MINISTERIO DE DEFENSA NACIONAL

SUBSECRETARÍA DE DEFENSA
MANUAL PARA OPERACIONALIZAR EL PROGRAMA DE
CIBERSEGURIDAD.

MIDENA-SUF-2022-017

PRESENTACIÓN. -
En el Concepto Estratégico de la Organización del Tratado del Atlántico
Norte (OTAN) aprobado en la Cumbre de Lisboa, los ciberataques se
consideran uno de los principales riesgos. En el llamado Informe Solana
de diciembre de 2008, a los cinco años de la aprobación de la Política
Europea de Seguridad y Defensa (PESD) de la Unión Europea (UE), se
consideró necesario incluir esta amenaza entre las principales a tener en
cuenta. Sin duda, las ciber amenazas son una de las principales
preocupaciones de seguridad de los países más desarrollados y de las
organizaciones internacionales como la OTAN y la UE.

La valoración de las amenazas actuales y futuras es una parte importante

de la evaluación de las prioridades a tener en cuenta en las crecientes
medidas de seguridad. Por lo que es necesario la prevención, detección,
respuesta, mitigación y recuperación, y considerar como una de las
principales acciones la cooperación internacional en determinados casos
para dar solución a los incidentes en materia de ciberseguridad.

El Ministerio de Telecomunicaciones y de la Sociedad de la Información a

través del Acuerdo Ministerial No. 025-2019 expidió el Esquema
Gubernamental de Seguridad de la Información (EGSI v2.0) el cual está
basado en la Norma internacional ISO 27000:2013. Este esquema
garantiza un conjunto de buenas prácticas, recomendaciones y
procedimientos basados en estándares internacionales (ISO) que
permiten, intensificar la concienciación dentro de las instituciones en
materia de riesgos de seguridad de la información, analizar el estado de
las mismas y definir una mejora continua con la implantación,
mantenimiento y revisión de riesgos y controles orientados a la protección
de la información; esta nueva normativa es de implementación obligatoria
en las Instituciones de la Administración Pública Central (APC).

1-4
La ciberseguridad en nuestro país, no ha sido definida todavía en una
legislación específica y completa (Ley de Seguridad Digital), aunque si
existe legislación distribuida en distintos ámbitos; sin embargo, el
Ministerio de Telecomunicaciones y Sociedad de la Información mediante
Acuerdo Ministerial 006 del mes de junio del 2021, publicó la Política
Nacional de Ciberseguridad, proceso en el cual participaron diferentes
actores del sector público, privado, academia, gobiernos seccionales y
organismos internacionales; la cual consta de 07 pilares con 06 objetivos
específicos.

El Comité Nacional de Ciberseguridad conformado por el Ministerio de

Telecomunicaciones y Sociedad de la Información, Ministerio de Defensa
Nacional, Ministerio de Gobierno, Ministerio del Interior, Ministerio de
Relaciones Exteriores y Movilidad Humana, Centro de Inteligencia
Estratégica y la Secretaria General de la Administración Pública y
Gabinete de la Presidencia de la República del Ecuador, mediante
resolución N.° CNC-2022-007, adoptada en sesión ordinaria celebrada el
03 de agosto de 2022, aprobó la Estrategia Nacional de Ciberseguridad
del Ecuador la cual consta de 06 pilares y 04 principios básicos.

Por su parte el Ministerio de Defensa Nacional como ente rector de las

Instituciones dependientes y adscritas relacionadas con el sector defensa
Mediante Acuerdo Ministerial N.º 134 del 30 de marzo de 2020, remitió la
Directiva para la implementación del EGSI v2.0.

La implementación del EGSI v2.0 incluye la ejecución de procedimientos

relacionados a las Políticas Generales de Seguridad de la información, las
cuales fueron publicadas y puestas en conocimiento de las autoridades
mediante oficio No MDN-SUF-2021-0963-OF del 02 de junio de 2021.
Sobre estas se definieron también las estrategias comunicacionales que
dispone el Ministerio de Defensa Nacional con el fin de concientizar lo
referente al acceso adecuado y oportuno a los sistemas de información,
acorde a la necesidad y considerando a la seguridad de la información
como principio fundamental para garantizar la integridad, confidencialidad
y disponibilidad de la misma.
Como parte de la Implementación del EGSI v2.0, mediante Oficio N.º
MDN-MDN-2022-1404-OF previa reunión y coordinación se consideró que
debe existir la separación de funciones y asignación de responsabilidades

