MANUAL DE POLITICAS DE SEGURIDAD DE LA SNe. INFORMACION Elaborado por: | Revisado por Aprobado por: CDG/sEI SENV/TIC GG Datos generales del documento ELABORACION ACTUALIZACION |X| ——_ELIMINACION Nombre del documento: Manual de Politicas de Seguridad de la Informacién, Cédigo: MN-SEI-STE-001 Versi F 03 | Proceso / Subproceso: Seguridad de la informacién / Seguridad Tecnolégica Observacién: Se cambié cédigo de MN-GG-SEI-001 a MIN-SEI-STE-001 Se modifica desarrollo del documento quedando las siguientes secciones: 1. Antecedente. Objetivo, Alcance. Definiciones. Declaracién de Politicas de Seguridad de la Informacién de la Empresa Eléctrica Publica Estratégica Corporacién Nacional de Electricidad CNEL EP. 6. Fundamentos y Principios. 7. Importancia de la Informacién, 8, Responsables de Seguridad de la Informacién, 9. Areas de la Seguridad de la Informacién, 10. Desarrollo Normativo. 11. Politicas de uso de conexién remotas. 12. Politica de uso de redes. 13. Politicas de uso de laptos y medios informéticos removibles. 14. Politica para el control y gestién de accesos. 15. Recomendaciones para uso de contrasefias. 16. Politica de uso del correo electrénico. 17. Politica para el uso de internet. 18, Politica de uso de dispositivos méviles. 19. Politica de seguridad fisica y de entorno, 20. Comunicacién de incidencia de seguridad. 21. Sanciones por incumplimiento, 22. Normativa legal vigente.| Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA —_MIN-SEI-STE-O01 INFORMACION “Version: 0 Elaborado por: | Revisado por: | Aprobado por: Fecha de Emisién: cos/set seynic GG 2016-09-26 Nombre y - Apellido cor im Actualizado por: Juan Espinoza__Profesional de Procesos Informacion Revisado por Aprobado por Milton Serrano Se*ente de Seguridad de la ME A David Ruales Director de Procesos luis Gomez Gerente de Tecnologia de la Inform; {———_——- jan eallew Gerente de Asesoria Juridica Jorge Jaramillo Gerente Gene! Fecha de aprobacién: 12 OCT 2018cédige MANUAL DE POLITICAS DE SEGURIDAD DELA ——-MNN-SEI-STE-001 Cnew INFORMACION Version: a 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cD6/set SEITIC 6G 2016-09-26 INDICE 1 ANTECEDENTES nn 2 oBerivo 3 ALCANCE 4 DEFINICIONES 5 DECLARACION DE POLITICA DE SEGURIDAD DE LA INFORMACION DE LA EMPRESA ELECTRICA PUBLICA ESTRATEGICA CORPORACION NACIONAL DE ELECTRICIDAD CNEL EP. 6 _ FUNDAMENTOS ¥ PRINCIPIOS.. 6.1 FUNDAMENTOS... eras nnn 6.2 PRiNciPios wasicas se . snd 7 IMPORTANCIA DE LA INFORMACION 8 RESPONSABLES DE SEGURIDAD DE LA INFORMACION B.1 OFICIAL OE SEGURIDAD DE LA INFORMACION. son it 82 CoWite 0€ GEstION DE SeGURiDAD DE LA INFORMACION a 8.3. FACULTAD OF IMPLEMENTACION DE NORMAS Y POLITICA... 9 AREAS DE LA SEGURIDAD DE LA INFORMACION 9.1 SEGURIDAD DE LA INFORMACION EN LAS PERSONAS, 19.2 SEGURIDAD DE LA INFORMACION EN LOS DOCUMENTOS. nnn 92.3 SEGURIDAD O LA InFORMACION EN LOS TEMAS € INFORVACION TELECOMUNICACIONES, 13 9.4 SEGURIOADDE LA INFORMACION EN LAS INSTALACIONES EINFRAESTRUCTURA nrsnnnnsninnnnnnnnene dS 10 DESARROLLO NORMATIVO.. 10.1 PRIMER nIveL NoRMATIvO. 14 10.2 SEGUNDONWEL NORMATNO. 14 10.3. TERCERNIVELNORMATIVO.. 14 11 POLITICAS DE USO DE CONEXIONES REMOTAS «cc onnenns reanamamemrassaa lS 12 POLITICA DE USO DE REDES 13. POLITICA DE USO DE LAPTOPS Y MEDIOS INFORMATICOS REMOVIBLE! 13.1 Promisicones seontnnnnnnnsenn 8 14 POLITICA PARA CONTROL Y GESTION DE ACCESOS: AUTENTICACION Y MANEJO DE CONTRASENAS .19, 15 _RECOMENDACIONES PARA USO DE CONTRASENAS:..... 16 POLITICA DE USO DEL CORREO ELECTRONICO.. 16.1 CONSIDERACIONES GENERALES: 16.2 PROHIBICIONES: Pagina 3 de 29, M,"7 13 20 a 2 17.1 Usovet Senwcio 7 a 17.2. PERFILES DE NAVEGACION GLOBALES DE INTERNET 17.3 CONSIDERACIONES GeNERALES 17.4 Prowisiciones cédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA = MN-SEI-STE-001 Cnew INFORMACION Versi6n: G 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: CDG/SEI SEI/TIC GG 2016-09-26 POLITICA PARA EL USO DE INTERNET. POLITICA DE USO DE DISPOSITIVOS MOVILES. POLITICA DE SEGURIDAD FISICA Y DEL ENTORNO .. COMUNICACION DE INCIDENCIAS DE SEGURIDAD SANCIONES POR INCUMPLIMIENTO. NORMATIVA LEGAL VIGENTE \ Pagina seems £Codi MANUAL DE POLITICAS DE SEGURIDAD DE LA MN-SEI-STE-O01 Chew INFORMACION Versién: C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: coG/se! SEY/TIC 6G 2016-09-26 1 ANTECEDENTES La evolucién de la sociedad y las tecnologias de la informacién requiere a su vez, la actualizacién, modernizacién y adaptacién al nuevo entorno tecnolégico de la normativa en materia de seguridad de la informacién. La Constitucién de la Repiblica en su articulo 227 determina que la Administracién Publica constituye un servicio a la colectividad que se rige por principios de eficacia, eficiencia, calidad, Jerarquia, desconcentracién, descentralizacién, coordinacién, participacién, _planificacién, transparencia y evaluacién, Con el objeto de regular las necesidades emergentes relativas a la proteccién de informacién, y con el fondo comin de las tecnalogias y de su evolucién, mediante Acuerdo Ministerial No. 166 del 19 de septiembre de 2013, la Secretaria Nacional de la Administracién Publica considera: Que, es importante adoptar politicas, estrategias, normas, procesos, procedimientos, tecnologias y medios necesarios para mantener la seguridad en la informacién que se genera y custodia en diferentes medios y formatos de las entidades de la Administracién Publica Central, institucional y ‘que dependen de la Funcién Ejecutiva. Que, ia Administracién Publica de forma integral y coordinada debe propender @ minimizar o anular riesgos en la informacién, asi como proteger la infraestructura gubernamental, mds atin si es estratégica, de los denominados ataques informaticos o cibernaticos. Que, las Tecnologias de la Informacién y Comunicacién son herramientas imprescindibles para el cumplimiento de la gestién institucional e interinstitucional de la Administracién Publica en tal virtud, deben cumplir con esténdares de seguridad que garanticen la confidencialidad, integridad y disponibilidad de la informacién. Que, la Comision para la Seguridad Informética y de las Tecnologias de la Informacién y Comunicacién en referencia ha desarrollado el Esquema Gubernamental de Seguridad de la Informacién (EGSI), elaborado en base a la norma NTE INEN-ISO/IEC 27002 "Cédigo de Practica para la Gestion de la Seguridad de a Informacién’. Que, el articulo 15, letra i) del Estatuto del régimen juridico y Administrativo de la Funcién ejecutiva establece como atribucién del Secretario Nacional de la Administracién Pablica, impulsar proyectos de estandarizacién en procesos, calidad y tecnologias de la informacién y comunicacién; Por lo anterior, el Acuerdo Ministerial No, 166, de Ia Secretaria Nacional de la Administracién Publica, publicado en el registro Oficial, Suplemento 88 de 25 de septiembre de 2013, en su articulado inicial determina: Pagina 5 de 29Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA ——_-MN-SEI-STE-001 Cnet INFORMACION Versié w 03 Elaborade por: Revisado por: Aprobado por: Fecha de Emisién: cDG/se! SEVTIC 6G 2016-09-26 “Art. 1.- Disponer alas entidades de la Administraci6n Publica Central, institucional y que dependen de la Funcién Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestién de Seguridad de la informacién.” “prt. 2.- Las entidades de la Administracién Publica implementaran en un plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la Informacién (EGSI), que se adjunta 2 este acuerdo como Anexo 1, a excepcién de las disposiciones 0 normas marcadas como prioritarias en dicho esquema, las cuales se implementaran en (6) meses desde la emisiOn del presente Acuerdo. La implementacién del EGSI se realizaré en cada institucién de acuerdo al émbito de accién, estructura orgénica, recursos y nivel de madurez en Gestién de Seguridad de la Informacién.” “Art, 3.- Las entidades designaran, al interior de su institucién, un Comité de Seguridad de la Informacién liderado con un Oficial de Seguridad de la Informacién, conforme lo establece el EGSI y cuya designacién deberd ser comunicada a la Secretaria Nacional de la Administracién Publica, en el transcurso de treinta (30) dias posteriores a la emisi6n del presente Acuerdo.” "art, 4 La Secretaria Nacional de la Administracién PUblica coordinara y dard seguimiento a la implementacién del EGSI en las entidades de la Administracién Publica Central, Institucional y que dependen de la Funcién Ejecutiva. E| seguimiento y control a la implementacién de la EGS! se realizara mediante el Sistema de Gestién por Resultados (GPR) u otras herramientas que para el efecto implemente la Secretaria Nacional de la Administracién Pablica.” 