1

FICA, Vol. XX, No. X, MES 20XX

ELABORACIN E IMPLEMENTACIN DEL

MANUAL DE POLTICAS Y NORMAS DE
SEGURIDAD INFORMTICA PARA LA EMPRESA
ELCTRICA REGIONAL NORTE S.A.
EMELNORTE.
Ana Cristina OREJUELA PREZ
Empresa Elctrica Regional Norte S.A. EMELNORTE
kristy_op@hotmail.com

INTRODUCCIN
ResumenEl presente artculo tiene como finalidad dar a
conocer el trabajo de grado con el manual de polticas y
normas de Seguridad Informtica que debern observar
los usuarios de servicios de tecnologas de informacin,
para proteger adecuadamente los activos tecnolgicos y la
informacin de la entidad beneficiaria que es la EMPRESA
ELCTRICA REGIONAL NORTE S.A. EMELNORTE.

ANTECEDENTES
MISIN: Generar, distribuir y comercializar energa
elctrica bajo estndares de calidad para satisfacer las
necesidades de sus clientes, con servicios de excelencia,
personal calificado y comprometido, contribuyendo al
desarrollo del pas.

En trminos generales estas polticas y normas de

seguridad informtica, propende por englobar los
procedimientos
ms
adecuados,
tomando
como
lineamientos principales los siguientes criterios: Seguridad
Organizacional, Seguridad Lgica, Seguridad Fsica y
Seguridad Legal.

VISIN: EMELNORTE, ser una empresa competitiva,

tcnica, moderna, modelo y referente del sector elctrico,
por la calidad de sus productos y servicios, gestin
transparente y por su efectiva contribucin al desarrollo del
pas.

Palabras Claves

ORGANIZACIN DE LA EMPRESA

Polticas de seguridad informtica, Normas de

Seguridad, Estndares.
AbstractThis paper aims to present the degree work
with manual policies and information security standards to
be observed by service users of information technology to
adequately protect it assets and information from the
beneficiary which is the EMPRESA ELCTRICA
REGIONAL NORTE S.A. EMELNORTE.
In general, these policies and information security
standards, aims for include appropriate procedures, using
as main guidelines the following criteria: Organizational
Security, Logical Security, Physical Security and Legal
Security.
ILUSTRACIN 1: Estructura orgnica de la empresa
Fuente: EMELNORTE S.A.

C.OREJUELA,MANUAL DE POLITICASY NORMAS DE SEGURIDAD PARA EMELNORTE

PROBLEMA
La Empresa Elctrica Regional Norte S.A.
EMELNORTE, es una empresa que posee una red de
comunicaciones que integra a todos los usuarios que
manejan equipos de computacin. Es indispensable contar
con polticas de seguridad que ayuden a desarrollar de
mejor manera las actividades de intercambio de
informacin y uso de sistemas.
Actualmente existen pocas polticas internas de seguridad,
lo que ocasiona muchos inconvenientes en toda el rea de
concesin de EMELNORTE, tanto en los sistemas,
comunicaciones, equipos de computacin y la causa de
malestar tanto a los abonados como a los usuarios de los
sistemas de la empresa. Por ejemplo, la instalacin de
programas no permitidos en los equipos como los proxy
que pueden crear huecos de seguridad en la red o el cambio
de lugar de equipos sin previo conocimiento y autorizacin
del Centro de Cmputo lo que causa errores en los registros
e inventarios de equipos.
Por lo antes mencionado se ve imperiosa la necesidad de
elaborar e implementar polticas y normas de seguridad
basndose para su desarrollo en las NORMAS ISO.

JUSTIFICACIN
Ante el esquema de globalizacin de la tecnologas de la
informacin han originado principalmente por el uso
masivo y universal de la internet y sus tecnologas, las
instituciones se ven inmersas en ambientes agresivos donde
el delinquir, sabotear y robar se convierte en retos para
delincuentes informticos universales conocidos como
Hackers, Crackers, etc., es decir, en transgresores.
Conforme las tecnologas se han esparcido, la severidad y
frecuencia las han transformado en un continuo riesgo, que
obliga a las entidades a crear medidas de emergencia y
polticas definitivas para contrarrestar estos ataques y
transgresiones.

