SEGURIDAD

DE LA
INFORMACIÓN
I
 CONTENIDO

Módulo 1: Gestión de Seguridad de la Información en la CNT EP

Módulo 2: Normativas de Seguridad de la Información de la CNT EP
 OBJETIVOS

1. Reforzar los conocimientos de Seguridad de la Información, su gestión en la Corporación, así

como las políticas y normativas establecidas para precautelar los activos de información de la
Corporación.
2. Concientizar de su contribución a la efectividad del Sistema de Gestión de Seguridad de la
Información de la CNT EP, incluyendo los beneficios de la mejora en el desempeño de la
Seguridad de la Información.
3. Promover una cultura de Seguridad de la Información en la Corporación.
MÓDULO 1: Gestión de Seguridad de la Información en la CNT EP
 Seguridad de la Información

Establece los lineamientos orientados a garantizar y preservar la información organizacional con base a los
principios de Confidencialidad, Integridad y Disponibilidad, en concordancia con los requerimientos del
negocio, leyes, normativas y/o regulaciones aplicables.

Seguridad de la Información

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
Asegurar los activos de información
 Conceptos básicos de Seguridad de la
Información

Activo de Información

Todo elemento que genera,

procesa, transporta, resguarda y/o
contiene información y posee valor
para la Corporación. Confidencialidad Integridad Disponibilidad

Propiedad de la información Propiedad de la Propiedad de ser

de no ponerse a disposición información relativa a su accesible y utilizable por
o ser revelada a individuos, completitud y exactitud. una entidad autorizada.
entidades o procesos no
autorizados.
 Sistema de Gestión de Seguridad de la
Información (SGSI) en la CNT EP

Debido a la importancia de la Seguridad de la Información, la CNT EP ha implementado un Sistema de

Gestión de Seguridad de la Información (SGSI), el cual está enfocado en proveer un esquema de seguridad
estratégico en todos los procesos de la Corporación.

Implementado desde el 2012, certificado en la

Norma ISO/IEC 27001:2013 desde el año 2013

Basado en la Norma ISO 27001 e ISO 27005

Alcance para todos los procesos de la Corporación

- Venta e Instalación de Productos de Servicios de Datos e

Procesos comerciales certificados Internet Corporativo
- Venta y Aprovisionamiento de Infraestructura como Servicio
(IaaS) en un esquema de Cloud Computing.
 SGSI – Norma ISO/IEC 27001:2013

La Norma ISO/IEC 27001:2013 brinda un modelo para establecer, implementar,

operar, revisar y mantener un Sistema de Seguridad de la Información (SGSI) y
está compuesta por requisitos y controles.

Los requisitos más importantes de la Norma son:

 Documentación: Alcance, Documentación del Proyecto, Políticas,

Normativas y Procedimientos.

 Gestión de Riesgos: Identificación y tratamiento de los riesgos que

afectan la información de la Empresa.

 Compromiso de la Dirección: Establecer controles, proporcionar

recursos, determiner un nivel acceptable de riesgo y revisar el SGSI.

 Auditorías Internas: Auditar el SGSI para determinar si los controles son

satisfactorios.

 Revisiones y Mejora Continua: La Dirección debe revisar anualmente el

SGSI.
 SGSI – Norma ISO/IEC 27001:2013

Los controles de la Norma se presentan a continuación:

 Marco Legal de la Seguridad de la Información

Al ser la Corporación una empresa de Telecomunicaciones que opera y brinda servicios en el territorio ecuatoriano,
debe cumplir leyes y regulaciones de acuerdo a la legislación ecuatoriana.

Estas regulaciones establecen controles que están también relacionados con la Seguridad de la Información y entre
otras, las principales son:

Ley Orgánica de Telecomunicaciones – Asamblea Nacional

Ley de Comercio Electrónico, Firmas Electrónica y Mensajes de Datos

Acuerdo Ministerial 025-2019 – Esquema Gubernamental de Seguridad

de la Información (EGSI) - MINTEL

Norma técnica para coordinar la gestión de incidentes y vulnerabilidades que

afecten a la seguridad de las redes y servicios de telecomunicaciones – ARCOTEL

Normas de Control Interno de la Contraloría General del Estado

* La Normativa de Cumplimiento legal contempla los requerimientos legales, regulatorios y normativos que se deben cumplir en la CNT EP relacionados con Seguridad
de la Información.
 Política de Seguridad de la Información de la CNT
EP