2-4
en lo inherente a las TICS con el fin de brindar gobernanza a esta
actividad y definir un perfil específico; responsable de la seguridad de la
información con lineamientos de la Subsecretaria de Defensa Nacional
como delegado de la máxima autoridad para la implementación del
esquema en referencia.
Finalmente, mediante Acuerdo Ministerial N.º 306 del 19 de julio de 2022
se expide el Programa de Ciberseguridad del MIDENA el mismo que
establece políticas y asigna responsabilidades para garantizar el
cumplimiento de las políticas, procesos y estándares de ciberseguridad
del EGSI v2.0, el cual se integra y coordina con los elementos funcionales
de este esquema para salvaguardar los activos de esta cartera de Estado.
El programa de ciberseguridad establece las condiciones necesarias para
proteger y salvaguardar las capacidades de las tecnologías de la
información (TI), en apoyo a la preparación y la resiliencia de las misiones
del sector de la defensa.
Para operacionalizar el Programa de Ciberseguridad del sector Defensa y
reforzar el cumplimiento de los 14 dominios y 127 hitos que conforman
este esquema se pusieron en marcha múltiples talleres con la
participación de los Oficiales de Seguridad de la Información del Comando
Conjunto de las Fuerzas Armadas, Fuerza Terrestre, Naval y Aérea e
Instituto Geográfico Militar; desarrollándose 16 nuevas políticas que
forman parte de este Programa, las cuales se detallan a continuación:

• Política de control de acceso.

• Política de cifrado
• Política de concientización.
• Política de teletrabajo.
• Política de contraseñas.
• Política de respaldos de información.
• Política de control de aplicaciones autorizadas.
• Políticas de escritorios limpios.
• Política de gestión de activos
• Política de parches.
• Política de talento humano
• Política de usuarios
• Política de gestión de incidentes de seguridad informática.
• Política de monitoreo de redes.
• Política de continuidad de operaciones
3-4
 • Política de seguridad física.

Estas políticas contienen los lineamientos, responsabilidades,

metodología para la evaluación del cumplimiento y reporte, penalidades
por el incumplimiento y su vigencia, esto con el único propósito de
garantizar la integridad, disponibilidad e integridad de la información de
las instituciones que forman parte del sector defensa y cuya misión es de
carácter estratégico para el Estado ecuatoriano.

La auditoría es fundamental dentro de un sistema de gestión de seguridad

de la información y cuyos requisitos fundamentales son la independencia
de la planificación y de los auditores; su objetivo principal es determinar la
madurez en la implementación del EGSI v2.0; por lo que el Plan de
Auditoria también forma parte de este manual y será una guía o
complemento para alcanzar los niveles mas altos en este proceso de
implementación. Es importante señalar, sobre este aspecto; que en caso
de existir actividades que evidencien el cumplimiento de estas políticas y
que no se ejecuten por falta de la asignación presupuestaria
correspondiente; se deben desarrollar los proyectos que busquen ejecutar
estas actividades y que servirán como parámetro de evaluación durante el
proceso de auditoría que realice la autoridad competente.

