phuket, 2008, pp. 1010-1014