La CNT EP tiene establecida la Política de Seguridad de la Información, que se encuentra soportada por políticas,
normas y procedimientos para precautelar los activos de información de la Corporación. A continuación se describe
su enunciado:

La Política de Seguridad de la Información de la CNT EP, está actualizada a febrero 2021 y se encuentra publicada en el sistema MAI.
 Normativas de Seguridad de la Información
de la CNT EP

La Corporación Nacional de Telecomunicaciones CNT EP, ha definido un conjunto de Normativas de Seguridad de la

Información, que establecen lineamientos para una correcta Gestión de la Seguridad de la Información.

Las Normativas de Seguridad de la Información, que forman parte de la documentación del Sistema de Gestión de Seguridad
de la Información, están publicadas en el Sistema Documental MAI, a continuación, se describen las mismas:
 ROLES Y RESPONSABILIDADES DE SEGURIDAD DE
LA INFORMACIÓN

En la CNT EP se han establecido Roles y Responsabilidades de Seguridad de la Información para el manejo y

protección de la información, los cuales se describen a continuación:
 ¿Cuáles son las responsabilidades de los
Propietarios de la Información?

Sample text
Actualizar el inventarioThis isde Activos de
a sample text.
Sample text Validar la operación y efectividad de los
1 información. Insert your desired text
here.
7
This is a sample text.
Insert your desired text controles.Sample text
here.
This is a sample text.
Insert your desired text
Aprobar el acceso de funcionarios y terceras
here.
Determinar el nivel de clasificación.
2 8 partes a sus activos de información.

Cumplir y hacer cumplir las Políticas de Monitorear los niveles de acceso.

3 Seguridad de la Información. 9

Sample text
Identificar los Riesgos. Sample las
Comunicar text novedades.
This is a sample text.
4 10
Insert your desired text This is a sample text.
Insert your desired text
Sample text here.
here.
This is a sample text.
Insert your desired text
here. Definir los requerimientos de control. Participar en la resolución de los incidentes.
5 11

Velar por el cierre de las brechas y hallazgos

Asegurar la implementación de los controles. 12
6 identificados.
¿Cuáles son las responsabilidades de los
Custodios de la Información?
¿Cuáles son las responsabilidades de los
Usuarios Finales de la Información?
MÓDULO 2: Normativas de Seguridad de la Información de la CNT EP
 Normativa de Buenas Prácticas de
Seguridad de la Información

La Normativa de Buenas Prácticas de Seguridad de la Información contiene lineamientos que se refieren a la seguridad de
los recursos humanos, gestión de activos, control de acceso lógico, criptografía, seguridad física y del entorno, seguridad de
las operaciones, seguridad de las comunicaciones, adquisición, desarrollo y mantenimiento de sistemas de información,
teletrabajo, relaciones con los proveedores, gestión de incidentes de seguridad de la información, cumplimiento y aspectos
de seguridad de la información de la Gestión de la continuidad de Negocio. Entre los que tenemos:

Todo funcionario al ingresar a la CNT EP firma:

Convenio de Reserva de Información Sensible.

Seguridad de los
Recursos Humanos
Aceptación y compromiso de cumplir con la política,
normativas y procedimientos de Seguridad de la Información.

Aceptación y compromiso de cumplir con los Roles y

Responsabilidades de Seguridad de la Información.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La información de CNT EP, así como los activos donde ésta se

Gestión de Activos de almacena y se procesa deben ser inventariados, asignados a un
Información responsable y un custodio, clasificados y tratados de acuerdo a su nivel
de clasificación, y teniendo en consideración que son de propiedad de
la CNT EP.
* La Normativa de Identificación, Clasificación, Etiquetamiento y Tratamiento de la Información,
contiene los lineamientos específicos en referencia.

Todos los usuarios son responsables de darle un adecuado uso a las

Control de Acceso
herramientas y servicios de acuerdo a los niveles de autorización y de
Lógico
acceso lógico establecidos.