Este manual de polticas de seguridad ser elaborado de

acuerdo al anlisis de riesgos y de vulnerabilidades de
EMELNORTE, por consiguiente el alcance de estas
polticas se encuentra sujeto a la empresa.

SEGURIDAD INFORMTICA
La seguridad informtica se enfoca en la proteccin de la
infraestructura computacional y todo lo relacionado. Para
ello existen una serie de estndares, protocolos, mtodos,
reglas, herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la informacin. La
seguridad informtica comprende software, bases de datos,
metadatos, archivos y todo lo que la organizacin valore
(activo) y signifique un riesgo si sta llega a manos de otras
personas. Este tipo de informacin se conoce como
informacin privilegiada o confidencial.
Consiste en garantizar que el material y los recursos de
software de una organizacin se usen nicamente para los
propsitos para los que fueron creados y dentro del marco
previsto.
Los objetivos de la seguridad informtica se enfocan en:
Integridad: Certificar que los datos sean los que se supone
que son.
Confidencialidad: Asegurar la disponibilidad de los
recursos nicamente a los individuos autorizados.
Disponibilidad: Garantizar el correcto funcionamiento de
los sistemas de informacin.
Evitar el rechazo: Garantizar de que no pueda negar una
operacin realizada.
Autenticacin: Asegurar que slo
autorizados tengan acceso a los recursos.

AMENAZAS

En nuestro pas existen muchas instituciones que han sido

vctimas de ataques en sus instalaciones, tanto desde el
interior como del exterior, por lo que es necesario tratar de
contrarrestar y anular estas amenazas reales.
As pues, ante este panorama surge el proyecto de polticas
rectoras que harn que el departamento de Tecnologas de
la Informacin y la Comunicacin de EMELNORTE,
pueda disponer de los ejes de proyeccin que en materia de
seguridad informtica la institucin requiere.

ALCANCE
El resultado de la investigacin es proveer a EMELNORTE
de un manual que contendr las polticas y normativas de
seguridad informtica.
ILUSTRACIN 2: Amenazas

los

individuos

FICA, Vol. XX, No. X, MES 20XX

Una Amenaza, en el entorno informtico, puede ser

cualquier elemento que comprometa al sistema. Pueden
presentarse circunstancias "no informticas" que pueden
afectar a los datos, las cuales son a menudo imprevisibles o
inevitables.

ANLISIS DE RIESGOS
La informacin es lo ms importante dentro de una
compaa y, por lo tanto, deben existir tcnicas que la
aseguren, ms all de la seguridad fsica que se establezca
sobre los equipos en los cuales se almacena. Estas tcnicas
las brinda la seguridad lgica que consiste en la aplicacin
de barreras y procedimientos que resguardan el acceso a los
datos y slo permiten acceder a ellos a las personas
autorizadas para hacerlo.

Es vital para las empresas elaborar un plan de backup en

funcin del volumen de informacin generada y la cantidad
de equipos crticos.
Un buen sistema de respaldo debe contar con ciertas
caractersticas indispensables: Continuo, Seguro, Remoto y
Mantencin de versiones anteriores de los datos.

NORMA TCNICA ECUATORIANA INENISO/IEC 27002:2009

Se elabor las polticas considerando la Norma Tcnica
Ecuatoriana INEC-ISO/IEC 27002:2009, considerando lo
siguiente:

Despus de efectuar el anlisis debemos determinar las

acciones a tomar respecto a los riesgos residuales que se
identificaron.

POLTICAS DE SEGURIDAD

Evaluacin y tratamiento de riesgos

Poltica de la seguridad
Organizacin de la seguridad de la informacin
Gestin de activos
Gestin de comunicaciones y operaciones
Control del acceso
Adquisicin, desarrollo y mantenimiento de
sistemas de informacin
Gestin de los incidentes de la seguridad de la
informacin
Gestin de la continuidad del negocio
Cumplimiento

MANUAL DE POLTICAS DE SEGURIDAD

Este manual de polticas de seguridad es elaborado de
acuerdo al anlisis de riesgos y vulnerabilidades en las
direcciones de la Empresa Elctrica Regional Norte S.A.
EMELNORTE, por consiguiente el alcance de estas
polticas, se encuentra sujeto a la institucin.
ILUSTRACIN 3: Poltica de Seguridad: Procesos, Reglas y Norma
Institucionales

