Este documento presenta un manual de políticas de seguridad informática para el Instituto de Altos Estudios Nacionales (IAEN) con el objetivo de divulgar las normas de seguridad entre el personal sobre el uso de recursos informáticos. El manual contiene cinco capítulos sobre seguridad personal, física y ambiental, operaciones de cómputo, control de acceso lógico y cumplimiento, estableciendo políticas y normas en cada área basadas en estándares internacionales para proteger la integridad, confidencialidad y disponibilidad

1. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 1
MANUAL DE POLÍTICAS
DE SEGURIDAD
INFORMÁTICA

2. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 2
INFORMACIÓN GENERAL:
Control de Cambios:
Fecha de
elaboración
Versión Elabora
cambios o
revisiones
Naturaleza del
cambio
4 de agosto de
2008
1.0 Gabriel Cevallos Primera Edición
5 de agosto de
2008
1.1 Ximena Garbay Revisión
16 de mayo de
2011
1.2 Soraya Carrasco Actualizaciones
Indicadores de revisión:
1.x: 1: Edición del documento, documento original.
X: Número de revisión efectuada en el documento
Dirigido a:
El presente documento está dirigido a todo el personal del IAEN.

3. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 3
CONTENIDO:
Antecedentes 4
Marco Jurídico Administrativo 4
Justificación 5
Objetivo general 6
Objetivos Específicos 6
Alcance 6
Sanciones 7
Beneficios 7
Vigencia 7
Manual de Políticas de Seguridad Informática para el IAEN 7
Generalidades 7
Políticas y Normas de Seguridad Personal 8
Políticas y Normas de Seguridad Física y Ambiental 8
Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11
Políticas y Normas de Controles de Acceso Lógico 15
Políticas y Normas de Cumplimiento de Seguridad Informática 17
Glosario de términos 18

4. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 4
ANTECEDENTES
El IAEN como Universidad de Postgrado se encuentra en una continua innovación académica y
tecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte del
fortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que es
permanentemente actualizada con propósitos de brindar calidad de servicios a las nuevas
exigencias que persigue la misión del IAEN.
La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjunto
de normas y políticas de uso y seguridad informática de los equipos y aplicaciones a
implementarse.
MARCO JURÍDICO ADMINISTRATIVO
En el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría General
del Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo para
el manejo y administración de bienes del Sector Público; el mismo que señala:
Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes de
propiedad de los organismos y entidades del sector público..… y para los bienes de terceros
que por cualquier causa estén en el sector público bajo custodia o manejo”.
Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, no
habrá persona alguna que por razón de su cargo, función o jerarquía esté exenta del
cumplimiento de las disposiciones del presente reglamento…”
Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de los
bienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de sus
funciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada institución
emitirá las disposiciones administrativas correspondientes…”
Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector público
sólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichos
bienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particulares
y/o extrañas al servicio público.”
La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, en
su sección V, Disposiciones especiales sobre ciertas obras, escribe:
Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales.
Dicha protección se otorga independientemente de que hayan sido incorporados en un
ordenador y cualquiera sea la forma en que estén expresados…..”.
En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley de
Propiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:

5. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 5
Art. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cinco
mil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuicios
ocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique,
utilice con fines comerciales, oferte en venta, venda, importe o exporte:
...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marca
notoria o de alto renombre, registrada en el país o en el exterior;
Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial
507 del 19 de enero del 2005 se declara:
Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a la
información pública y este reglamento, se aplican a todos los organismos entidades e
instituciones del sector público y privado que tengan participación del Estado…”.
Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento,
llevarán un listado ordenado de todos los archivos e información considerada reservada…”
Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando:
b) “La información sea considerada incompleta, alterada o supuestamente falsa,…”
JUSTIFICACIÓN
La seguridad, en lo que se refiere a una infraestructura de información, es un concepto
relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la
institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por
esta razón es un paso primordial el establecer normativas y estándares que permitan obtener
una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación del
IAEN.
El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger la
información que fluye a través del sistema de comunicaciones del IAEN agrupando todas las
normas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles de
seguridad considerados en recomendaciones internacionales.
El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a la
manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los
procesos informáticos y elevará el nivel de seguridad de los mismos.
OBJETIVO GENERAL
Divulgar un manual de políticas de seguridad informática para el conocimiento y
cumplimiento del mismo entre todo el personal del IAEN sobre los recursos
informáticos asignados o utilizados.

6. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 6
OBJETIVOS ESPECÍFICOS
Elaborar un manual de políticas de seguridad informática para el personal del IAEN
adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza
de la información que se maneja en el mismo.
Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad
para la fácil aplicación de las mismas por parte del personal del IAEN.
Establecer niveles de seguridad en base a recomendaciones internacionales
permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo
que se traduce en un enfoque más objetivo de la situación de la institución.
ALCANCE
El presente manual describe todas las normas, políticas y estándares que se aplicarán de
manera obligatoria de parte del personal del IAEN respecto a seguridad informática para
precautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para el
presente manual se ha considerado sugerencias y recomendaciones del estándar británico
británicas BS7799.
BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere a
la necesidad de proteger la exactitud de la información, así como los métodos utilizados para
procesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitada
por las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a la
garantía de que aquellos que han sido autorizadas a hacer uso de la información tienen acceso
a ella y todos los asociados activos cuando sea necesario.
El manual incluye cinco capítulos, a saber:
- SEGURIDAD PERSONAL
- SEGURIDAD FÍSICA Y AMBIENTAL
- SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO
- CONTROL DE ACCESO LÓGICO
- CUMPLIMIENTO
Cada capítulo incluye la política relacionada, así como el conjunto de normas respectivas
consideradas en cada caso.

7. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 7
SANCIONES
Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que
asumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio
de las autoridades del IAEN.
BENEFICIOS
El cumplimiento del presente manual de seguridad informática hará posible un mejor
mantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como un
manejo más confiable de toda la información del instituto.
VIGENCIA
El presente manual entrará en vigencia, previa aprobación de las autoridades del IAEN
correspondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todo
cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros
causados por las exigencias del instituto hará necesario efectuar una revisión y actualizaciones
del presente documento, estas actualizaciones y revisiones están previstas dentro del control
de cambios adjunto al presente documento.
MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
GENERALIDADES
INSTRUCCIONES DE INTERPRETACIÓN
El presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguaje
claro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargo
e independientemente de su nivel de conocimientos informáticos.
La aplicación de las normas expuestas en el presente documento se han ideado de forma que
su cumplimiento pueda efectuarse de la forma más simple posible y evitando interferir con las
funciones de los colaboradores del IAEN, sin embargo el personal deberá enmarcar sus
esfuerzos para que todas las normas y políticas concernientes a su entorno de trabajo y
utilización de recursos informáticos se cumplan a cabalidad.
POLÍTICAS Y NORMAS DE SEGURIDAD
Políticas.- Las políticas de seguridad informática establecen la visión y actitud general a
establecerse dentro del personal de la organización con respecto a los recursos y servicios
tecnológicos que se utilizan. Las políticas generan a su vez las normas y estándares a aplicarse
dentro de la organización para su cumplimiento; en otras palabras las políticas establecen que
se entiende por seguridad dentro de una determinada organización.

8. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 8
Normas.- Las normas son el conjunto de estándares, recomendaciones y controles que buscan
cumplir los objetivos establecidos por las políticas de seguridad, las políticas establecen la
concepción de seguridad dentro de la organización, las normas estableces las acciones
relacionadas con ese concepto.
POLÍTICAS Y NORMAS DE SEGURIDAD PERSONAL
POLÍTICA
Todo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizar
equipos y servicios tecnológicos de la infraestructura de comunicación del Instituto,
independientemente de su jerarquía dentro de la institución, debe firmar un convenio en el
que acepte: condiciones de confidencialidad y manejo de información digital generada en sus
funciones, el manejo adecuado de los recursos informáticos del IAEN, así como el apego a las
normas y políticas del presente manual.
OBLIGACIONES DE LOS USUARIOS
Es responsabilidad de los usuarios de equipos y servicios tecnológicos del IAEN cumplir las
políticas y normas del Manual de Políticas de Seguridad Informática para el IAEN.
ENTRENAMIENTO Y CAPACITACIÓN
Parte de los objetivos del manual es presentarse de fácil entendimiento para todo el personal
cualquiera sea el nivel de conocimiento de tecnología e informática que tenga el usuario, sin
embargo todo colaborador del IAEN de acceso reciente debe contar con la inducción referente
al Manual de Políticas de Seguridad Informática; esta tarea deberá desarrollarse por la Unidad
de Bienestar Humano en conjunto con la Dirección de Desarrollo Tecnológico del IAEN, dentro
de los puntos principales de la inducción se tratará a modo general las obligaciones del usuario
así como las sanciones relacionadas en caso de incumplimiento.
SANCIONES
En caso de que la Dirección de Desarrollo Tecnológico del IAEN identifique el incumplimiento
de las normas y políticas descritas en el presente manual, deberá emitir el reporte o informe
correspondiente a la Unidad Administrativa para que se ejecuten las medidas
correspondientes.
Se consideran violaciones graves el robo y daño de equipos voluntario; además el uso de la
infraestructura de comunicación del IAEN para hackeo o envío de correos tipo spam.
POLÍTICAS Y NORMAS DE SEGURIDAD FÍSICA Y AMBIENTAL
POLÍTICA
Los mecanismos de control de acceso físico deben asegurar que las áreas restringidas del IAEN
den acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos e

9. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 9
información del IAEN, dentro de estas áreas restringidas se consideran en especialmente las
oficinas de coordinación y el Centro de Datos del instituto. Para las estaciones de trabajo
abiertas (modulares) se consideran mecanismos de seguridad lógica que limiten el acceso a los
equipos computacionales y la información almacenada en los mismos.
MANEJO DE LA INFORMACIÓN
Todos los usuarios deberán reportar de forma inmediata los riesgos reales o potenciales que
presente el área física en que desempeñan sus funciones para los equipos de cómputo o de
comunicación de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc.
Todos los medios de almacenamiento de información de tipo extraíble (diskettes o cintas
magnéticos, CD, DVD o memorias tipo USB) asignados por el IAEN en función de las tareas del
usuario son responsabilidad del mismo, junto con la información contenida en los mismos, aún
cuando no se utilicen.
La información almacenada en los ordenadores asignados a los funcionarios del IAEN son
responsabilidad de los mismos, el evitar fugas o pérdidas de información dentro de los equipos
es obligación del usuario.
CONTROL DE INGRESO DE EQUIPOS
Cualquier persona que acceda a las instalaciones del IAEN deberá registrar al momento de su
ingreso: equipos de cómputo, equipos de comunicaciones (excepto por teléfonos móviles o
celulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga control
sobre el tráfico de los equipos computacionales y de computación que entran y salen del
Instituto. En el caso de los cursantes se podrá declarar con anterioridad los equipos
computacionales que piensa utilizar el cursante en el transcurso de la cátedra respectiva.
Las computadoras personales o portátiles asignadas o cualquier otro activo de comunicación e
información podrán salir de las instalaciones del IAEN previa autorización de la autoridad
respectiva.
SEGURIDAD DEL CENTRO DE DATOS
El centro de datos se considera área restringida dentro del IAEN y sólo el personal autorizado
por la Dirección de Desarrollo Tecnológico tiene acceso al mismo.
TRASLADO, PROTECCIÓN Y UBICACIÓN DE EQUIPOS
La reubicación o movimiento de equipos de computación y comunicación, la instalación y
desinstalación de dispositivos, el retiro de sellos tanto de garantía como de licenciamiento de
sistema operativo o de programas de herramientas ofimáticas son atributos del personal de la
Dirección de Desarrollo Tecnológico del IAEN, este tipo de tareas se realizarán previa
autorización de la Dirección Administrativa y con apoyo de la misma.

10. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 10
Todo usuario es responsable de los equipos tecnológicos computacionales y de comunicación
asignados en la ubicación autorizada por la Dirección Administrativa, y el uso de los equipos
será de uso exclusivo de las funciones del IAEN.
En caso de necesitarlo, es responsabilidad del usuario solicitar capacitación necesaria para el
manejo de herramientas informáticas relacionadas con su labor de forma que se reduzca el
riesgo de daño o malfuncionamiento de los equipos y herramientas por mal uso o
desconocimiento, optimizando al mismo tiempo el uso de las herramientas informáticas.
Toda la información obtenida y desarrollada en base a las funciones de los usuarios se
guardará en la carpeta Mis Documentos, de manera que los datos puedan identificarse de
manera rápida y en una sola ubicación lógica para facilitar el proceso de recuperación o
respaldo de archivos.
La ingesta de alimentos y/o bebidas mientras se operan los equipos de computación y
comunicación está prohibida.
La colocación de cualquier objeto sobre los equipos computacionales o la ubicación de
obstáculos o cosas que obstruyan los orificios de ventilación (ubicados en la fuente y parte
lateral de los CPU y monitores de los computadores) están prohibidas.
La estación de trabajo debe estar limpia de polvo y libre de humedad para disminuir daños en
los equipos por estos agentes.
Los cables de conexión de los equipos computacionales a la red eléctrica, a la red de datos y el
cable de conexión telefónica deben protegerse, el usuario cuidará que estos cables no sean
pisados, aplastados o pinchados por personas u objetos.
Cuando se requiera cambiar la ubicación de varios equipos de cómputo (reestructuración,
remodelación, cambio de lugar de unidades, etc) se deberá notificar a la Dirección de
Desarrollo Tecnológico este particular con un mínimo de 48 horas de anticipación para prever
las medidas a aplicarse para realizar el cambio de la manera más rápida y eficaz, todos estos
movimientos y reubicaciones deben estar autorizados por la Dirección Administrativa.
Está prohibido que los usuarios abran o desarmen los equipos de computación y de
comunicación asignados por el IAEN.
MANTENIMIENTO DE EQUIPOS
Los servicios de mantenimiento y reparación se llevarán a cabo solamente por el personal de la
Dirección de Desarrollo Tecnológico del IAEN o personal autorizado por la misma unidad, es
responsabilidad del usuario solicitar información e identificación de la persona o personas
designadas antes de permitir el acceso al equipo asignado.
En caso de ser necesario el traslado del equipo para diagnóstico y reparación, los usuarios
deberán hacer respaldos de la información que consideren crítica o relevante para sus

11. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 11
funciones; de esta manera se asegura que la pérdida involuntaria de información que podría
suceder como efecto de la reparación pueda subsanarse.
PÉRDIDA DE EQUIPO
El usuario es responsable del equipo computacional y de comunicaciones asignado, en caso de
robo, extravío o pérdida responderá por el bien de acuerdo a la normativa vigente para estos
casos.
Los equipos de computación portátiles asignados tienen carácter intransferible y son de
responsabilidad del personal respectivo, por tanto no se pueden realizar préstamos de estos
equipos.
La pérdida de cualquier equipo computacional o de comunicación (y accesorios relacionados)
debe comunicarse de inmediato a la Unidad Administrativa, a la Dirección de Desarrollo
Tecnológico y al órgano de Control de Bienes del IAEN.
PERIFÉRICOS Y DISPOSITIVOS ESPECIALES
Los usuarios cuyos equipos computacionales están equipados con grabadores para CD, DVD o
ambos utilizarán estos dispositivos exclusivamente para archivos de respaldo de documentos
originales y copias de software autorizadas al IAEN vía contrato.
El uso indebido de estos dispositivos para copias no autorizadas por el autor (“piratas”) de
cualquier programa de ordenador o software es responsabilidad del usuario bajo cuyo
resguardo esté el equipo computacional.
DAÑO DEL EQUIPO
El daño por negligencia, maltrato o descuido del usuario en los equipos de computación y
comunicación asignados será cubierto por el responsable previa verificación de la
descompostura por parte de la Dirección de Desarrollo Tecnológico del IAEN; en función del
daño se podrá solicitar el valor de la reparación o reposición del equipo o dispositivo.
POLÍTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIÓN DE
OPERACIONES DE CÓMPUTO
POLÍTICA
Los funcionarios del IAEN que utilizan equipos de computación y comunicación deben ocupar
mecanismos tecnológicos para la protección y privacidad de la información que manejan y
generan.
La protección de la información también compete a la prevención de código maliciosos al
computador asignado, ya sea este virus, gusano, caballo de troya u otros.

12. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 12
USO DE MEDIOS DE ALMACENAMIENTO
No se admite el uso de archivos compartidos entre los equipos asignados, el envío y recepción
de documentos internos se hará vía correo electrónico para que quede constancia del envío y
de las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicaciones
interno del Instituto.
Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicaciones
del IAEN son susceptibles de auditoría y revisión.
INSTALACIÓN DE SOFTWARE
Todos los usuarios que debido a sus actividades requieran el uso de software propietario,
deberán justificar el uso del mismo y solicitar la Autorización a la Dirección de Desarrollo
Tecnológico a través de un oficio firmado por el Director de la unidad del usuario, indicando en
que equipo o equipos (de existir varias licencias adquiridas) deberá instalarse el programa en
cuestión y el período de tiempo estimado de uso.
La instalación de cualquier tipo de programa en computadores, servidores o cualquier otro
equipo conectado a la red del IAEN sin la autorización de la Dirección de Desarrollo
Tecnológico está prohibida.
IDENTIFICACIÓN DEL INCIDENTE
En el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente de
seguridad informática deberá reportarlo de inmediato a la Dirección de Desarrollo
Tecnológico, justificando con claridad porque lo ocurrido se considera como incidente de
seguridad informática.
De existir la sospecha de que información ha sido revelada, modificada, alterada o borrada sin
autorización del usuario se deberá también notificar el incidente al Director de la Unidad
respectiva.
Cualquier incidente relacionado con la utilización de equipos computacionales y de
comunicación deben reportarse a la Dirección de Desarrollo Tecnológico.
ADMINISTRACIÓN DE LA CONFIGURACIÓN
Está prohibido el alterar la configuración del equipo asignado por cualquier motivo, el
establecer redes de área local, conexiones remotas internas o externas, el intercambio de
información a través del protocolo FTP o cualquier otro protocolo de transferencia de datos
tampoco está permitido sin la autorización previa de la Dirección de Desarrollo Tecnológico
SEGURIDAD PARA LA RED
El uso del equipo computacional asignado para exploración de los recursos compartidos de la
infraestructura tecnológica del IAEN y las aplicaciones que la misma presta con el objetivo de

13. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 13
hallar vulnerabilidades, sin autorización previa de la Dirección de Desarrollo Tecnológico se
considera un ataque a la seguridad de la red.
USO DEL CORREO ELECTRÓNICO
El correo electrónico institucional es personal e intransferible, cada usuario mantiene su propia
cuenta y está prohibido el utilizar cuentas asignadas a otras personas para enviar o recibir
mensajes de correo.
El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicaciones
institucionales está prohibido a menos que exista autorización de la Dirección de Desarrollo
Tecnológico.
Tanto los mensajes enviados y recibidos así como los archivos adjuntos que salen y entran a los
buzones institucionales se consideran propiedad del IAEN.
Los mensajes enviados por correo electrónico se consideran como una comunicación privada y
directa entre el emisor y el receptor.
El IAEN se reserva el derecho al acceso y análisis de todos los mensajes y archivos adjuntos
enviados a través del correo institucional, al existir sospecha de envío de información que
comprometa la seguridad de la red, o cualquier otra acción no autorizada.
El usuario debe utilizar el correo electrónico exclusivamente para desempeñar las funciones
que le fueron asignadas por su cargo, empleo o comisión; cualquier otro uso del correo
electrónico está prohibido.
Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrónico.
Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros las
comunicaciones por correo electrónico.
El empleo del correo electrónico considera el uso de lenguaje apropiado, evitando palabras
ofensivas o altisonantes que afecten la honra y estima de terceros.
CONTROLES CONTRA CÓDIGO MALICIOSO
Para evitar la inducción de código malicioso dentro de los equipos computacionales, el
personal hará uso sólo del software o programas de ordenador instalados y validados por la
Dirección de Desarrollo Tecnológico del IAEN.
Los usuarios de la infraestructura tecnológica del IAEN deben verificar que toda información
contenida en medios de almacenamiento extraíbles como diskettes, CD, DVD o memorias USB
esté libre de códigos maliciosos, esto a través del software antivirus autorizado e instalado en
cada equipo computacional por la Dirección de Desarrollo Tecnológico.

14. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 14
Debe verificarse la presencia o no de código malicioso en todos los archivos adjuntos
comprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutándose el
programa antivirus autorizado antes de ejecutarse la descompresión.
El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicaciones
en cualquier código o lenguaje de computadora que estén diseñados para auto-replicarse,
dañar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados o
componentes del equipo computacional como memorias o periféricos será sancionado por la
autoridad competente como ataque contra la seguridad informática del IAEN.
Cualquier usuario que sospeche la infección de su equipo computacional de virus, troyano o
cualquier otro código malicioso deberá dejar de usar inmediatamente el equipo y anunciar el
particular a la Dirección de Desarrollo Tecnológico para que se tomen las acciones respectivas
de re-establecimiento del equipo y eliminación del código malicioso.
Los usuarios a quienes se han asignado equipos portátiles están en el deber de solicitar
periódicamente a la Dirección de Desarrollo Tecnológico la actualización del software antivirus.
Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirus
instaladas en cada equipo computacional para prevenir la propagación de código malicioso.
Los códigos maliciosos son cada vez más complejos, por lo que ningún usuario debe intentar
erradicarlos por sí mismo.
USO DEL INTERNET
El acceso a Internet provisto para el personal del IAEN a través de equipos computacionales es
exclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto y
función que desempeña.
Todos los accesos de Internet deben ser provistos a través de los canales previstos para el
efecto, de necesitarse una conexión a Internet especial de características diferenciadas esta
debe ser notificada y autorizada por la Dirección de Desarrollo Tecnológico.
Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informática
deben reportarlo inmediatamente a la Dirección de Desarrollo Tecnológico con los
justificativos respectivos sobre las sospechas para la verificación del incidente.
Todo usuario de Internet en el IAEN, al aceptar el servicio está aceptando que:
- Las actividades realizadas en Internet serán sujeto de monitoreo.
- Conocen la prohibición al acceso de páginas no autorizadas
- Conocen la prohibición de descarga de software y archivos de música o video sin la
autorización de la Dirección de Desarrollo Tecnológico.

15. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 15
- La utilización del Internet es para el desempeño de su función y cargo en el IAEN y no
para propósitos personales.
POLÍTICAS Y NORMAS DE CONTROLES DE ACCESO LÓGICO
POLÍTICA
Cada usuario se responsabilizará por el mecanismo de acceso lógico asignado, esto es su
identificador de usuario y password necesarios para acceder a la información e infraestructura
de comunicación del IAEN, es responsabilidad de cada usuario la confidencialidad de los
mismos.
El acceso a la información que fluye dentro de la infraestructura tecnológica del IAEN se otorga
en base a las funciones del usuario, se deberán otorgar los permisos mínimos necesarios para
el desempeño del cargo o rol.
CONTROLES DE ACCESO LÓGICO
Todos los usuarios de equipos computacionales son responsables de la confidencialidad del
identificador de usuario y el password de su equipo, así como de aplicaciones especiales que
requieran el mismo control de acceso lógico.
Todos los usuarios deberán autenticarse con los mecanismos de control de acceso lógico antes
de tener acceso a los recursos de la Infraestructura tecnológica del IAEN.
No está permitido a los usuarios el proporcionar información a personal externo sobre los
mecanismos de control de acceso a los recursos e infraestructura tecnológica del IAEN, salvo el
caso de autorización expresa del generador de la información y la Dirección de Desarrollo
Tecnológico.
El identificador de usuario dentro de la red es único y personalizado, no está permitido el uso
del mismo identificador de usuario por varios miembros del personal.
El usuario es responsable de todas las actividades realizadas con su identificador de usuario,
por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que está
prohibido usar el identificador de usuario de otros.
ADMINISTRACIÓN DE PRIVILEGIOS
Todo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para acceso
a diferentes prestaciones de la infraestructura tecnológica del IAEN debe ser notificado a la
Dirección de Desarrollo Tecnológico por el Director correspondiente a la unidad o la autoridad
que ordena el cambio.

16. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 16
EQUIPO DESANTENDIDO
El usuario que deja su lugar de trabajo por cualquier razón debe dejar bloqueado su terminal o
equipo computacional precautelando la seguridad de la información a través del mecanismo
de control de acceso lógico.
ADMINISTRACIÓN Y USO DE PASSWORDS
Es obligación del usuario cambiar la clave por defecto asignada por la Dirección de Desarrollo
Tecnológico.
Los passwords son individuales, está prohibido que varios usuarios compartan un password.
Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la Dirección de
Desarrollo Tecnológico para que se le realice la acción que le permita ingresar un nuevo
password, y el momento de recibirlo deberá personalizar uno nuevo.
Está prohibido mantener ayudas escritas o impresas referentes al password en lugares donde
personas no autorizadas pueden descubrirlos.
La revelación del password o contraseña a terceros responsabiliza al usuario que prestó su
password de todas las acciones que se realicen con el mismo.
Los usuarios deberán observar las siguientes guías para la construcción de su contraseña:
- La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (7)
caracteres y máximo 12 (doce).
- Deben ser difíciles de adivinar, es decir no deben estar relacionados con nombre del
empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo.
La contraseña no caduca, pero bajo sospecha de que el password es conocido por otra persona
debe cambiarse inmediatamente.
Los cambios o desbloqueo de password solicitados por el usuario a la Dirección de Desarrollo
Tecnológico serán notificados posteriormente al solicitante y al superior inmediato de manera
que se pueda detectar cualquier cambio no solicitado.
CONTROL DE ACCESOS REMOTOS
El uso de las extensiones telefónicas para acceso al Internet de tipo Dial-Up está prohibido, se
considera excepción previa autorización de la Dirección de Desarrollo Tecnológico del IAEN.
La administración remota de equipos conectados a Internet no está permitida, salvo que se
cuente con la autorización y un mecanismo de control de acceso seguro autorizado por el
dueño de la información y la Dirección de Desarrollo Tecnológico.

17. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 17
POLÍTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA
POLÍTICA
La Dirección de Desarrollo Tecnológico del IAEN emitirá y revisará el cumplimiento de las
políticas y normas de seguridad informática que permitan realizar acciones correctivas y
preventivas para el cuidado y mantenimiento de los equipos que forman parte de la
infraestructura tecnológica del Instituto.
DERECHOS DE PROPIEDAD INTELECTUAL
Las leyes de propiedad intelectual prohíben la reproducción de programas de ordenador o
software sin autorización escrita del autor, ya sea este adquirido o desarrollado en el Instituto.
Los sistemas desarrollados por personal interno o externo bajo la supervisión de la Dirección
de Desarrollo Tecnológico son propiedad del IAEN.
REVISIONES DE CUMPLIMIENTO
La Dirección de Desarrollo Tecnológico realizará acciones de verificación del cumplimiento de
manual de políticas de seguridad informática, lo que incluye mecanismos de revisión de
tendencias en el uso de recursos informáticos y la naturaleza de los archivos procesados.
El mal uso de los recursos informáticos detectado por la Dirección de Desarrollo Tecnológico
será reportado conforme a lo indicado en la política de Seguridad de Personal.
VIOLACIONES DE SEGURIDAD INFORMÁTICA
Se prohíbe el uso de herramientas de hardware o software que alteren o eviten los controles
de seguridad informática, a menos que exista autorización expresa de la Dirección de
Desarrollo Tecnológico.
Está prohibido realizar pruebas a los controles efectuados por la Dirección de Desarrollo
Tecnológico, ninguna persona puede probar o intentar comprometer los controles internos a
menos que cuente con la aprobación de la Dirección de Desarrollo Tecnológico o sea un
órgano interno de control.
La búsqueda de orificios o fallas de seguridad informática está reservada para la Dirección de
Desarrollo Tecnológico, está prohibida la realización de pruebas de este tipo para cualquier
usuario no autorizado.
La propagación de código malicioso de forma intencional para probar el desempeño de la red
de parte de usuarios no autorizados está prohibido totalmente.

18. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 18
GLOSARIO DE TÉRMINOS
CD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco,
que a través de medios ópticos puede guardar información.
Correo electrónico.- Consiste en enviar y recibir mensajes escritos a través de un computador
y direcciones de buzón virtuales a través de una red privada o Internet y software diseñado
para el efecto.
CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada para
nombrar al procesador de un ordenador, que es el chip que maneja las operaciones lógicas
de cada proceso, en la práctica se usa también para denominar a todo el equipamiento que
contiene al procesador.
Diskettes.- Unidad de almacenamiento extraíble originalmente en tamaño de 5¼” y
posteriormente en 3 ½” con capacidad de hasta 1,44MB, actualmente en proceso de desuso
por la entrada de unidades de almacenamiento con más capacidad y confiabilidad.
DVD.- (Digital Versatile Disc, disco digital verstátil): Unidad de almacenamiento óptica en
forma de disco de alta densidad que permite manejar formatos de audio y video de alta
calidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya que
soporta más de 4 veces la capacidad de este.
FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permite
la transferencia de archivos en la mayoría de redes actuales, FTP es soportado por varios
sistemas operativos, incluidas todas las versiones actuales del Windows.
Gusano.- Se denomina gusano al tipo de código malicioso capaz de duplicarse a sí mismo,
suele usar las operaciones automáticas de archivos propios del sistema operativo del
computador para la copia de sí mismo; básicamente ataca la red en sí ya que la duplicación
ocupa ancho de banda y enlentece los procesos.
Hackeo.- En el presente documento se limita a la acción de hallar huecos de seguridad en la
infraestructura de una red para acceder a la información de la misma.
MB.- (Megabyte): Unidad de volumen de información digital equivale a 1024 bytes, el byte
agrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno
(1) o cero (0).
RAR.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a
través de un software especializado y toma la extensión .rar.
Software.- Se denomina software a todo programa, que instalado en un computador permite
el aceceso al usuario a la manipulación de información o uso de periféricos como impresoras,
videocámaras u otros.
Spam.- Publicidad no solicitada que viaja a través de cualquier red hacia buzones de correo
electrónico, el envío de spam en la red de Internet es uno de los mayores causantes de
saturación de la red.

19. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 19
Troyano.- Un troyano es un tipo de código malicioso capaz de ingresar a un ordenador para
recabar información que permita el acceso de usuarios externos al computador local con los
consiguientes problemas de seguridad informática.
USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4
terminales para recepción, transmisión, y energización del equipo; los puertos USB se
encuentran presentes en todas las computadoras actuales y permiten la conexión de
unidades de almacenamiento portátiles, cámaras, teléfonos, módems inalámbricos y todo
tipo de periféricos.
UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante en
cualquier época como por ejemplo la canasta familiar.
Virus.- Un virus es un tipo de código malicioso capaz de destruir o alterar información del
computador que lo aloja.
ZIP.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través
de un software especializado y toma la extensión .zip.