2 OBJETIVO Elobjeto de este manual de politicas es alcanzar la proteccién adecuada, proporcionada y razonable de Ia Informacién de la Corporacién Nacional de Electricidad, mediante la preservacin de sus requisitos basicos de seguridad: confidencialidad, integridad y disponibilidad. 3 ALCANCE La Seguridad de la informacién es un concepto integral, transversal a todos los procesos, y aplicable a todo el conjunto de dependencias, recursos, personal, infraestructura, etc., por lo tanto, este ‘Manual de Politicas es de aplicacién a la totalidad de los activos de informacién de CNEL EP., con independencia del atributo que le afecte, la forma en la que se presente o el lugar en el que se encuentre. Cualquier norma interna que trate algin aspecto particular de la seguridad de la informa CNEL EP debe emanar de este manual de politicas. én de 4 DEFINICIONES AMENAZA: evento o accién que busca 0 tiene el potencial para desencadenar un incidente en la organizacién, produciendo dafios materiales o pérdidas inmateriales.Cédige MANUAL DE POLITICAS DE SEGURIDAD DELA = MN-SEI-STE-O01 Cnet INFORMACION Versi6n: c 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: co6/SEI SEVTIC Gc 2016-09-26 AUDITOR‘ fevisién e inspeccién independiente de las medidas de seguridad implantadas para valorar su idoneidad y eficacia, verificando y asegurando su conformidad con las politicas y los procedimientos establecidos y recomendando los cambios necesarios CONFIDENCIALIDAD: requisito bésico de seguridad que garantiza que sélo las personas, entidades 0 procesos autorizados pueden acceder ala informacién. CORREO ELECTRONICO: Servicio utilizado como via de comunicacién escrita para le coordinacién entre todos los servidores piiblicos de CNEL EP y otras instituciones. CORREO PHISHING: Correos con un origen aparentemente fiable (Ejem: entidades bancarias, la misma corporacién, etc.) que, mediante enlaces indicados en el contenido del mensaje, dirigen al usuario 2 paginas web falsificadas que intenta obtener datos confidenciales de su victima (habitualmente, credenciales de acceso a banca online). CORREO SPAM: Correo no deseado por el usuario 0 no relacionado con las funciones especificas 2 los procesos de trabajo; suele contener publicidad en algunos casos, asi como ataques mas severos a la seguridad de la informacién. CRIPTOGRAFIA: Es la técnica que protege documentos y datos mediante mecanismos (normalmente claves) para hacerlos ininteligibles para personas ajenas al remitente y receptor. DISPONIBILIDAD: requisito basico de seguridad que garantiza que se puede acceder @ la informacién ya los recursos 0 servicios que la manejan, conforme a las especificaciones de los mismos. DOCUMENTO: cualquier soporte portétil con capacidad para contener informacién. L no autorizado de informacién propietaria de la empresa hacia destinos externas no permitidos. HACKERS: Un hacker es aquella persona experta o con un gran conocimiento en alguna rama de la tecnologia, a menudo informatica, que se dedica a intervenir y/o realizar alteraciones técnicas con buenas 0 malas intenciones sobre un producto, dispositive o sistema INFORMACION: todo conecimiento que puede ser comunicado, presentado o almacenado en cualquier forma. INGENIERIA SOCIAL: Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informaticos, para mediante engafios obtener informacién, acceso o privilegios en sistemas de informacién que les permitan realizar algin acto que perjudique © exponga a las personas oa la corporacién. INTEGRIDAD: requisito basico de seguridad que garantiza que la informacién no pueda ser ono ha sido modificada o alterada por personas, entidades o procesos no autorizados. \ a \ Regina 7 de 29 ICédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA = MN-SEI-STE-O01 Cnew INFORMACION Versir g 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: CDG/SE! SEVTIC 6G 2016-09-26 INTERNET CORPORATIVO: Servicio que permite le conectividad a la red mundial Internet, brindado por la Corporacién a sus empleados a nivel Nacional, y que permite al usuario realizar sus actividades laborales de manera répida a través de las herramientas informéticas que dependen de este servicio, LISTAS NEGRAS: Es una lista donde se registran las direcciones IP que generan spam (correo no solicitado anénimo y masivo) de forma voluntaria o involuntaria. Muchos programas permiten configurar una lista de direcciones de Internet con las cuales no debe contactarse como por ejemplo Servidores de Correo. MANEJAR_ INF informacion, ORMACION: elaborar, presentar, almacenar, procesar, transportar o destruir METADATA: Son datos que definen los atributos de la informacién (nombre, tamafio, tipo de dato, etc), las estructuras de los datos (longitud, columnas, campos, etc.), y otra informacién sobre los datos (donde esté localizado, cémo esté asociado, etc.). Por ejemplo, para cada archivo informético almacenado se guardan los sigulentes metadatos: fecha y hora de creacién, fecha y hora de modificacion, dltima vez que fue accedido, ete. NECESIDAD DE CONOCER: determinacién positiva por la que se confirma que un posible destinaterio requiere el acceso a una determinada informacién para desempefiar servicios, tareas o cometidos oficiales, PEER-TO-PEER: Una de las formas més utilizadas en la actualidad para compartir gran cantidad de material de todo tipo suele ser la denominada red P2P, que brinda la posibilidad de intercambiar material entre computadoras a través de Internet. En este tipo de redes todos los dispositivos conectados a ella tienen los mismos privilegios y acceso a todos los recursos disponibles en el resto de maquinas, Ademas este tipo de redes prescinde de intermediarios, lo que quiere decir que no es necesario que exista un servidor u ordenador central que la controle. RIESGO: le probabilidad o potencialidad de que una vulnerabilidad latente sea aprovechada por una amenaza, comprometiendo la confidencialidad, integridad y/o disponibilidad. SISTEMA DE INFORMACION. Y TELECOMUNICACIONES: conjunto de equipos, métodos, procedimientos y personal, organizado de tal forma que permita manejar informacion. USUARIO: En el ambito de la presente normativa, se entiende por usuario a cualquier funcionario piblico perteneciente o ajeno a CNEL EP, asi como personal de organizaciones privadas externas, entidades colaboradoras 0 cualquier otro con algtin tipo de vinculacién con la empresa y que utilice (0 posea acceso a los sistemas 0 al servicio de Internet de la Corporacién. VIRUS INFORMATICO: Es un software malicioso que tiene por objeto alterar el normal funcionamiento del computador, sin permiso o el conocimiento del usuario. Los virus pueden destruir de manera intencionada, los datos almacenados en una computadora, (yy Péeina 8 de 28 mmCédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA ——-MN-SEI-STE-O01 CEL. INFORMACION Versién: C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cD6/sEI SEVTIC Ge 2016-09-26 VULNERABILIDAD: debilidad, atributo o pérdida de control que permitiria 0 facilitaria la materializacién de una amenaza. 5 DECLARACION DE POLITICA DE SEGURIDAD DE LA INFORMACION DE LA EMPRESA ELECTRICA, PUBLICA ESTRATEGICA CORPORACION NACIONAL DE ELECTRICIDAD CNEL EP. El presente documento tiene por objeto establecer la politica de seguridad de la Informacién para CNEL EP en base al Esquema Gubernamental de Seguridad de la Informacion (EGS!) y al estandar internacional de seguridad de la informacién ISO/IEC 27001;2013, La politica de seguridad de la informacién se establece segin el siguiente enunciado: “La informacién junto con la infraestructura critica son recursos que tiene un alto valor para las empresas del estado y por consiguiente deben ser debidamente preservados, garantizando el funcionamiento de los sistemas de informacién y la protecci6n de los activos, minimizando los riesgos de dafio y asegurando la continuidad del negocio, contribuyendo de esta manera a una mejor gestién de la Corporacién Nacional de Electricidad CNEL EP y con ello a impulsar el Buen Vivir definido en la Constitucién de le Repiblica, Esta Politica de la Seguridad se aplicard en todas las instancias de la estructura de CNEL EP (gerencias, departamentos, unidades de negocio, etc.) sin excepcidn, y esté basada en las definiciones establecidas en el Esquema Gubernamental de Seguridad de la Informacién para Instituciones de la Administracién Publica Central publicado por la Secretaria Nacional de la Administracién