Generalmente se ocupa exclusivamente a asegurar los

derechos de acceso a los datos y recursos con las
herramientas de control y mecanismos de identificacin.
RESPALDO
La informacin constituye puede verse afectada por
muchos factores tales como robos, incendios, fallas de
disco, virus u otros. Desde el punto de vista de la empresa,
uno de los problemas ms importantes que debe resolver es
la proteccin permanente de su informacin crtica.
La medida ms eficiente para la proteccin de los datos es
determinar una buena poltica de copias de seguridad o
backups: Este debe incluir copias de seguridad completa
(los datos son almacenados en su totalidad la primera vez)
y copias de seguridad incrementales (slo se copian los
ficheros creados o modificados desde el ltimo backup).

Se consideraron los siguientes temas:

Activos
De informacin
De software, fsicos y servicios
Equipos de cmputo
De la instalacin
Para el mantenimiento
De la actualizacin
De la re-ubicacin
De la seguridad
Comunicaciones y operaciones
Procedimientos y responsabilidades
Planificacin y aceptacin del sistemaError!
Marcador no definido.
Proteccin contra cdigos maliciosos y mviles
Respaldo
Seguridad en las redes
Manejo de los medios
Monitoreo

C.OREJUELA,MANUAL DE POLITICASY NORMAS DE SEGURIDAD PARA EMELNORTE

Control de acceso
Gestin del acceso de los usuarios
Responsabilidad de los usuarios
A las redes
Al sistema operativo, las aplicaciones, informacin
Computacin mvil y trabajo remoto
A la web
Software
De la adquisicin
De la instalacin
De la actualizacin
De la auditoria de software instalado
Del software propiedad de la institucin
De la propiedad intelectual
Incidentes de la seguridad de la informacin
Reporte sobre los eventos
Reporte sobre las debilidades
Gestin de incidentes y mejoras en la seguridad de
la informacin
Supervisin y cumplimiento
Cumplimiento de las polticas y normas de
seguridad
Verificacin del cumplimiento tcnico
Consideraciones de la auditora de los sistemas de
informacin

CONCLUSIONES
1.
Es responsabilidad de los usuarios de
equipos
y
servicios
tecnolgicos
de
EMELNORTE cumplir las polticas y normas del
MANUAL DE POLTICAS Y NORMAS DE
SEGURIDAD INFORMTICA.
2.
La Direccin de TICs emitir y revisar
el cumplimiento de las polticas y normas de
seguridad informtica que permitan realizar
acciones correctivas y preventivas para el cuidado
y mantenimiento de los equipos que forman parte
de la infraestructura tecnolgica de la empresa.
3.
La organizacin y ejecucin de pruebas,
inspecciones y auditorias (internas y externas)
para asegurar la continuidad de la integridad
funcional del MANUAL DE POLTICAS Y
NORMAS DE SEGURIDAD INFORMTICA.
4.
Todas las acciones en las que se
comprometa la seguridad de la empresa y que no
estn previstas en este manual, debern ser
revisadas por la Direccin de TICs para dictar
una resolucin sujetndose al estado de derecho y
a la normativa vigente.
5.
El incumplimiento a cualquiera de las
polticas establecidas en el manual acarreara las
sanciones de tipo disciplinario y legal a que
hubiera lugar de acuerdo a la normativa vigente.

RECOMENDACIONES
1.
Legalizar ante los estamentos jurdicos el
MANUAL DE POLTICAS Y NORMAS DE
SEGURIDAD INFORMTICA.
2.
Mantener
siempre
actualizado
el
MANUAL DE POLTICAS Y NORMAS DE
SEGURIDAD INFORMTICA.
3.
Socializar con todos los empleados y
trabajadores de la empresa el MANUAL DE
POLTICAS Y NORMAS DE SEGURIDAD
INFORMTICA.
4.
Recomendar la elaboracin de manuales
de polticas y normas de todas las actividades que
se realizan en el departamento de TICs.
5.
Crear un Sistema Informtico de Gestin
de Seguridad de la informacin, que supervise y
normalice, toda actividad relacionada con la
seguridad informtica.
6.
Recomendar que durante la etapa
estudiantil dentro de la Universidad Tcnica del
Norte las materias impartidas sean tericas y
prcticas para tener un mejor desarrollo en la vida
profesional.
7.
Crear en la Universidad Tcnica del
Norte un registro con las necesidades de la
comunidad para que las carreras tcnicas
desarrollen la mejor solucin.