Quito D. M., 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

GENERAL DE BRIGADA
SUBSECRETARIO DE DEFENSA NACIONAL

4-4
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

COMISIÓN EJECUTIVA DE ELABORACIÓN

GRAB. SANTIAGO ALMEIDA

SUBSECRETARIO DE DEFENSA NACIONAL

CRNL (SP) GUSTAVO SANTIAGO

ASESOR DE LOS EE.UU EN CIBERDEFENSA

TCRN. E.M DIELO JIMÉNEZ

OFICIAL DE SEGURIDAD DE LA INFORMACIÓN DEL MIDENA

MAYO COM. SANTIAGO ANDRADE

ASESOR MILITAR DE CIBERDEFENSA DEL MIDENA

EQUIPO TÉCNICO

MAYO TEC AVC ROBERTO AYALA

JEFE DEL DEPARTAMENTO DE SISTEMAS INFORMÁTICOS DEL
GRUSICOMGE

MAYO DE COM JOSÉ RAMOS

OFICIAL DE SEGURIDAD DE LA INFORMACIÓN DE LA FUERZA
TERRESTRE

CAPT TEC AVC MARCELO ARAUJO

OFICIAL DE SEGURIDAD DE LA INFORMACIÓN DE LA FUERZA AÉREA

TNNV-IG GIOVANNI ORDOÑEZ

JEFE DE INFRAESTRUCTURA TECNOLÓGICA DE LA DIRTIC DE LA FUERZA
NAVAL

ING. PABLO ESTRADA

TÉCNICO DTIC DEL MIDENA

ING. NELSON ACURIO

OFICIAL DE SEGURIDAD DE LA INFORMACIÓN DEL IGM

1-1
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE CONTROL DE ACCESO

MDN-SUF-2022-001

A. INTRODUCCIÓN
Los controles de acceso lógico, definen los niveles de autorización de usuarios
comunes, usuarios administradores para el uso adecuado de aplicativos o servicios;
además, de explicar el uso apropiado de los mismos y las medidas para optimizar su
utilización.

Mencionados controles se utilizan tanto para restringir ingresos no autorizados como

para verificar que un usuario determinado pueda acceder a una cuenta de un sistema,
aplicativo, equipos o sistemas de información con los privilegios establecidos. Lo cual
permite establecer, acordar, comunicar roles y responsabilidades relativos a TIC para
todo el personal, de acuerdo las necesidades institucionales.

La falta de control que delimite claramente las responsabilidades y la rendición de

cuentas de los usuarios con respecto a sus accesos, podrán tener como resultado
accesos no autorizados, mal uso de sistemas y vulneración de la confidencialidad e
integridad de la información.

B. PROPÓSITO
El propósito de la presente política es estandarizar la generación, uso y
administración de los accesos a los diferentes sistemas, equipos y/o aplicaciones
internas y externas relacionados con TIC en el sector Defensa, así como proporcionar
al personal técnico las políticas necesarias para la gestión del control de acceso.

C. ALCANCE
La presente política emite disposiciones que son de obligatorio cumplimiento de todos
los usuarios de los sistemas de información del sector Defensa en todos sus niveles
y privilegios de acceso de forma permanente hasta que se produjeren cambios o
derogatoria de la política.
.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos, repartos militares,

unidades, institutos o dependencias serán responsables de la supervisión del
cumplimiento de la presente política.

1-7
 2. Los usuarios son los únicos responsables sobre sus contraseñas, sin poder
delegar dicha responsabilidad, además no podrán, por ningún motivo compartir
las contraseñas. Los usuarios son responsables de reportar cuando consideren
que alguna credencial podría haber sido comprometida.

3. Todo el personal es responsable del conocimiento cabal de la presente política y

los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, serán los
responsables de orientar, verificar y controlar el cumplimiento de las medidas
técnicas que obliguen la implementación de la política, además de informar sobre
el cumplimiento.

5. Los OSI deberán gestionar la difusión de la presente política y los procedimientos

relacionados con ella así mismo verificar la concientización al respecto de su
cumplimiento.

6. El área de TIC (unidades, departamentos, Compañías de Comunicaciones), a

través de su área funcional correspondiente (secciones, departamentos,
pelotones, etc.) será la responsable de la implementación de las medidas técnicas
que tiendan a imponer a los usuarios el cumplimiento de la política. Estos
controles técnicos no podrán ser eludidos por los usuarios.

E. POLÍTICAS

1. Control de Acceso Usuarios LDAP

a. Todo el personal de la institución deberá estar registrado en LDAP para poder
acceder a los diversos servicios informáticos institucionales.

b. Los usuarios deberán tener una contraseña compleja, segura e intransferible

en base a los estándares de gestión de contraseñas institucionales.

c. Los usuarios no podrán usar las mismas contraseñas de sus cuentas

particulares en cuentas institucionales.

d. Los usuarios que cuenten con acceso a los sistemas de información deberán
estar registrados con el ALTA institucional de acuerdo al registro de la
Dirección General de Talento Humano o acorde a lo que se indica en la política
de altas y bajas de la institución.

e. Ninguna persona por su grado, autoridad o jerarquía tendrá la atribución de

requerir o solicitar contraseñas a los usuarios.

