Comercio Electronico

* investigar los tipos de fraude existentes en internet.

*porque es importante la seguridad para el comercio electrónico.

*realizar un manual de procedimientos con respecto a la seguridad informatica en los diferentes niveles.

• MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICAInstituto de Altos Estudios Nacionales 1

• 2. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN INFORMACIÓN GENERAL: Control de Cambios: Fecha de Versión Elabora Naturaleza del elaboración cambios o cambio revisiones 4 de agosto de 1.0 Gabriel Cevallos Primera Edición 2008 5 de agosto de 1.1 Ximena Garbay Revisión 2008 16 de mayo de 1.2 Soraya Carrasco Actualizaciones 2011 Indicadores de revisión: 1.x: 1: Edición del documento, documento original. X: Número de revisión efectuada en el documento Dirigido a: El presente documento está dirigido a todo el personal del IAEN.Instituto de Altos Estudios Nacionales 2

• 3. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN CONTENIDO:Antecedentes 4Marco Jurídico Administrativo 4Justificación 5Objetivo general 6Objetivos Específicos 6Alcance 6Sanciones 7Beneficios 7Vigencia 7Manual de Políticas de Seguridad Informática para el IAEN 7Generalidades 7Políticas y Normas de Seguridad Personal 8Políticas y Normas de Seguridad Física y Ambiental 8Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11Políticas y Normas de Controles de Acceso Lógico 15Políticas y Normas de Cumplimiento de Seguridad Informática 17Glosario de términos 18Instituto de Altos Estudios Nacionales 3

• 4. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENANTECEDENTESEl IAEN como Universidad de Postgrado se encuentra en una continua innovación académica ytecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte delfortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que espermanentemente actualizada con propósitos de brindar calidad de servicios a las nuevasexigencias que persigue la misión del IAEN.La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjuntode normas y políticas de uso y seguridad informática de los equipos y aplicaciones aimplementarse.MARCO JURÍDICO ADMINISTRATIVOEn el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría Generaldel Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo parael manejo y administración de bienes del Sector Público; el mismo que señala:Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes depropiedad de los organismos y entidades del sector público..… y para los bienes de tercerosque por cualquier causa estén en el sector público bajo custodia o manejo”.Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, nohabrá persona alguna que por razón de su cargo, función o jerarquía esté exenta delcumplimiento de las disposiciones del presente reglamento…”Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de losbienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de susfunciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada instituciónemitirá las disposiciones administrativas correspondientes…”Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector públicosólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichosbienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particularesy/o extrañas al servicio público.”La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, ensu sección V, Disposiciones especiales sobre ciertas obras, escribe:Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales.Dicha protección se otorga independientemente de que hayan sido incorporados en unordenador y cualquiera sea la forma en que estén expresados…..”.En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley dePropiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:Instituto de Altos Estudios Nacionales 4

• 5. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENArt. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cincomil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuiciosocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique,utilice con fines comerciales, oferte en venta, venda, importe o exporte:...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marcanotoria o de alto renombre, registrada en el país o en el exterior;Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial507 del 19 de enero del 2005 se declara:Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a lainformación pública y este reglamento, se aplican a todos los organismos entidades einstituciones del sector público y privado que tengan participación del Estado…”.Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento,llevarán un listado ordenado de todos los archivos e información considerada reservada…”Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando: b) “La información sea considerada incompleta, alterada o supuestamente falsa,…”JUSTIFICACIÓNLa seguridad, en lo que se refiere a una infraestructura de información, es un conceptorelacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en lainstitución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); poresta razón es un paso primordial el establecer normativas y estándares que permitan obteneruna base de manejo seguro de todo lo relacionado con la infraestructura de comunicación delIAEN.El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger lainformación que fluye a través del sistema de comunicaciones del IAEN agrupando todas lasnormas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles deseguridad considerados en recomendaciones internacionales.El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a lamanipulación y uso de aplicaciones y equipos computacionales permitirá optimizar losprocesos informáticos y elevará el nivel de seguridad de los mismos.OBJETIVO GENERAL Divulgar un manual de políticas de seguridad informática para el conocimiento y cumplimiento del mismo entre todo el personal del IAEN sobre los recursos informáticos asignados o utilizados.Instituto de Altos Estudios Nacionales 5

• 6. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENOBJETIVOS ESPECÍFICOS Elaborar un manual de políticas de seguridad informática para el personal del IAEN adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza de la información que se maneja en el mismo. Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad para la fácil aplicación de las mismas por parte del personal del IAEN. Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo que se traduce en un enfoque más objetivo de la situación de la institución.ALCANCEEl presente manual describe todas las normas, políticas y estándares que se aplicarán demanera obligatoria de parte del personal del IAEN respecto a seguridad informática paraprecautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para elpresente manual se ha considerado sugerencias y recomendaciones del estándar británicobritánicas BS7799.BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere ala necesidad de proteger la exactitud de la información, así como los métodos utilizados paraprocesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitadapor las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a lagarantía de que aquellos que han sido autorizadas a hacer uso de la información tienen accesoa ella y todos los asociados activos cuando sea necesario.El manual incluye cinco capítulos, a saber: - SEGURIDAD PERSONAL - SEGURIDAD FÍSICA Y AMBIENTAL - SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO - CONTROL DE ACCESO LÓGICO - CUMPLIMIENTOCada capítulo incluye la política relacionada, así como el conjunto de normas respectivasconsideradas en cada caso.Instituto de Altos Estudios Nacionales 6

• 7. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAENSANCIONESLas sanciones a aplicarse al personal que incumpla las normas descritas en este manual (queasumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criteriode las autoridades del IAEN.BENEFICIOSEl cumplimiento del presente manual de seguridad informática hará posible un mejormantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como unmanejo más confiable de toda la información del instituto.VIGENCIAEl presente manual entrará en vigencia, previa aprobación de las autoridades del IAENcorrespondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todocambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otroscausados por las exigencias

...