Publica, en donde, entre otras cosas, se definen los procesos y procedimientos a fin de garantizar la confidencialidad, integridad y disponibilidad de los activos que manejan los funcionarios y sistemas de las empresas del estado.” El Gerente de Seguridad de la Informacién Corporativo, ha sido designado como Oficial de Seguridad de la Informacién y ha sido encargado de la implementacién del sistema de gestion de seguridad de la informacién de CNEL EP. Asi mismo, se establecen los siguientes aspectos basicos de la politica de seguridad: © Cumplir todos los requisitos legales aplicables. © Elaborar y mantener un plan de continuidad que permita recuperarse de un desastre en el menor tiempo posible. * Capacitar y concienciar a todos los empleados en materia de seguridad de la informacién, * Gestionar adecuadamente todas las incidencias de seguridad detectadas. * Mejorar de forma continua el EGSI y, por ende, la seguridad de la informacién de CNEL EP. Pagina 9 de 29 \t \I \ @ J LC 61 Cédig MANUAL DE POLITICAS DE SEGURIDAD DELA——_- MN-SEL-STE-001 Cnet INFORMACION Versi 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cDGysel SEYTIC 6G 2016-09-26 FUNDAMENTOS Y PRINCIPIOS Fundamentos La seguridad de la informacion de CNEL EP se establece sobre la base de: 62 los presentes en cualquier actividad rela Visién estratégica unitaria, Direccién Gnica, que establezca normas y pautas comunes. ‘Agrupamiento de todos los recursos en patrones homogéneos que establezcan medidas de proteccién similares, de tal manera que se puedan delimitar responsabilidades y lograr una especializacién de personal, normativa y recursos. Establecimiento de un conjunto equllibrado y completo de medidas especificas de proteccién orientadas a alcanzar un grado de proteccién similar en cade proceso. Accién coordinada e integrada de las medidas derivadas de la politica de seguridad aplicada 2 cada uno de dichos procesos. Armonizacién con otros departamentos ministeriales u organizaciones nacionales € internacionales. Un esquema funcional adecuado, que permita la direccién, ejecuci6n, apoyo, y auditoria de las medidas de proteccién. Principios basicos principios bdsicos son directrices de obligado cumplimiento que hay que tener siempre nada con la seguridad de la informacién. Se establecen los siguientes: La seguridad de la informacion es responsabilidad de todos los miembros de CNEL EP., los cuales deberén estar adecuadamente formados y concienciados para el satisfactorio cumplimiento de sus responsabilidades. La seguridad de la informacion debe estar coordinada e integrada con el resto de la seguridad de la Corporacién, con el fin de conformar un todo coherente y eficaz La seguridad de la informacion debe ir encaminada a preservar los requisitos basicos de seguridad durante todo el ciclo de vida de la informacién, en cualquier medio o formato que se ‘emplee y en cualquier lugar donde se encuentre, dentro o fuera de la Corporacién. La seguridad de la informacién debe ser periddicamente evaluada Las medidas de proteccién deben aplicarse en proporcién a los dafios que produciria la pérdida de alguno de los requisitos basicos de seguridad. Las medidas y procedimientos que se impianten para la proteccién de la informacién deben acatar lo establecido en la legislacién vigente vinculante 2 CNEL EP., tanto a nivel nacional como internacional. {Paina 10 de 29 »yCédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA = MIN-SEI-STE-O01 Cnew INFORMACION Versiér C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cDG/SEI SEI/TIC Gc 2016-09-26 7 IMPORTANCIA DE LA INFORMACION La informacién es un recurso de carécter estratégico para la Corporacién Nacional de Electricidad y, Por tanto, debe garantizarse su proteccidn. Esto no quiere decir que la proteccién de la informacién sea un fin en si mismo, sino que debe ser protegida en la medida que el cumplimiento de la misién de la Corporacién depende de ella. La informacién es un concepto abstracto e intangible que se elabora, presenta, almacena, procese, transporte o destruye (de ahora en adelante, maneja) mediante elementos tangibles. Estos elementos son: las personas, los documentos, los sistemas de informacién y telecomunicaciones, las instalaciones y la infraestructura. De acuerdo con ello, la proteccién de la informacién se realizara mediante la aplicacién y supervision de medidas de seguridad dirigidas a dichos elementos. 8 RESPONSABLES DE SEGURIDAD DE LA INFORMACION 8.1 Oficial de Seguridad de la informacién. Se designa como Oficial de Seguridad de la Informacién al Gerente de Seguridad de la Informacién, y se le encomienda en el émbito de sus competencias, las funciones de dirigir la seguridad de la informacién, velar por el cumplimiento de la politica de seguridad de la informacién, definir y crear la estructura funcional de seguridad de la informacién. 8.2 Comité de Gestién de Seguridad de la Informacién Se establece el Comité de Gestién de Seguridad de la Informacién como érgano de coordinacién de la seguridad de informacién de CNEL EP, cuya composicién y funcionamiento estaré regida mediante el respectivo instructivo, 8.3. Facultad de Implementacién de Normas y Politicas. Se faculta al Gerente de Seguridad de la Informacion a dictar las disposiciones oportunas, en el Ambito de sus competencias, para el desarrollo y ejecucién del presente manual de politicas. 9. AREAS DE LA SEGURIDAD DE LA INFORMACION La seguridad de la informaci6n se divide en areas, atendiendo al elemento tangible que hace uso de ella, ya sea elabordndola, presenténdola, almacendndola, procesdndola, transporténdola 0 destruyéndola. De este modo tendremos: + Seguridad de la Informacién en las Personas. yy Paine de 23 ShCédig MANUAL DE POLITICAS DE SEGURIDAD DE LA MN-SEI-STE-001 Cnew INFORMACION Versior @ 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cD6/sEI SeyTIC 6G 2016-09-26 © Seguridad de la Informacién en los Documentos. ‘© Seguridad de la Informacién en los Sistemas de Informacién y Telecomunicaciones, ‘© Seguridad de la Informacién en las Instalaciones e Infraestructura. 9.1. Seguridad de la Informacién en las Personas. Entiende de los requisitos exigidos a las personas con el objeto de garantizar razonablemente el correcto uso de la informacién por éstas, asi como de la proteccién fisica especial al personal que por sus funciones maneje informacién relevante, critica o confidencial para el desarrollo de las actividades de la Corporacién. Se podré autorizar el acceso a informacién clasificada 0 confidencial siempre y cuando, en la persona, concurran las dos condiciones siguientes: Disponer de habilitacién personal de seguridad con el grado correspondiente, y tener necesidad de conocer dicha informacién para el desempefio de sus cometidos oficiales. Para el caso de la informacién importante, pero no considerada confidencial, se permitiré el acceso ‘cuando la persona sea conocedora de sus responsabilidades, y tenga necesidad de conocer dicha informacién para el desempefio de sus cometidos oficiales. 9.2. Seguridad de la Informacion en los Documentos. Entiende de las medidas de proteccién aplicables a los documentos durante todo su ciclo de vida, es decir, durante su elaboracién, almacenamiento, transporte o destruccién, con el objeto de garantizar razonablemente la confidencialidad, integridad y disponibilidad de la informacién que contienen, Todo documento que contenga informacién clasificada como confidencial o de alto impacto para la Corporacién deberd llevar, de forma clara y visible, un distintivo, marca, sello o etiqueta (de ahora en adelante marca) que indique el grado de clasificacién que se le ha asignado. Seré preciso adaptar la correspondiente marca a las caracteristicas fisicas de los soportes, con objeto de que pueda reconocerse can toda claridad. El responsable de aplicar le marca correspondiente, seré el generador del documento. La aplicacién de marcas para establecer una distribuci6n especifica basada en el principio de la necesidad de conocimiento restringido deberd ser cuidadosa y no limitar la necesidad de compartir esa informacion. La documentaci6n en soporte papel debers ser guardada y custodiada en sus archivos correspondientes. \ (| Pagina 22 de 29 4Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DE LA MN-SEI-STE-001 Cnew INFORMACION Versién: C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisi6n: c0¢/SEI SEV/TIC Gc 2016-09-26 Respecto a la documentacién que se imprima, el usuario seré responsable de su recogida, que deberd efectuarse con caracter inmediato, evitando el acceso a la documentacién por usuarios no autorizados La documentacién que no sea de utilidad para el usuario deberd ser en lo posible destruida y desechada de forma apropiada. 