2-7
2. Control de Acceso Administradores de Servidores y Redes

a. Los administradores de sistemas deberán contar con accesos y niveles de

privilegios de acuerdo al departamento, división, cargo o funciones asignadas
que cumplen dentro de la Dirección de Tecnologías de Información y
Comunicaciones con sus respectivas Unidades de Tecnología (UTIC’s)
subordinadas.

b. Todas las contraseñas por defecto de cualquier sistema, dispositivo, aplicativo,

equipo o acceso a información deberán ser cambiadas por contraseñas
nuevas de acuerdo a la Política de contraseñas.

c. Los usuarios deberán tener una contraseña compleja, segura e intransferible

en base a los estándares de gestión de contraseñas institucionales.

d. Para el control de accesos a todos los usuarios administradores en todos los

niveles se aplicará la política 1 “Control de acceso usuarios LDAP”.

e. En el caso de requerirse más de un administrador de un sistema, aplicación

y/o equipo; cada administrador deberá ingresar con su propio nombre de
usuario y contraseña, es decir, no podrán compartir contraseñas ni existirán
usuarios genéricos tipo “root”, “admin” o similares.

f. Para administradores de sistemas, las contraseñas de acceso a sistemas con

grandes privilegios deberán ser únicas y no repetidas en ningún otro sistema
o control de acceso.

g. Ninguna persona por su grado, autoridad o jerarquía tendrá la atribución de

requerir o solicitar contraseñas a los usuarios.

h. Los responsables de los procesos que son automatizados a través de

aplicativos sean adquiridos o desarrollados por la institución, deberán
presentar la definición de roles, perfiles y privilegios y además el procedimiento
de asignación de los mismos que es particular para cada proceso.

3. Control de Acceso Aplicaciones

a. Para el caso de requerir servicios tecnológicos especiales, se debe proceder

mediante oficio motivado del jefe inmediato superior del reparto dirigido a la
Dirección de Tecnologías de Información y Comunicaciones, solicitando la
creación de una cuenta de administración del repositorio de datos o aplicación
web.

3-7
 b. En lo posible se usará doble factor de autenticación para los administradores
con mayores privilegios.

c. Para el control de accesos a todos los usuarios administradores en todos los

niveles se aplicará la política 1 “Control de acceso usuarios LDAP”.

d. Ninguna persona por su grado, autoridad o jerarquía tendrá la atribución de

requerir o solicitar contraseñas a los usuarios.

e. Se definirán los perfiles de usuario en base al siguiente detalle:

1) Super administrador: Este perfil permite la creación, modificación o

eliminación de estructura, creación de sitios, directorios y archivos.

2) Administrador: Este perfil permite la creación, modificación o eliminación

de directorios y archivos.

3) Colaborador: Este perfil permite la creación, modificación o eliminación de

archivos.

4) Solo Lectura: Este perfil permite únicamente la visualización de archivos.

f. Los responsables de los procesos que son automatizados a través de

aplicativos sean adquiridos o desarrollados por la institución, deberán
presentar la definición de roles, perfiles y privilegios y además el procedimiento
de asignación de los mismos que es particular para cada proceso.

4. Control de Acceso a Puertos Cerrados y Abiertos

a. El personal técnico del Departamento de Infraestructura de la Dirección de

Tecnologías de Información y Comunicaciones deberá mantener un registro
actualizado de los puertos abiertos y cerrados en los dispositivos de seguridad
perimetral.

b. El personal técnico del área de Infraestructura de la Dirección de Tecnologías

de Información y Comunicaciones deberá mantener un registro actualizado de
los puertos abiertos y cerrados en los dispositivos activos de red del Data
Center Institucional y equipos de red de borde de los repartos.

c. El área de seguridad de la información deberá analizar y considerar el autorizar

la apertura o cierre de un puerto específico.

4-7
F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas que incentiven el cumplimiento debe ser

ejecutada de la forma más pronta dentro de las capacidades técnicas actuales.

2. Deberán levantarse las necesidades para implementar las medidas técnicas para
imponer el cumplimiento de la política y sus procedimientos derivados y generar
los requerimientos necesarios.

3. Los procedimientos relacionados con la política de control de acceso lógico

podrán ser revisados de acuerdo con la realidad específica de cada red o servicio,
sin dejar de cumplir la política.

4. Los OSI en todos los niveles deberán establecer la frecuencia y mecanismo de

control del cumplimiento de la política. Se recomienda el uso de listas de chequeo
para el control del cumplimiento.