AGRADECIMIENTOS
A Dios, por haberme guiado por un buen camino y
lograr con xito esta etapa de mi vida estudiantil.
A todos los miembros de mi familia, por sus nimos y
su apoyo incondicional.
A la Universidad Tcnica del Norte, por abrirme sus
puertas y preprame adecuadamente en sus aulas y con los
mejores docentes que me impartieron sus conocimientos.
A mi director de tesis, Ing. Edgar Daniel Jaramillo, por
sus recomendaciones, consejos y su amistad.
A todos los docentes de la UTN, por su paciencia
durante toda mi etapa estudiantil.
A todos los amigos que han estado presentes en las
buenas y en las malas.
A EMELNORTE por permitir mi formacin en el
mbito profesional.

FICA, Vol. XX, No. X, MES 20XX

BIBLIOGRAFA
1.
Costas Santos, J. (2011). SEGURIDAD
Y ALTA DISPONIBILIDAD. CFGS. Ra-ma.
2.
Dante
Cantone,
ADMINISTRACION
DE
BACKUPS. Ra-ma.

M.
(2011).
STORAGE
Y

3.
Escriv Gasc, G., Romero Serrano, R.
M., Ramada, D. J., & Onrubia Prez, R. (2013).
SEGURIDAD
INFORMTICA.
Macmillan
Profesional.
4.
Gomez
Vieites,
ENCICLOPEDIA
DE
LA
INFORMATICA. Ra-ma.

A.
(2011).
SEGURIDAD

5.
Gomez Vieites, A., & Garca Tom, A.
(2011). GESTIN DE INCIDENTES DE
SEGURIDAD
INFORMTICA.
Starbook
Editorial, S.A.
6.
Gomez Vietes, A., & Garca Tom, A.
(2011). SISTEMAS SEGUROS DE ACCESO Y
TRANSMISIN DE DATOS. Starbook Editorial,
S.A.
7.
Instituto Ecuatoriano de Normalizacin.
(2009). SISTEMAS DE GESTIN DE LA
CALIDAD. REQUISITOS. Quito: INEN.
8.
Instituto Ecuatoriano de Normalizacin.
(2009). TECNOLOGA DE LA INFORMACIN
- TCNICAS DE LA SEGURIDAD - CDIGO
DE PRCTICA PARA LA GESTIN DE LA
SEGURIDAD DE LA INFORMACIN. Quito:
INEN.
9.
Instituto Ecuatoriano de Normalizacin.
(2011). TECNOLOGA DE LA INFORMACIN
- TCNICAS DE SEGURIDAD - SISTEMA DE
GESTIN DE LA SEGURIDAD DE LA
INFORMACIN (SGSI) - REQUISITOS. Quito:
INEN.
10.

Lacasta, R., Sanmart, E., & Velasco, J.

11.
Merino Bada, C., & Caizares Sales, R.
(2011). IMPLANTACIN DE UN SISTEMA DE
GESTIN
DE
SEGURIDAD
DE
LA
INFORMACIN. Fundacin Confemetal.
12.
Purificacin, A. (2010). SEGURIDAD
INFORMTICA. Nivel: formacin profesional.
Ra-ma.

13.
Scrib. (2009). Seguridad de la
informacin. Tipos de ataques Informticos.
Recuperado el 9 de Julio de 2013, de Scrib:
http://www.scribd.com/doc/19397003/Tipos-deAtaques-informaticos
14.
Vallecilla Mosquera, J. (2009). Seguridad
de las TIC bajo protocolos TCP/IP. Recuperado el
9 de Julio de 2013, de Vallecilla Mosquera, Juan:
http://biblioteca.cenace.org.ec:8180/jspui/handle/1
23456789/86
15.
Vieites Gomez, A., & Garca Tom, A.
(2011).
AUDITORA
DE
SEGURIDAD
INFORMTICA. Starbook Editorial, S.A.