9.3. Seguridad de la Informacién en los Sistemas de Informacién y Telecomunicaciones. Entiende de las medidas de proteccién aplicables en los sistemas de informacién y telecomunicaciones con el objeto de garantizar razonablemente la confidencialidad, integridad y disponibilidad de la informacién que manejan. Previamente a que un sistema comience a manejar informacién de CNEL EP deberé probarse su nivel de seguridad, de acuerdo con el desarrollo normativo de la presente politica. La autorizacién otorgada @ un sistema le permite manejar informacién de la Corporacién en unas determinadas condiciones de confidencialidad, integridad y disponibilidad 9.4 Seguridad de la Informacién en las Instalaciones e Infraestructura. Entiende de las medidas de proteccién aplicables a las instalaciones e Infraestructura con el objeto de gerantizar razonablemente la confidencialidad, integridad y disponibilidad de la informacién. Previamente a que en una instalacién se maneje informacién clasificada de grado confidencial, deberd estar autorizada por la autoridad facultada para ello de acuerdo al desarrollo normativo de le presente politica. La autorizacion otorgada @ una instalacién permite albergar recursos o manejar informacién de la Corporacién en su interior en unas determinadas condiciones de confidencialidad, integridad y disponibilidad, Dicha autorizacién se ajustaré al procedimiento que para tal fin elabore y apruebe la Gerencia de Seguridad de le Informacién de CNEL EP. 10 DESARROLLO NORMATIVO Se desarrollaré el correspondiente cuerpo normetivo sobre seguridad de la informacién, ‘enmarcando cada conjunto de politicas, normas y procedimientos en distintos niveles por amplitud del aspecto tratado, mbito de aplicacién y obligatoriedad de cumplimiento, Cada norma de un nivel determinado debe fundamentarse en norma o normas de nivel superior. (\4 Pésina a3 de 29 1 \ ® [ f & oCédigo: MANUAL DE POLITICAS DE SEGURIDAD DE LA ——_—MN-SEI-STE-OO1 Cnet INFORMACION Version “& 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cD6/sEI SEI/TIC 6G 2016-09-26 10.1. Primer nivel normativo Una tinica norma que establece principios generales abarcando todo el ambito de la seguridad de la informacién. Est constituido por el presente documento de «Manual de Politicas de Seguridad de la Informacién de la Corporacién Nacional de Electricidad CNEL EP.», e incluye el documento de «Politica de Seguridad de la Informacién de la Corporacién Nacional de Electricidad CNEL EP.». ‘Su mbito de aplicacién es toda la Corporacién, 10.2 Segundo nivel normative Norma Técnica que desarrolla y detalla la polit determinado de la seguridad de la informacion, ica, abarcando un area, subarea 0 aspecto Su Ambito de aplicacién seré toda la Corporacién y Ia autoridad responsable de su aprobacién es el Gerente de Seguridad de la Informacién de CNEL EP. El desarrollo normativo de segundo nivel de la seguridad de la informacién estaré constituldo por el documento «Norma Técnica de Seguridad de la Informacién de le Corporacién Nacional de Electricidad CNEL EP.». Y deberd desarrollar, el aspecto normativo técnico para el manejo de los siguientes temas: © Seguridad de la Informacién en las Personas. Seguridad de la Informacién en los Documentos. © Seguridad de la Informacién en los Sistemas de Informacién y Telecomunicaciones. © Seguridad de la Informacién en las Instalaciones e Infraestructura 10.3. Tercer nivel normativo Conjunto de Procedimientos que desarrollan y detalian aspectos puntuales de la normativa de nivel dos. Estard constituido por: ‘© Procedimientos de cardeter eminentemente técnico: directrices en las que predominan las disposiciones técnicas o explicativas, para el cumplimiento de uno 0 varios servicios 0 aspectos de seguridad. © Procedimientos de carécter eminentemente procedimental: directrices generales que se deben seguir 0 a las que se deben ajustar las conductas, tareas 0 actividades de las personas y organizaciones en relacién con la proteccién de la informacion. Dependiendo del aspecto tratado, su aplicacién podré ser 2 toda la Corporacién, un émbito especifico o un sistema determinado. We Pagina 14 de 29 "4Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DE LA =—_-MN-SEI-STE-001 Cnew INFORMACION Versién: C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cG/se! SEY/TIC GG 2016-09-26 La responsabilidad de la aprobacién de los procedimientos de este nivel dependerd de su émbito de aplicacion, 11 POLITICAS DE USO DE CONEXIONES REMOTAS Todo personal interno 0 externo a la corporacién que requiera conectarse a la infraestructura tecnolégica de CNEL EP de forma remota, deberd contar con la respectiva autorizaciGn, la que ser gestionada de acuerdo al procedimiento establecido por la Gerencia de Tecnologias de la Informacién (GTI), debiéndose especificar el tiempo durante el cual el personal requiere el acceso a le conexién remota. El control de Accesos a Ia VPN se lo llevard mediante un inventario manejado por la GTI revisado por la Gerencia de Seguridad de la Informacién (SEI). Los computadores del personal interno y externo que hayan sido autorizados a establecer una conexién remote, deberin poseer el software antivirus actualizado y el sistema operativo compatible con la aplicacién de conexién remota, lo que serd validado fisica o remotamente por los ‘técnicos de la GTI antes de proceder a configurar el acceso, en caso de no cumplir con lo establecido 1o se procederd a realizar la configuracin correspondiente. En el caso de personal externo que se encuentre en una ubicacién fuera de las instalaciones de CNEL EP, se procederé a realizar la configuracién del cliente VPN de forma remota utilizando la herramienta aprobada por GTI para este propésito. La herramienta autorizada para las conexiones remotas sera la provista y configurada por GTI. Mediante el uso de la VPN, los usuarios declaran conocer que sus computadores, ya sea institucionales o personales son una extensién de las redes de datos de CNEL EP y como tal, estén sujetos a las Politicas y Procedimientos de Seguridad de la Corporacién. ‘Al menos uns vez al affo la Gerencia de Seguridad de la Informacién (SEI) deberd realizar la revisién de los accesos asignados a través de le VPN a la red Corporativa de CNEL EP, para lo cual la Gerencie de Tecnologia de la Informacién deberd proporcionar el inventario de las conexiones VPN actualizado. 12. POLITICA DE USO DE REDES 12.1 Personal interno La GTI debera configurar y habilitar las interfaces de red (Cableada y/o inakimbrica) de los computadores y otros dispositivos (tablets, celulares, médems, etc.) previo a la entrega al servidor publico. (\f) Pagina 25 de 29ced MANUAL DE POLITICAS DE SEGURIDAD DELA = MN-SEI-STE-O01 Cnet INFORMACION Versior « 03 Elaborado por: Revisado por: Aprobadopor: Fecha de Emisién: cD6/SEI SeYTIC 6G 2016-09-26 Los equipos asignados a los servidores piiblicos de CNEL EP que tengan la funcionalidad de conectarse a la red de forma inalémbrica, tendrén que acceder al SSID establecido para uso Corporativo (WLAN_CNEL) el cual estaré homologado tanto en la Oficina Central como en todas las Unidades de Negocio. Se recomienda que la contrasefia de acceso a la red inalémbrica corporativa sea renovada al menos ‘anualmente por parte de la Direccién de Infraestructura de Oficina Central. En caso de que las funciones encomendadas a un funcionario requieran la conexién de dispositivos que no son de propiedad de CNEL EP a la red corporativa, se deberd canalizar la solicitud mediante el Gerente o jefe del funcionario del Area Requirente de acuerdo al procedimiento establecido por Gt Se establecerén los mecanismos tecnolégicos de validacién necesarios que garanticen razonablemente la seguridad en la conexidn a las redes de datos de CNEL EP. Queda Prohibido conectar los computadores portatiles y Dispositivos méviles que pertenecen 2 CNEL EP a redes inalémbricas que no presten los lineamientos de seguridad y autenticacién adecuados que garanticen le confidencialidad de la informacién que en ellos se maneja, 12.2. Personal Externo El personal externo que necesite hacer uso de la red (Cableada y/o inalémbrica) de la corporacion deberd solicitar el acceso a GTI a través del responsable del proyecto para el que trabajan. Para la conexién a la red inalémbrica, el personal externo se deberé conectar al SSID destinado para invitados (CNEL_Invitados), que deberd homologado en Oficina Central como en todas las Unidades de Negocio y tendré exclusivamente conexién a internet. EI SSID invitados no deberd tener conexién con la red corporativa (Intranet). La red para personal externo (CNEL_Invitados) tendré asignado el Perfil 3 de internet. Dichos perfiles se encuentran descritos en el apartado de POLITICA PARA USO DEL INTERNET. Para una gestién més eficiente, se recomienda que cada Gerencia en Oficina Central, y cada Direccidn en las Unidades de Negocio, designe a un responsable quien seré el custodio de la contrasefia de acceso @ la red inaldmbrica para invitados de su drea. La contrasefia de acceso a la red inalambrica para invitados se deberd renovar periédicamente por lapsos no mayores a los 4 meses por parte de la Direccién de Infraestructura de Oficina Central. La contraseffa de acceso a la red inalémbrica para invitados podré ser consultada en la intranet solo por los custodios, los cusles se autenticarén con las credenciales del directorio activo. 