5. Se llevarán registros del cumplimiento de la política de control de acceso lógico

en cada una de las áreas relacionadas a TIC.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3. El director de la DTIC remitirá al oficial de seguridad de la información, de manera

semestral (2 veces al año) el reporte total de usuarios de LDAP en el que se
detalle: grado, cargo, nombre, usuario, reparto, correo, etc. de acuerdo con el
anexo A (MATRIZ DE USUARIOS LDAP).

4. El director de la DTIC remitirá al oficial de seguridad de la información en los

primeros 5 días de cada mes el reporte de usuarios administradores de sistemas,
equipos y/o aplicaciones en el que se detalle: nombre, usuario, IP asignada,
reparto, cargo, etc. de acuerdo con el anexo B, C (MATRIZ DE USUARIOS
ADMINISTRADORES SERVIDORES, MATRIZ DE USUARIOS
ADMINISTRADORES REDES).

5. El director de la DTIC remitirá al oficial de seguridad de la información en los

primeros 5 días de cada mes el reporte de puertos abiertos y reporte de puertos
cerrados en el que se detalle: número de puerto, protocolo, nombre del servicio,
dispositivo de control de acceso, dirección IP, etc. de acuerdo con el anexo D, E
(MATRIZ DE PUERTOS ABIERTOS, MATRIZ DE PUERTOS CERRADOS).

5-7
 6. El director de la DTIC remitirá al oficial de seguridad de la información en los
primeros 5 días de cada mes, el reporte total de usuarios de aplicativos en el que
se detalle: aplicativo, URL, nivel de usuario, nombre de usuario, alias, reparto, etc.
de acuerdo con el anexo F (MATRIZ DE USUARIOS ADMINISTRADORES
APLICACIONES).

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de
las consecuencias que puedan resultar producto de alguna acción u omisión contraria
a lo descrito en este documento, queda sometido a las penalidades establecidas por
normativa vigente, conforme al Reglamento Interno de Administración de Talento
Humano del Ministerio de Defensa Nacional, la LOSEP, Código del Trabajo,
Reglamento Interno de Trabajo del Ministerio de Defensa Nacional y Reglamento
Sustitutivo al Reglamento de Disciplina Militar en vigencia, que puede resultar en una
acción disciplinaria, sin perjuicio de las responsabilidades civiles o penales que
tuvieren lugar en virtud de la Ley.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Política de Seguridad de la Información.

2. Política de gestión de contraseñas.

3. Política de Talento Humano.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con el control de acceso lógico
de usuarios a los sistemas de información y activos de información pertenecientes al
sector de la Defensa.

K. VIGENCIA
La presente política entra en vigencia a partir de su expedición y de su ejecución y
cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de control de acceso se encuentra en su versión 1.0, expedida en la
fecha constante en el presente documento.

2. Versiones anteriores

6-7
 FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:
JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

