Information Security Policies regarding to Statal Polytechnic of Carchi University ; Políticas de Seguridad de la Información para la Universidad Politécnica Estatal del Carchi

Abstract

This work is framed in the development of information security policies for the Carchi State Polytechnic University (UPEC), as a requirement for the establishment of the Government Information Security Scheme (EGSI) based on the Ecuadorian technical standard INEN ISO/IEC 27001. The purpose of the elaboration of the information security policies for this institution is to have the necessary documentation to define the procedures to safeguard the information and modify the continuity in the operations of the institutional computer services. The methodology proposed by the EGSI and the ISO/IEC 27001 standard that establishes the requirements and controls for the necessary objectives for adequate management of security information were used. Information was collected from the team work of the IT department of the UPEC University to know in detail the portfolio information of the technological services offered to the university community. With the obtained information, a study of the controls established in the EGSI was carried out and each of them was related to the way of knowing the level of compliance and maturity of the Institution. The security Information policies were elaborated and evaluated taking as a starting point the EGSI sections that correspond to: asset security, secure software development, access control to computer systems, data network security, risk management and continuity of operations; actions that allow promoting continuous improvement in the continuity and incident management processes. ; El presente trabajo está enmarcado en el desarrollo de políticas de seguridad de la información para la Universidad Politécnica Estatal del Carchi (UPEC), como un requisito para el establecimiento del Esquema Gubernamental de Seguridad de la Información (EGSI) basado en la norma técnica ecuatoriana INEN-ISO/IEC-27001. El propósito de la elaboración de dichas políticas es disponer de la documentación necesaria que permita definir los procedimientos para salvaguardar la información y garantizar la continuidad en las operaciones de los servicios informáticos institucionales. Se utilizó la metodología propuesta por el EGSI y la ISO/IEC 27001 que establecen los requisitos y objetivos de control necesarios para la gestión de la seguridad de la información. Se realizó el levantamiento de información en las unidades de la Dirección de TIC de la UPEC para conocer a detalle el portafolio de servicios informáticos que se ofrecen a la comunidad universitaria. Con la información obtenida se realizó un estudio de los controles establecidos en el EGSI y se relacionó cada uno de ellos con la finalidad de conocer el nivel de cumplimiento y madurez de la Institución. Se elaboró y evaluó las políticas de seguridad de información tomando como punto de partida los trece apartados del EGSI que corresponden a: seguridad de activos, desarrollo de software seguro, control de acceso a sistemas informáticos, seguridad en redes, gestión de riesgos y continuidad de operaciones; acciones que permiten promover la mejora continua en los procesos de continuidad y gestión de incidentes.