9 |, Pagina 16 de 29Codigo: MANUAL DE POLITICAS DE SEGURIDAD DELA =——-MN-SEI-STE-O01. CneL INFORMACION Versién: C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: CDG/sE! SEI/TIC GG 2016-09-26 Se establecerén los mecanismos tecnolégicos de validacién necesarios que garanticen razonablemente la seguridad en la conexién a las redes de datos de CNEL EP. 13 POLITICA DE USO DE LAPTOPS Y MEDIOS INFORMATICOS REMOVIBLES Los empleados deben cumplir un conjunto de buenas précticas para la utilizacién de los laptops y ‘medios informaticos removibles (discos duros externos, dispositivos USB, etc.). A continuacién se definen las pautas generales para la utilizacin de estos elementos: © Se evitard, en la medida de lo posible, el almacenamiento de informacién corporativa considerada confidencial en los discos duros de los laptops. Se debe utilizar las unidades logicas ubicadas en los servidores de archivos. Si no se dispone de unidad légica, se debe solicitar a la Gerencia de Tecnologias de la Informacién. * Los laptops y medios removibles, cuando salgan fuera de las instalaciones de CNEL EP, serén custodiados en todo momento por el empleado responsable del mismo, no dejéndolos en lugares publicos sin la pertinente vigilancia, observindose las siguientes precauciones de seguridad: © Evitar su depésito en lugares visibles y/o facilmente accesibles por personal no autorizado (el habitéculo del vehiculo no es apropiado, se debe depositar en el maletero del mismo bajo llave). (© Evitar su depésito en habitéculos 0 depésitos que carezcan de cerradura. © Evitar transporter los equipos como equipaje de carga (Ilevarlo siempre como equipaje de mano}. © Evitar dejarlos encendidos, sin los correspondientes mecanismos de proteccién. © Evitar la revelacién de las identificaciones de acceso asignadas. (© Impedir manipulaciones técnicas del mismo por parte de personal diferente a la Gerencia de Tecnologias de la Informacion. La instalacién de aplicaciones informéticas en los laptops se debe realizar por la Gerencia de Tecnologias de la Informacién, a través de la Mesa de Ayuda, ‘* Losmedios informaticos removibles entregados por CNEL EP no son una alternativa de respaldo de informacién, el servidor piblico deberé tomar las medidas y cuidados necesarios a fin de tener respaldada su informacién. * Los medios de almacenamiento removibles deben ser uti .dos Gnicamente como medio de transporte de informacién; la informacién guardada en los mismos no deberia permanecer almacenada en estos medios informaticos removibles de forma definitiva. * Todo medio informético removible deberé ser escaneado mediante la herramienta de proteccién antivirus corporativo cada vez que el mismo sea conectado a un computador. ‘* Cuando el medio informatico removible vaya @ ser reutilizado por una segunda persona o devuelto de forma definitiva, la informacién anteriormente contenida deberé borrarse mediante un sistema de borrado seguro determinado por Gerencia de Tecnologias de la Informacién, \\). Pagina 17 de 29 MWcédige MANUAL DE POLITICAS DE SEGURIDAD DE LA MN-SEI-STE-O01 Cnew INFORMACION Versi6n: w 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cDG/SE! SeYTIC [od 2016-09-26 ‘© Todos los medios removibles deben almacenarse en un ambiente seguro de acuerdo a las especificaciones del fabricante, cuidando de no exponer a condiciones ambientales (humedad, temperatura) que puedan afectar su buen funcionamiento, ‘© Cuando el medio informatico removible sea un disco duro externo y éste haya dejado de funcionar normalmente se deberd pedir el reemplazo del mismo a la Gerencia de Tecnologias de la informacién, ‘© Encaso de ocurrir pérdida, robo 0 dafio de un laptop 0 medio informético removible, se deberé reportar a Gerencia de Tecnolog(as de la Informacién para que se realice el respectivo registro del incidente el mismo que deberd ser puesto a conocimiento de la Gerencia de Seguridad de le Informacién. + Cuando sea necesario conectarse a Internet fuera de las instalaciones de CNEL el empleado tendré en cuenta las siguientes recomendaciones: ©. Si dispone de conexién WiFi confiable, podré trabajar normalmente con el laptop, pudiéndose conectar a internet y utilizar la VPN para acceder a la red Corporativa = Se considera conexién WiFi confiable aquella que cumple las siguientes condiciones: = La conexién es proporcionada por une entidad de confianza (proveedor, cliente, hotel..) y nos aseguramos de ello al conectarnos. = La conexién cuenta con autenticacién WPA 0 WPA2 y el proveedor nos ha entregado las credenciales de acceso (usuario y contrasefia) que son imprescindibles para conectarnos, © Sidispone de conexién WiFi publica —no confiable, no es recomendable conectarse 2 este tipo de redes puesto que no se puede asegurar un nivel minimo de seguridad en las comunicaciones. Por ejemplo, no se aconseja la conexién al correo corporativo. = Se considera conexién WiFi publica no confiable aquella que cumple alguna de las siguientes condiciones: = Noes obligatorio validarse con usuario y contrasefia. = Es de libre acceso en los lugares de alta concurrencia de personas (patios de comida, parques, centros comerciales) = Dispone de sistema de autenticado WEP 0 no dispone de ningin sistema de autenticado. = Noes proporcionada por una entidad de confianza. = El nombre de la Wifi no se corresponde con el nombre que nos indica el proveedor. = Obliga a instalar una aplicacién para gestionar la conexién, = Enlos casos que se disponga conexién 3G a través de un dispositive mévil, se realizaré la conexién a internet a través de dichos dispositivos. 13.1. Prohibiciones '* Tanto las laptops como los medios informsticos removibles entregados por parte de CNEL EP son de uso exclusivo para las funciones encomendadas relacionadas a sus actividades laborales, se prohibe cualquier otro uso de los mismos. \y| Pagina 18 de 29 a)14 14, 14, Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DE LA MN-SEI-STE-OO1 Cnew INFORMACION Versién: Q 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisié: CDG /SEI SEYTIC GG 2016-09-26 Se prohibe el uso de los dispositivos de almacenamiento pertenecientes a CNEL EP en méquinas de acceso piiblico como cibercafés 0 en equipos que no garanticen la seguridad del dispositivo y su contenido, Las laptops y medios removibles entregados a los servidores pulblicos de CNEL EP, son de propiedad de la corporacién, por lo que no podran ser entregados o distribuidos a ninguna persona externa a la institucién, POLITICA PARA CONTROL Y GESTION DE ACCESOS: AUTENTICACION Y MANEJO DE CONTRASENAS 1 Principios de Control: © EI acceso a los Sistemas de Informacién de la Corporacién requeriré siempre de autenticacién. © Los usuarios deben siempre autenticarse con los privilegios adecuados a sus funciones. © Los usuarios deben en todo momento hacer un uso responsable de la informacién y los sistemas de informacién accedidos, garantizando el nivel de seguridad adecuado de acuerdo 2 las directrices marcadas en la Norma Técnica de Seguridad de la Informacién de CNEL EP, de aplicacién a todos los usuarios. ‘© Todas las contrasefias asignadas a las cuentas de usuario deberén respetar la politica de contrasefias detallada en el presente documento. © Toda adquisicién y/o desarrollo de aplicaciones no deben utilizar usuarios y contrasefias “quemadas” en el cédigo fuente. ‘+ Todas las adquisiciones tecnolégicas y desarrollos de aplicaciones deben cumplir con la politica aqui definida. .2. Gestion de Identificadores (Usuarios): * Todos los identificadores personales (usuarios) de