7-7
 ANEXO D
MATRIZ DE PUERTOS ABIERTOS
DISPOSITIVO DE CONTROL DIRECCION IP DE DISPOSITIVO DE
PUERTO PROTOCOLO PROTOCOLO DE APLICACIÓN NOMBRE DEL SERVICIO DESCRIPCIÓN
DE ACCESO CONTROL DE ACCESO
389 UDP SERVIDOR LDAP Group Policy Directiva del grupo FIREWALL FIRE POWER 10.128.NN.176
110 TCP POP3 POPESVC Servicio POP 3 DE MICROSOFT FIREWALL FIRE POWER 10.128.NN.176
443 TCP HTTPS HTTPFilter Servicio SSL DE HTTP ACL-CORE 10.128.NN.166
 ANEXO E
MATRIZ DE PUERTOS CERRADOS
DISPOSITIVO DE CONTROL DIRECCION IP DE DISPOSITIVO DE
PUERTO PROTOCOLO PROTOCOLO DE APLICACIÓN NOMBRE DEL SERVICIO DESCRIPCIÓN
DE ACCESO CONTROL DE ACCESO
389 UDP SERVIDOR LDAP Group Policy Directiva del grupo FIREWALL FIRE POWER 10.128.NN.176
110 TCP POP3 POPESVC Servicio POP 3 DE MICROSOFT FIREWALL FIRE POWER 10.128.NN.176
443 TCP HTTPS HTTPFilter Servicio SSL DE HTTP ACL-CORE 10.128.NN.166
 ANEXO F
MATRIZ DE USUARIOS DE APLICACIONES
NIVEL DE USUARIO (SUPER
NOMBRE DE APLICATIVO URL DIRECCION IP ADMINISTRADOR, ADMINISTRADOR, GRADO NOMBRE DE USUARIO ALIAS DE USUARIO REPARTO DIVISION DESCRIPCIÓN CORREO ELECTRÓNICO TELÉFONO
COLABORADOR, SOLO LECTURA)
ALFRESCO repositorio.armada.mil.ec 10.128.NN.130 administrador CBOP Reyes Cajamarca lrereyec DIRTIC INFRAESTRUCTURA Administración deaplicacion [email protected] 0987654321
ALFRESCO repositorio.armada.mil.ec 10.128.NN.130 consumidor SERPUB Peralta Hernandez kperalta DIRTIC DESARROLLO Consultas [email protected] 987654321
 ANEXO C
MATRIZ DE USUARIOS ADMINISTRADORES DEL ÁREA DE REDES
APLICACIÓN / EQUIPOS AL QUE
GRADO ESPECIALIDAD CÉDULA NOMBRES APELLIDOS REPARTO USUARIO DIRECCION IP DESCRIPCIÓN CORREO ELECTRONICO TELÉFONO
ACCEDE
Switch CISCO DIRTIC 10.128.NN.64 Equipo administrable piso 2
SGOP IF 1234567890 Wellington Eduardo Ruiz Alvarado DIRTC wruiz Switch CISCO DIRLOG 10.128.NN.65 Equipo administrable piso 1 [email protected] 0987654321
Switch CISCO DIMARE 10.128.NN.68 Equipo administrable piso 3
SERPUB MGS 1234567890 Mayra Alejadra Espin Gallardo DIRTC mespin Switch CISCO DIMARE 10.128.NN.69 Equipo administrable piso 3 [email protected] 0987654321
 ANEXO B
MATRIZ DE USUARIOS ADMINISTRADORES DEL ÁREA DE SERVIDORES
APLICACIÓN / EQUIPOS AL QUE
GRADO ESPECIALIDAD CÉDULA NOMBRES APELLIDOS REPARTO USAURIO DIRECCION IP DESCRIPCIÓN CORREO ELECTRÓNICO TELÉFONO
ACCEDE
VPN UNTANGLE 10.128.NN.141 Monitoreo y Creacion de usuarios
CBOS IF 1234567890 Luis Felipe Reyes Cajamarca DIRTC lreyesc SOPHOS 10.128.NN.152 Servidor para asignar permisos [email protected] 0987654321
ZIMBRA 10.128.NN.124 Correo Institucional
SERPUB MGS 1234567890 Katiuska Odilia Peralta Hernandez DIRTC kperalta ZIMBRA 10.128.NN.218 Correo Institucional [email protected] 987654321
 ANEXO A
MATRIZ DE USUARIOS EN LDAP
ESTATUS (ACTIVO, CALIFICACIÓN (ORDINARIO,
TIPO GRADO ESPECIALIDAD CÉDULA NOMBRES APELLIDOS REPARTO USUARIO AREA CARGO CORREO ELECTRONICO TELÉFONO
INACTIVO, BLOQUEADO) CONFIDENCIAL, RESERVADO, SECRETO Y
TRIPULANTE ACTIVO CBOS IF 1234567890 Luis Felipe Reyes Cajamarca DIRTC lreyesc Infraestructura Técnico en redes CONFIDENCIAL [email protected] 0987654321
CIVIL ACTIVO SERPUB MGS 1234567890 Katiuska Odilia Peralta Hernandez DIRTC kperalta Infraestructura Analista de tecnología de información CONFIDENCIAL [email protected] 0987654321
OFICIAL ACTIVO TNNV IG 1234567890 Giovanni Mauricio Ordoñez Mancheno DIRTC giordonez Infraestructura Jefe de Infraestructura SECRETO [email protected] 0987654322
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE CIFRADO

MDN-SUF-2022-002

A. INTRODUCCIÓN
La confidencialidad es una de las características más importantes que se deben
proteger, garantizando que la información sea conocida exclusivamente por quien
debe hacerlo. Para mantener, tanto la confidencialidad como la privacidad de la
información, se han desarrollado métodos que ocultan la visualización y comprensión
clara de la información y exigen un procedimiento para mostrar la información en
claro; principalmente se puede encontrar la función conocida como cifrado.