* La Normativa de Acceso Lógico contiene los lineamientos específicos para la administración de

los controles de acceso lógico de los activos de información (Gestión de accesos, uso de usuarios
personales, privilegiados, genéricos, de sistemas, así como la nomenclatura de los usuarios,
estándar de contraseñas, ente otros.
 Normativa de Buenas Prácticas de
Seguridad de la Información

Todo equipo portátil nuevo o existente que pertenezca a la CNT EP, y

que además soporte los requisitos técnicos mínimos de la solución de
cifrado implementada en la Corporación, deberá tener su información
cifrada.

Criptografía

Los certificados digitales son medios que permiten garantizar técnica y

legalmente la identidad de una persona en Internet. Un requisito que la
CNT EP aplica para ofrecer servicios seguros a través de Internet.
 Normativa de Buenas Prácticas de
Seguridad de la Información

Todas las instalaciones de la CNT EP deben contar con protecciones

físicas y ambientales acordes con la clasificación de los activos que
protegen.
Seguridad Física y del Las instalaciones de procesamiento de datos que procesen información
Entorno de la CNT EP deben estar ubicadas en áreas protegidas y resguardadas
por un perímetro de seguridad definido.

El acceso a áreas seguras debe ser controlado y limitado exclusivamente

a las personas autorizadas.

- Áreas de procesamiento o almacenamiento de información sensible.

- Áreas en donde se encuentran equipos e infraestructura de soporte a

los sistemas de información y comunicaciones.
En caso de requerirse acceso se deberán generar las autorizaciones respectivas por parte del responsable (del área segura)
donde se indique las actividades a desarrollar, horarios y deberá estar acompañado en todo momento por un funcionario
autorizado.

El personal con acceso a las áreas seguras deberá presentar el carné o tarjeta que lo identifique.
 Normativa de Buenas Prácticas de
Seguridad de la Información

Los funcionarios de CNT EP deben utilizar de manera

permanente el carné que los acredita como tal.
.

Los equipos portátiles deben permanecer con candado

de seguridad cuando el funcionario se ausente de su
puesto de trabajo.
Seguridad Física y del
Entorno
Los funcionarios deben asegurarse que en el momento
de ausentarse de su puesto de trabajo, sus escritorios se
encuentren libres de documentos y medios de
almacenamiento.
.

Los documentos que contengan información

Confidencial deben ser guardados bajo llave cuando no
se estén utilizando.
 Normativa de Buenas Prácticas de
Seguridad de la Información

Los documentos de las impresoras deben ser recogidos

inmediatamente después de haber sido enviados a imprimir.
.

Al terminar la jornada laboral, los funcionarios deben recopilar y

asegurar el material Confidencial, cerrar con llave cajones y
Seguridad Física y del oficinas, y apagar todos los equipos de cómputo que no vayan a
Entorno ser utilizados.

No deben estar a la vista de personas diferentes a su propietario o

custodio: nombres de usuario, contraseñas, direcciones IP,
directorios, contratos, números de cuenta bancarias, información
de clientes, datos personales de colaboradores, etc.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT EP, a través de las áreas responsables, busca asegurar la correcta y segura
operación de los servicios de procesamiento de información.
.

Los funcionarios de la CNT EP deben almacenar toda la información

que gestionen (creación, modificación) debido a sus actividades
diarias, directamente en el espacio del File Server asignado a su área.
Seguridad de las
Operaciones
En caso que el usuario tenga un cambio administrativo o deje de
prestar sus servicios a CNT EP, la información contenida en el
espacio del File Server, será de propiedad de CNT EP, al igual
que la información contenida en el equipo de cómputo asignado.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT EP busca asegurar la operación de los servicios de redes y de transferencia de

información.

Correos electrónicos

Seguridad de las
Está prohibido el envío de cadenas
Comunicaciones
de mensajes de cualquier tipo
(comercial, político, religioso, entre
otros) que degraden la condición
humana y resulten ofensivas para los
funcionarios y el personal provisto por
No es permitido el envío de
terceras partes.
archivos que contengan
extensiones ejecutables.

Los lineamientos específicos se encuentran en la Normativa para el Uso del Correo Electrónico
 Normativa de Buenas Prácticas de
Seguridad de la Información

El software para acceso

remoto debe ser el
autorizado por la CNT EP.
Seguridad de las
Comunicaciones

Se debe tener actualizado el Accesos Remotos

software antivirus y los parches de
seguridad del sistema operativo
en los equipos de cómputo que
se utilizan para conectarse a la
red interna de CNT EP.
 Normativa de Buenas Prácticas de
Seguridad de la Información

Internet

Deben evitar la descarga

de software, así como su
instalación en las
estaciones de trabajo o
dispositivos móviles
Seguridad de las asignados para el
Comunicaciones desempeño de sus labores.