la Corporacién deben estar normalizados y homologados, para posibilitar la identificacién inequivoca y fiel de los usuarios. © La creacién de un identificador de usuario debe ester autorizada por el superior jerérquico del empleado, de acuerdo con el procedimiento control y gestién de usuarios: altas, bajas, manejo de privilegios. © No se permitiré el uso de identificadores de grupo, salvo cuando sea estrictamente necesario y por razones operacionales. Esta circunstancia deberd estar debidamente justificada y aprobada formalmente, aplicando los controles de seguridad precisos. ‘© Los identificadores de usuarios annimos y los identificadores por defecto estaran siempre deshabilitados. + Losidentificadores de usuario no deben dar indicios del nivel de privilegio asociado. ‘* El usuario Administrador de Primer Nivel con privilegios totales (Stiper-usuario) de los sistemas, seré conocido tnicamente por los Gerentes de Tecnologias de la Informacién y \\ Pagina 19 de 29Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA = MIN-SEL-STE-O02 Cnew INFORMACION Versiér C 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cDG/sE! seynic 6s 2016-09-26 Seguridad de Ia Informacién, asi como por los Directores segin su competencia para los propésitos operatives o de soporte * Para el resto de personal de TI que requiera hacer controles operativos o de soporte se crearén usuarios Administradores tnicos de Segundo Nivel para cada operador o técnico que lo requiera y con privlegios restringidos que no permitirén el acceso o manipulacién de informacién confidencial, critica o privada. © Se prohibe intentar aumentar de forma no autorizads el nivel de privilegios de un usuario enel sistema. * Para el caso de servidores, bases de datos 0 servicios criticos se llevaré un registro de inventario impreso con le informacién de todos los usuarios y contrasefias de este tipo de servicios, los mismos que se mantendrén en sobres cerrados siendo los custodios los Gerentes de Tl y de Seguridad de Ia Informacién. + El oficial de seguridad de Ia Informacion es el responsable de definir y/o cambiar la contrasefia para el usuario administrador (stiper usuario) de los sistemas informatico. 14,3 Gestién de Contrasefia: © Todos los usuarios, independientemente dal sistema de informacién, son responsables de sus contrasefias de acceso a servicios y de los accesos que se produzcan haciendo uso de dichas contrasefias. inguin empleado o funcionario debe compartir sus contrasefias con otras personas. No se debe dejar las contrasefias 0 recordatorios de contrasefias de forma visible ni introducirlas si alguien esté observando. * No se deben enviar contrasefias por medios electrénicos o almacenarias en archivos de texto en el ordenador. '* Siempre de forma inicial se deberdn asignar contrasefias provisionales de un solo uso, que el usuario deberd sustituir la primera vez que ingrese al sistema. © Se debe desactivar la caracteristica “Recordar Contrasefia” existente en algunas aplicaciones y servicios web, '* Alasignar un nuevo identificador y contrasefia a un empleado de CNEL EP, o al personal, externo que lo requiera, se debe solicitar la firma de un documento de responsabilidad por el uso de dicha contrasefia “Responsabilidad por Uso de Contrasefia”. El personal de CNEL EP firmaré este documento una Unica vez. 15 RECOMENDACIONES PARA USO DE CONTRASENAS: Parémetro Valor © Para los stiper usuarios, se solicitaré el cambio de contrasefia cada vez que se haga uso de la misma; el Periodo maximo de rotacion responsables de definir la nueva contrasefia sera el GSI ‘© Para cuentas de usuarios finales, se solicitard el cembio de contrasefia minimo cada 180 dias. \ \\\ Pagina 20 de 29Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DE LA =———-MN-SEI-STE-O01 CneLw INFORMACION, Versién: « 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cDG/sEI sey/TIC 6G 2016-09-26 © Para los sistemas que dependen de un usuario administrador para su operacién, se recomienda al administrador del servicio aplicacién el cambio de contrasefia cada vez que se haga uso de la misma. Automatica, al finalizar el perlodo méximo de rotacién, excepto para contrasefias de administracidn de sistemas. Reutilizacién de contrasefias —_Ninguna de las 2 ultimas. 8 caracteres. Longitud minima 10 caracteres para sistemas sensibles 0 que manejen informacion critica © Estar compuesta por al menos los 3 primeros de entre los siguientes 4 conjuntos de caracteres: ~ Caracteres alfabéticos en mayusculas. = Caracteres alfabéticos en mindsculas. - Caracteres numéricos. Requisitos de complejidad ~ Simbolos/caracteres especiales permitidos (~! @ #$ HrBe_-+={ HV | 5 "<>, 77) ‘© Nocontener en parte o en su totalidad nombres. * No contener palabras completas en cualquier idioma. © En lo posible debe tratarse que las contrasefias no contengan mas de 3 ntimeros seguidos. Se deberén evitar las contrasefias basadas en’ = Repeticién de caracteres. ~ Palabras de diccionario ya sea en espafol, inglés o cualquier otro idioma, = Secuencias simples de letras, ntimeros o secuencias de teclado (Em. Qwerty). = Informacién fécilmente asociable al usuario como sobrenombres, nombres de familiares 0 mascotas, ndimeros de teléfono, matriculas, fechas o en general informacién biogréfica del usuario. Caducidad de contrasefias ‘Seméntica de contrasefias Transitoria: Se solicitara a GTI regularizar el mecanismo de validacién de las aplicaciones para que se ajusten a le politica definida en un plazo no mayor de 365 dies a partir de la publicacién de le politica. 15.1. Responsabilidad de uso de contrasefia El acceso y uso de los sistemas de informacién, bases de datos y los procesos del negocio que \ CNEL EP pone a disposicién de sus empleados o personal externo, esté sujeto a las normas legales y reglamentarias, generales y especiales, y a los términos, estipulaciones y declaraciones consignadas en las condiciones generales del Servicio, y se entiende que todos los usuarios (as) / YA Pagina 21 de 29 @ f 4 4 +XMANUAL DE POLITICAS DE SEGURIDAD DE LA MN-SEL-STE-001 Cnet. INFORMACION Version: « 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: CDG/SEI SEVTIC 6G 2016-09-26 que ingresan a los mismos, por este s6lo hecho y por e! uso que hagan del mismo, las conocen y aceptan sin limitacién de ninguna especie. El usuario(2) sélo podré utilizar la informacién entregada por los sistemas de informacién, bases de datos y los procesos del negocio para su uso laboral y no comercial ni personal y, en consecuencia, le queda prohibido ceder, comercializar, circuler, retransmitir 0 distribuir en cualquier forma y a cualquier titulo todo o parte de dicha informacién. CNEL EP se reserva el derecho a cambiar unilateralmente estos términos y condiciones en cualquier momento, sin necesidad de notificacién expresa a los usuarios. La utilizacién por parte del usuario o el acceso a los sistemas implicard la aceptacién tacita de dichas modificaciones de las nuevas condiciones. 15.2. Gestién de Inicio de Sesién: La validacién de la informacién de entrada se realizard tinicamente cuando se hayan completado ‘todos los datos de entrada. Si ocurre alguna condicién de error, el sistema no deberd indicar en ningun caso la parte del dato que es incorrecta. (Por ejemplo, no se deberd indicar si lo que se ha introducido de forma incorrecta es el nombre de usuario, o la contrasefia, etc). Segiin su aplicabilidad se limitard a tres (3) el numero maximo permitido de intentos de acceso por error de digitacién, si se alcanza el nimero maximo de intentos de acceso fallidos, se bloquearé la cuenta de usuario durante los treinta (30) minutos posteriores. 15.3 Revisién de Derechos de Acceso: ‘Anualmente se deberé realizar una revisién aleatoria de los derechos de acceso asignados a los usuarios, ‘Ademés de lo anterior, deberé realizarse una revision de los permisos de acceso correspondientes a un usuario siempre que hubiere sufrido modificaci6n significative de sus responsabilidades, posicién 0 rol en la Corporacién. 