El cifrado ha sido empleado por muchos años para ocultar los secretos, pero ahora
se lo emplea, principalmente para mantener la confidencialidad de los datos, sea que
ellos estén almacenados o en tránsito.

B. PROPÓSITO
El propósito de la presente política es estandarizar reglas para el uso de cifrado en el
sector defensa a fin de proteger la información almacenada y en tránsito, procurando
que las reglas sean aplicables, aceptables y medibles.

C. ALCANCE
La presente política emite disposiciones que son de obligatorio cumplimiento de todos
los usuarios de sistemas computacionales, activos de información y dispositivos
finales pertenecientes a la institución y de aquellos que se pongan al servicio de la
misma ya sea por contratos, convenios o casos temporales.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos, repartos militares,

unidades, institutos o dependencias serán responsables de la supervisión del
cumplimiento de la presente política.

2. Los usuarios son los únicos responsables sobre la confidencialidad de la

información que administran, por tanto, deberán aplicar la presente política y los
controles necesarios de cifrado para la protección de sus datos y los datos
personales de terceros.

1-8
 3. Todo el personal es responsable del conocimiento cabal de la presente política y
los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto con
su equipo de trabajo, serán los responsables de orientar, verificar y controlar el
cumplimiento de las medidas técnicas que permitan ejecutar la política, además
de informar sobre el cumplimiento de la misma.

5. Los OSI deberán gestionar la difusión de la presente política y los procedimientos

relacionados con ella; así mismo verificar la concientización al respecto de su
cumplimiento.

6. El área de TIC (Unidades, Departamentos, Compañías de Comunicaciones,

Secciones de TIC), a través de su área funcional correspondiente será la
responsable de la implementación de las medidas técnicas que faciliten y tiendan
a imponer a los usuarios el cumplimiento de la política. Estos controles técnicos
no podrán ser eludidos por los usuarios.

E. POLÍTICAS

1. Categorización de la información (datos)

a. Categoría 1: pública. - Es la información relacionada con las labores que

pueden ser conocidas por todo el personal del Ministerio de Defensa Nacional
y las FF.AA., así como personal civil en general y que no requiere un
tratamiento especial, pues su difusión no causaría ningún impacto a la
institución. Esta información incluye lo determinado en la LOTAIP (Ley
Orgánica de Transparencia y Acceso a Información Pública), información de
comunicación social y aquella que se publicare en los sitios web de las
instituciones pertenecientes al sector defensa.

b. Categoría 2: No pública. - Es la información relacionada con las labores que

puede ser conocida por el personal del Ministerio de Defensa Nacional y las
FF.AA., pero que no es de interés de personas externas a la institución, que
de acuerdo al criterio de quien la custodia puede requerir cifrado y que siempre
requerirá protección de su divulgación. Su inadecuada difusión podría causar
un impacto a ciertas funciones dentro de la institución, esta información incluye
a toda aquella que es de carácter militar interno y trámites administrativos que
no son de interés público.

c. Categoría 3: Sensible.- Dentro de la información no pública se puede tener

información sensible, que es la información relacionada con las labores y
2-8
 aspectos militares, que sin estar calificada como Confidencial, Reservada,
Secreta o Secretísima, de acuerdo al reglamento correspondiente, se la
considera sensible por los contenidos, por ejemplo, datos personales del
personal o terceros, datos de empresas, contenido de reuniones, actas,
oficios, etc., que contengan información cuya divulgación no adecuada pueda
tener un impacto e influencia en cuestiones institucionales. Esta información
deberá estar cifrada en los medios de almacenamiento y en los correos
electrónicos, así como resguardada bajo contraseñas en los sistemas de
intercambio de información, como lo son gestores documentales y sistemas
de mensajería.

d. Categoría 4: Clasificada. - Es la información que ha sido calificada de esta

manera conforme al Reglamento para la Elaboración, Manejo, Custodia,
Difusión y Seguridad de la Información Militar Calificada. Su tratamiento en los
medios para su producción y almacenamiento temporal deberá cumplir
obligatoriamente con controles de cifrado y su difusión se la ejecutará de
acuerdo al reglamento correspondiente.