No está permitido el
intercambio no autorizado de
información de propiedad de
la CNT EP, de sus clientes y/o de No está permitido el uso
sus funcionarios, con terceros. de herramientas de
comunicación que la
CNT EP no haya
autorizado.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT EP, establece mecanismos que permitan realizar una adecuada gestión adquisición,
mantenimiento, desarrollo de los mismos, garantizando que estos respondan a las necesidades de la
Corporación.
Entre los lineamientos establecidos y de acuerdo a las áreas según su competencia, se debe
considerar:
Analizar e incorporar dentro de las especificaciones técnicas
y/o documentación precontractual los requisitos de seguridad.

Adquisición, desarrollo La plataforma desarrollada o adquirida debe basarse en

y mantenimiento de los estándares o métodos de seguridad vigentes.
Sistemas de
Información No está permitido el
Especificar las condiciones de uso del software y los derechos de
intercambio no autorizado de
propiedad intelectual.
información de propiedad de
la CNT EP, de sus clientes y/o de No está permitido el uso
sus funcionarios, con terceros.
Contar de y mantenimiento
con el soporte herramientas por departe del proveedor
de las aplicacionescomunicación
adquiridas. que la
CNT EP no haya
autorizado.
Los lineamientos específicos se encuentran en la Normativa de Requerimientos de Seguridad para la Adquisición y Desarrollo de Software.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT EP ha establecido lineamientos para asegurar la información y las formas de comunicación al

ejecutar las funciones y actividades de forma no presencial, es decir, fuera de las instalaciones físicas de
la Corporación.

Usar los medios y herramientas tecnológicas que la CNT

proporciona para la realización de las actividades laborales.

Por ningún motivo, los funcionarios deberán hacer uso de redes

Teletrabajo públicas o inseguras para la conexión a la red de la CNT EP.

No Los funcionarios
está son responsables
permitido el del buen uso de los equipos, contraseñas de
acceso,
intercambio nolicencias y otros elementos
autorizado de relacionados que les sean asignados.
información de propiedad de
la CNT EP, de sus clientes y/o de No está permitido el uso
sus funcionarios, con terceros. de herramientas de
comunicación que la
CNT EP no haya
Todos los funcionarios deben cumplir con las disposiciones establecidas
autorizado. en el Procedimiento de Teletrabajo de la CNT EP.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT EP ha establecido mecanismos de control en sus relaciones con terceras partes, con el objetivo de
asegurar que la información a la que tengan acceso o servicios que sean provistos por las mismas, por tanto:

Las terceras partes de la CNT EP deben cumplir con las Políticas de

Seguridad de la Información para Terceras Partes; así como, a lo
establecido en la legislación vigente sobre Seguridad de la
Información, en lo que, por la naturaleza de sus actividades,
amerite.

Relaciones con Precautelar los activos de información a los que tengan acceso,
Terceras Partes atendiendo a los roles y responsabilidades para sus actividades
empresariales.
No está permitido el
intercambio no autorizado de
información de propiedad de los incidentes de seguridad de la información que se
Reportar
la CNT EP, de sus clientespresenten No está permitido el uso
y/o de durante la ejecución del contrato.
sus funcionarios, con terceros. de herramientas de
Mantener lacomunicación
confidencialidad que
de la la
información a la que tengan
CNT éstaEP
acceso, aunque no sidohaya
no haya clasificada.
autorizado.
Los lineamientos específicos se encuentran en la Normativa de Gestión de Seguridad de la Información con Terceros
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT promueve entre sus funcionarios el reporte de incidentes de Seguridad de la

Información.
Todos los usuarios y terceros que tienen acceso a la información de la Corporación tienen la
obligación de reportar Incidentes de Seguridad de la Información, esto se realiza por medio del
envío de correo electrónico a:

[email protected]
Gestión de Incidentes Los reportes deben realizarse
de Seguridad de la adjuntando toda la información y
Información SIS Service Desk documentación de soporte del
[email protected] caso reportado.