16 POLITICA DE USO DEL CORREO ELECTRONICO 16.1 Consideraciones Generales: © Eluso del servicio de correo electrénico deberé limitarse 2 atender los requerimientos propio en el desempefio de las funciones encomendadas a cada servidor piblico de CNEL EP. = Todo usuario es responsable directo de la cantidad, tamafio y contenido de mensajes que envie, asi como por la destruccién de los mensajes que se pueda sospechar son maliciosos. yl Patina 22 de 29 { &cédig MANUAL DE POLITICAS DE SEGURIDAD DELA ———MN-SEI-STE-O01 Chew INFORMACION Version: « 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: co6/SEI SeITIC GG 2016-09-26 © Esresponsabilidad del usuario resguardar la informacién de sus correos, en especial de aquellos considerados importantes para la Corporacién, © La cuenta de correo es personal e intransferible, siendo responsabilidad del usuario salvaguardar la clave de acceso (contrasefia) y no compartirla ni prestarla bajo ninguna circunstancia, pues su uso recae bajo su responsabilidad. © El servicio de correo electrénico corporativo oficial serd el que ha sido implantado por la Gerencia de Tecnologias de la Informacién (GT). © Se debe hacer un uso adecuado, racional y legal del correo electrénico corporativo, en especial en lo relativo a la confidencialidad de los datos. © Elusuario se compromete a reportar ala direccién seguridad @cnel,gob.ec cualquier incidencia © evento extrafio que pueda surgir y que estime puede afectar al normal comportamiento de! servicio de correo electrénico. © La Gerencia de Seguridad de la Informacién dentro de sus competencias buscard impulsar la adopcién de mecanismos de seguridad (anti-spam, anti-phishing, criptografia, etc.) aplicables al servicio de correo implantado en CNEL EP. * El tamafio del repositorio y de los mensajes de correos electrénicos seran definidos por la Gerencia de Tecnologia de la Informacién con base en la disponibilidad de los recursos en su infraestructura. * El servicio de correo electrénico debe ser monitoreado y protegido mediante herramientas informéticas de seguridad. ‘* No dejar informacién como direccién de correo electrénico u otros datos personales al alcance de cualquier persona, ya que podria ser usada para obtener mas informacién mediante mecanismos como la ingenieria social © Alenviar un email a varios destinatarios considere la posibilidad de no enviar toda su lista de direcciones de forma visible para todos; que usted conozca a todos los destinatarios no necesariamente implica que ellos se conozcan entre si o que deban interactuar. En lo posible trate de utilizar la opcién de copia oculta + Con objeto de no difundir injustificadamente direcciones de correo de terceros al reenviar un correo electrénico, se aconseja eliminar las direcciones de los destinatarios anteriores que se muestran en el cuerpo del correo, ‘© Se debe parametrizar y emplear el formato de firma corporativa establecido por la Direccién de Comunicacién para los mensajes de correo electrénico salientes. 16.2. Prohibiciones: * _Esté prohibida la emisién de correos que contengan datos y/o informacién clasificada como interna © confidencial 0 que atin sin serlo no se tenga las atribuciones que permitan su uso y divulgacién. ‘* _ Esté prohibido el acceso no autorizado por cualquier medio a la informacién contenida en los buzones de correos que no sean los propios. © Est prohibido el uso de correo electrénico para fines politicos, promocionar actividades personales, de entretenimiento y religiosas dentro y hacia fuera de la institucién, sin tener la previa autorizacién de la maxima autoridad de la institucién, \ Pagina 23 de 29 2ACédigo: MANUAL DE POLITICAS DE SEGURIDAD DELA =——-MIN-SEL-STE-O01 Cnew INFORMACION Versi q 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cD6/SEI SeVTIC 6G 2016-09-26 © std prohibido el uso del correo electrénico en cualquier forma que degrade o pueda degradar la reputacién de la Corporacién o de cualquier persona (mensajes sexistas, racistas, xenéfobos, ‘amenazas, calumnias, difamaciones, pornografias, etc.). Cualquier dafio a la imagen corporativa resultado de estos actos serén sancionados. ‘* std prohibido el envier 0 reenviar mensajes de correo que contengan datos personales sensibles sin la previa autorizacién de la persona afectada, © Estd prohibido el uso de seudénimos y envio de mensajes anénimos. Esté prohibido el envio interno o hacia el exterior de correos de publicidad no deseada (correo spam) de cualquier indole. «© Esté prohibide la ejecucién de archivos adjuntos a los correos provenientes de fuentes no confiables. * Esta prohibido dar respuesta a cualquier mensaje considerado sospechoso o de remitente desconacido. 17 POLITICA PARA EL USO DE INTERNET 17.1 Uso del Servicio El acceso a a red de Internet es una herramienta de trabajo que la Empresa Eléctrica Publica Estratégica Corporacién Nacional de Electricidad CNEL EP pone a disposicién de todos los colaboradores de la Corporacién, aplicando criterios de productividad y eficiencia en el uso que se haga del mismo como parte de las labores encomendadas a cada uno. Al conectarse a Internet, el equipo asignado al usuario y por consiguiente la red puede exponerse a algin ateque de los denominados hackers 0 de los virus que pueden descargarse junto con los archivos o programas que se bajan de Internet. Aun cuando se han implementado herramientas de seguridad que intentan minimizar estos riesgos, se debe evitar convertirse en un punto vulnerable para la red Corporativa e informar al personal de soporte en los casos que se detecten ‘comportamientos extrafios. Evite conectarse a sitios indebidos que no son de trabajo. El servicio de Internet es otorgado a través de perfiles de acceso que son definidos y asignados por la Gerencia de Tecnologia de la Informacién (GTI) previa revision de la Gerencia de Seguridad de la Informacion y de acuerdo a las funciones y responsabilidades de los empleados y funcionarios debidamente justificadas, 17.2. Perfiles de Navegacién Globales de Internet Perfil Los usuarios tienen acceso al servicio de Internet sin restricciones, con ciertas excepciones de bloqueo de categorias como por ejemplo pornografia y violencia y direcciones de listas negras. Pertenecen a este grupo: Gerente General, Gerentes Corporativos, Asesores de Gerencia, Coordinadores, Directores, personal de Marketing y Comunicacién. Pagina 24 de 29,MANUAL DE POLITICAS DE SEGURIDAD DELA ——-MN-SEI-STE-001 Cne. INFORMACION Version: 3 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: CDG/SEI SEI/TIC GG 2016-09-26 Perfil 2 Los usuarios tienen acceso al servicio de internet igual que el perfil 1, pero con bloqueo de categorias como: deportes, militar, redes sociales, loteria, recreacién, religién, sexual, inmobiliario y del hogar, trabajo, viajes, moda, enfoque social, humanidad, transporte&vehiculos, stream&media, vida, compras, finanzas, comida-alcohol y tabaco, clubes&sociedades, vulgar, Juegos de azar, drogas ilegales, sitios web cédigo maliciosos, crimen, arma, fraude, aborto, suicidio, incitacién al odio, culto. Pertenecen a éste grupo: Usuarios en general de las diferentes éreas de la Corporacién que ingresan a la red corporativa, Perfil 3 Los usuarios tienen acceso ‘inicamente a paginas gubernamentales, bancos, paginas de noticias. Pertenecen a éste grupo: Personal del Contact Center y areas de Recaudacién de las Unidades de Negocio de la Corporacién. Perfil 4 Usuarios con requerimientos especiales. Se analizaré cada caso de acuerdo al requerimiento. 17.3. Consideraciones Generales ‘© En horas laborables, esté permitido acceder a Internet solo cuando sea estrictamente necesario y por requerimiento de informacién para sus funciones dentro de CNEL EP. Si necesita realizar una investigacién o bajar informacién de interés particular, puede hacerlo siempre y cuando no sea en horas laborables, es decir a partir de las 17h30 y solo si se encuentra autorizado. '* Todos los accesos a Internet tienen que ser realizados a través de los canales de acceso provistos por la Corporacién, en caso de necesitar una conexién a Internet alterna 0 especial, ésta debe ser notificada por el Gerente o Director de! Area y aprobada por la Gerencia de Seguridad de la Informacién. ‘© Todos los sitios y descargas serén susceptibles de supervision y/o bloqueo por parte de la Corporacién si se consideran perjudiciales y/o improductivos para el negocio ‘© Toda la informacién redactada, transmitida y/o recibida haciendo uso de los sistemas informaticos propiedad de CNEL EP y/o del servicio de Internet corporativo se consideraran, dependiendo del caso, como informacién interna o confidencial de la corporacién y se reconocen como parte de sus datos oficiales. Por lo tanto, de ser requerido, podré revelarse Gnicamente por exigencias legales a terceros autorizados. ‘© El equipamiento, los servicios y la tecnologia utilizados para acceder a Internet pertenecen a CNEL EP y la empresa podra supervisar el tréfico (metadata) generado mediante las conexiones hacia Internet. \\Q. Patina 25 de 28Cédig MANUAL DE POLITICAS DE SEGURIDAD DELA = MN-SEI-STE-001 