No está permitido el uso

deúnicos
En la Comunicación de los Incidentes, la Alta Dirección o su delegado, son los herramientas
autorizados parade
reportar incidentes de seguridad ante
comunicación
las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacerque la
pronunciamientos oficiales ante entidades
externas. CNT EP no haya
La Normativa de Gestión de Incidentes de Seguridad de la Información brinda autorizado.
los lineamientos que rige la gestión de incidentes de Seguridad
de Información en la Corporación.
 Normativa de Buenas Prácticas de
Seguridad de la Información

La CNT EP se compromete para contar con mecanismos que le permitan responder y

mantener la continuidad de las operaciones frente a la materialización de riesgos que
afecten el normal desarrollo de las áreas.

Los planes de
contingencia deben
Evaluar los impactos considerar medidas
de eventos que
afectan las áreas de tanto técnicas,
Gestión de Continuidad la Corporación administrativas y
principalmente de
del Negocio Seguridad de la
Información.
Realizar planes de
Los planes de
contingencia para las
contingencia deben
operaciones críticas
probarse y revisarse
No está permitido el uso
para el cumplimiento
periódica y
de
de los objetivos herramientas de continuamente
institucionales
comunicación que la
CNT EP no haya
autorizado.
 Normativa de Buenas Prácticas de
Seguridad de la Información

CNT EP se compromete a asegurar el cumplimiento de las leyes y normas reglamentarias y

regulatorias establecidas en el país, así como de velar por el cumplimiento de la
normativa interna desarrollada para la protección de la información en la Corporación.

Protección de los derechos de autor para

los diferentes productos y servicios. 1
Evaluar los impactos
En todo momento
de eventos que prevalecerá el respeto por la

Cumplimiento
afectan las áreas
privacidad de lade
la Corporación
clientes.
información de sus grupos de interés y 2
La Alta Dirección se reservará el derecho de monitoreo de
la información almacenada en los equipos de cómputo
con el fin de determinar su correcto uso y disponibilidad. 3
No está permitido el uso
Todos los funcionarios y proveedores de
deCNT EP deben
herramientas de
conocer la política y normativas de Seguridad de la
comunicación
Información, por lo que su incumplimiento que la
podrán implicar 4
sanciones disciplinarias. CNT EP no haya
autorizado.
* La Normativa de Cumplimiento legal contempla los requerimientos legales, regulatorios y normativos que se deben cumplir en la CNT EP relacionados con Seguridad de
la Información.
 Concienciación en Seguridad de la
Información

¡La Seguridad de la Información es trabajo de todos!, aplica sus buenas prácticas:

Protección de los derechos de autor para
los diferentes productos y servicios.
1 2 3 4 5
Evaluar los impactos
Cumplir conEnla todo momento
de eventos que prevalecerá Los el respeto
medios removibles por laNo compartir las Usar los medios y
Política y afectan lasBloquear
áreas de
privacidad
normativas de de lalainformación
sesión
cuando se abandona
de
no sus
deben grupos
ser decuentas de usuario y
interéscon
contraseñas y otros herramientas
tecnológicas que la CNT
Seguridad de la la Corporación
clientes. el puesto de trabajo.
considerados como funcionarios o con proporciona para la
Información de la medio primario de personal provisto por realización de las
CNT EP. almacenamiento. terceras personas. actividades laborales.

La Alta Dirección se reservará el derecho de monitoreo de

la información almacenada en los equipos de cómputo
6 con el fin7de determinar su correcto
8 uso y disponibilidad.
9 10
No está permitido el uso
Todos los funcionarios y proveedores de deCNT EP deben
herramientas
Las claves, direcciones de Todo incidente de
No descargarconocer
e la política y normativas de Seguridad de
Usar los equipos No intercambiar la IP, directorios, seguridad
Información,
instalar software informáticos
por lo que su incumplimiento comunicación
información no información
podrán implicar que
de clientes,la identificado, debe
no autorizado por asignados solo autorizada de datos personales, no ser reportado.
sanciones disciplinarias.
la Corporación. para fines propiedadCNTde la EP debenno estar en haya
sitios
laborales. CNT EP. visibles.
autorizado.
JEFATURA DE CUMPLIMIENTO Y
GESTIÓN DE RIESGOS DE
CIBERSEGURIDAD

FEBRERO 2022