Cnet INFORMACION Versién: 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: coG/se! SEVTIC 6G 2016-09-26 17.4. Prohibiciones ‘= Acceder a Internet para asuntos personales, actividades politicas, negocios privados 0 cualquier otra actividad no relacionada con las actividades o funciones relativas a su cargo que no se encuentren autorizadas. © Publicar o difundir informacién confidencial de los Sisternas de CNEL EP a través de Internet. * Elenvio o la publicacién de informacién difamatoria sobre la Corporacién, sus productos 0 servicios, trabajadores y/o clientes © La introduccién de softwere malicioso en la red de la empresa y/o la realizacién de actividades que pongan en peligro la seguridad de los sistemas de comunicacién electrénica de la empresa = Utilizar internet para visitar sitios 0 descargar texto, imagenes, videos que contengan material porografico, racista 0 politico o que inciten a la violencia, odio 0 cualquier actividad ilegal ‘+ Nose permitiré el acceso a redes sociales ni el uso del denominado chat en ningin horario. a menos que el usuario esté autorizado. * instalacién y uso de programas de tipo “peer-to-peer” para el intercambio de archivos en Internet © Descargar cualquier tipo de programas o software de Internet e instalarlos en las computadoras de CNEL EP sin previa autorizacién. ‘© Acceso a sitios reconocidos como inseguros, los cuales puedan poner en riesgo la integridad y confidencialidad de la informacion © Eluso de los ordenadores para cometer cualquier tipo de fraude como descargar, copiar y/o distribuir de forma ilegal material con derechos de autor (musica, peliculas, libros, programas, etc.) © Elrobo, el uso 0 [a revelacién de las contrasefias de otra persona sin la autorizacién previa. ‘© Noesté permitido el uso de programas que bloqueen o eviten las restricciones de seguridad para Internet establecidas en la Corporacién. * Noesté permitido acceder via Internet @ emisoras de radio ni de televisién (TV) por motives recreacionales, © La presentacién de opiniones personales sin autorizacién en sitios web como si representaran a la corporacién. ‘= Se considera igualmente prohibido, cualquier accién que viole los esténdares generales de conductas de uso de Internet o de otras redes, incluyendo, pero no limitado a ataques de denegacién de servicio (DoS por sus siglas en inglés), desconfiguracién de paginas Web, exploracién y copia de la red, asi como intentos no autorizados de penetracion de sistemas. 18 POLITICA DE USO DE DISPOSITIVOS MOVILES Los empleados deben cumplir un conjunto de buenas practicas para la utilizaci6n de los dispositivos méviles (Smartphone y Tablets) con acceso a informacién de CNEL EP. Las buenas practicas que se indican a continuacion son de aplicacién tanto para los dispositivos méviles corporativos de CNEL \\\_ Pagina 26 de 28 a fe VeCédigo: (MANUAL DE POLITICAS DE SEGURIDAD DE LA. MN-SEI-STE-O01 CneL INFORMACION Versién: 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cDG/sEI SEI/TIC 6G 2016-09-26 EP como los dispositivos méviles personales de los empleados si estos tienen acceso a informacién corporativa. * El terminal debe contar con bloqueo automético tras un periodo de inactividad con un patrén de seguridad o un pin. ‘© Elterminal debe contar con un Antivirus. * Se custodiard convenientemente la utilizacién del terminal por terceras personas de tal forma ‘que no puedan acceder ni a informacién nia las aplicaciones corporativas. © La conexién a la red WiFi corporativa se realizard segun las condiciones que determine la Gerencia de Tecnologias de la Informacién. Preferiblemente y salvo que se necesite acceso ala red interna de la compafiia, se conectarén a la red WiFi de invitados que permita Unicamente la mavegacién por internet. * Cuando se desee conectarse a una red WiFi fuera de las instalaciones de CNEL EP se seguirén las recomendaciones definidas en la Politica de Uso de Laptops y Medios Informaticos Removibles respecto a la conexién de redes WiFi * La Gerencia de Tecnologias de la Informacion serd la encargada de la gestion de las incidencias asociadas a Ia utilizacién del dispositivo mévil, en Io relacionado con Ia informacién o las aplicaciones corporativas, asi como la gestién de su garantia en caso de dispositivos corporativos. © En caso de ocurrir pérdida, robo 0 dafio de un dispositivo mévil, se deberé reportar a la Gerencia de Tecnologias de la Informacién para que se realice el respectivo registro del incidente el mismo que deberd ser puesto a conocimiento de la Gerencia de Seguridad de la Informacién. © Para los dispositivos méviles personales, en caso de dejar de ar el dispositive (bien porque se entrega a otra persona, bien porque se entrega a una tienda al adquirir otro dispositivo 0 Por otro motivo) se deberé eliminar de manera segura toda la informacién corporativa que se encuentra almacenada en el dispositivo. 19 POLITICA DE SEGURIDAD FISICA Y DEL ENTORNO Se prevendrd todo tipo de acceso fisico no autorizado, dafios o intromisiones en las instalaciones y en la informacién almacenada de CNEL EP. ‘Se tomarén las medidas de seguridad necesarias para evitar pérdidas, dafios, robos o circunstancias que pongan en peligro los activos o que puedan provocar la interrupcién de las actividades de CNEL EP. No se dejarén puestas llaves en puertas, armarios 0 cajones ni se dejarén puertas o ventanas abiertas cuando no haya nadie en despachos, plantas 0 Ia oficina completa. \ Pagina 27 de 29 ” 5 SCédige MANUAL DE POLITICAS DE SEGURIDAD DELA = MNV-SEI-STE-O01. Cnew INFORMACION Versién: 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cG/set SEYTIC 6G 2016-09-26 En lo referente a politica de Seguridad Fisica y del Entorno, se tomar como base lo dispuesto en el Reglamento interno de Seguridad y Proteccién Fisica de las Instalaciones de CNEL EP emitido por la Gerencia de Control de Gestién. 20 COMUNICACION DE INCIDENCIAS DE SEGURIDAD Toda incidencia en materia de seguridad deberé comunicarse siguiendo el procedimiento establecido, Dicha notificaci6n seré realizada 2 través de correo electrénico 2 seguridad @cnel,gob.ec o al ndmero telefénico destinado para tal efecto. Una vez recibida el érea de Seguridad seré la encargada de darle seguimiento, completar las notificaciones establecidas en el procedimiento correspondiente, establecer las acciones para su correccién y comunicar al usuario la resolucién o estado de la misma. 21 SANCIONES POR INCUMPLIMIENTO El incumplimiento de esta politica, segiin el caso serd objeto de las medidas disciplinarias a las que haya lugar, teniendo en cuenta la aplicacién imparcial y justa de sanciones de acuerdo al anélisis respectivo por parte de las autoridades correspondientes, entre las cuales se pueden enumerar: ‘+ Suspender y/o terminar el servicio o deshabilitar accesos a los sistemas en cualquier momento; '* Iniciar acciones tendientes a recuperar los costos en que haya incurrido la Corporacién por causa de acciones legales tomadas contra el usuario por incumplimiento de ésta politica © Tomar las acciones legales pertinentes en contra de las violaciones a le politica corporativa, Sila queje est relacionada con actividades ilegales, la Corporacién a su sola discrecién bloquearé 0 inhabilitaré la cuenta desde la que se verifican dichas actividades y notificard a las autoridades correspondientes. La Corporacion podré, de ser requerido, revelar la identidad del usuario o entregar cualquier informacién de la que se disponga con relacién al uso de los sistemas a las autoridades competentes segtin lo dispuesto en el Cédigo Organico Integral Penal y demas normativa vigente. 22 NORMATIVA LEGAL VIGENTE Cédigo Organico Integral Penal Ley de Comercio Electrénico, Firmas Electrénicas y Mensajes de Datos Reglamento General a la Ley de Comercio Electrénico, Firmas Electrénicas y Mensajes de Datos Ley Organica de Transparencia y Acceso a la Informacion Publica © Normas de Control interno de la Contraloria General del Estado \ Pagina 28 de 29 "Cédigo: MANUAL DE POLITICAS DE SEGURIDAD DE LA MNN-SEI-STE-OO1 Che. INFORMACION Version: « 03 Elaborado por: Revisado por: Aprobado por: Fecha de Emisién: cD6/seI seymic 6s 2016-09-26 ‘* Acuerdo Ministerial 166 de la Secretaria Nacional de la Administracién Publica * Esquema Gubernamental de Seguridad de la Informacién ‘© Normas Técnicas Ecuatorianas NTE INEN ~ ISO/IEC 27000 para la Gestién de Seguridad de la Informacién Normas Técnicas Ecvatorianas NTE INEN ~ ISO/IEC 27002 “Cdigo de préctica para la Gestién de la Seguridad de la Informacién. @ ae Yppiemsan sess |