2. Uso de cifrado

a. Toda la información que se considere sensible y clasificada deberá contar con

cifrado en su almacenamiento.

b. Toda la información institucional que sea empleada en dispositivos

personales, deberá ser cifrada.

c. Las unidades de TIC en todos los niveles implementarán las herramientas para
facilitar el cifrado tanto en almacenamiento como en tránsito.

d. Cualquier tecnología de cifrado deberá ser evaluada y aprobada por las DTIC
en el nivel correspondiente en el que se vaya a usar, así mismo se regulará su
uso.

e. Las unidades o secciones de TIC serán las responsables de la distribución de

llaves (keys) públicas para ser usadas en cifrados asimétricos.

f. El uso de algoritmos propietarios para cifrado no está autorizado, a no ser que

sea aprobado por el comité de Seguridad de la Información.

3-8
3. Cifrado de datos en almacenamiento (discos duros, extraíbles, bases de
datos)

a. Los dispositivos finales, PC y laptops deberán tener cifrados sus discos duros,
empleando para ello el cifrado propio de los sistemas operativos (Bitlocker,
entre otros) o aplicaciones que permitan el cifrado.

b. Todos los archivos que se consideren sensibles deberán tener una contraseña
para el acceso al mismo.

c. Los archivos que se categoricen como sensible, deberán ser cifrados de forma
específica, empleando cifrado simétrico o asimétrico según el caso y la
necesidad.

4. Cifrado de datos en correos electrónicos.

a. Se deberá implementar mecanismos para que se puedan cifrar los contenidos

de los correos electrónicos y sus adjuntos.

b. Se recomienda el empleo de cifrado asimétrico con llaves públicas y privadas

para garantizar la confidencialidad.

c. Se recomienda firmar los correos electrónicos para garantizar la integridad y

autenticidad de los mismos.

d. Los correos serán cifrados o en claro de acuerdo a la categorización de la

información.

e. Se recomienda el uso de un servidor de llaves para la distribución de llaves

públicas.

f. Dentro del texto del correo que contenga archivos adjuntos con categorización
sensible, se deberá incluir el hash de los archivos adjuntos para que se pueda
verificar su integridad.

5. Cifrado en las redes (datos en tránsito)

a. Las unidades de TIC en todos los niveles garantizarán que la información en

tránsito se encuentre cifrada.

b. Para navegación web se emplearán tecnologías o protocolos como HTTPS,

SSL, TLS, HSTS.

4-8
 c. Se ejecutará uso de cifrado en la comunicación para cualquier acceso remoto
a equipos, tanto dentro como fuera de la red, es decir no se podrán enviar
datos en claro en los accesos remotos.

d. Para acceso remoto a la red se emplearán VPN con cifrado.

e. Las unidades responsables de TIC en los diferentes niveles verificarán, de

forma periódica el nivel de confiabilidad y las vulnerabilidades que tienen los
protocolos que se usan.

f. En los sistemas, la comunicación entre componentes del sistema deberá

contar con autenticación y cifrado.

g. Para asegurar la integridad de los datos en transmisión, todo dato

categorizado como sensible deberá ser transmitido con su respectivo Hash
para que al ser recuperado se verifique la integridad.

h. En caso de distribución manual de la información sensible se empleará cifrado

simétrico con un acuerdo entre las partes para compartir la llave de cifrado a
través de mensajes con cifrado asimétrico.

6. Algoritmos aprobados / recomendados

a. Algoritmos de resumen.

1) SHA-224

2) SHA-256

3) SHA-384

4) SHA-512

b. Algoritmos asimétricos

1) RSA

2) DSA

3) EC-DSA

4) EC-DGSA

c. Algoritmos de establecimiento de claves

5-8
 1) Algoritmos DLC, definidos en la especificación NIST SP 800-56ª.

2) Algoritmo de transporte de claves RSA.

3) Algoritmos de envoltura de claves con clave simétrica.

d. Algoritmos simétricos

1) AES

2) TDEA

7. Procedimientos para gestión de llaves o claves

Las instituciones MDN, CC.FF.AA. y cada fuerza elaborarán, definirán, describirán

y cumplirán los siguientes procedimientos:

a. Generación de claves para diferentes sistemas criptográficos y aplicaciones.

b. Generación y obtención de certificados de clave pública.

c. Distribución de claves a los usuarios, incluyendo la activación una vez hayan

sido recibidas.

d. Almacenamiento de claves, incluyendo cómo obtienen acceso a las claves los

usuarios autorizados.

e. Cambio o actualización de claves, incluyendo normas sobre cuándo deben

cambiarse o actualizarse, y cuál es el procedimiento aplicable.

f. Gestión de claves comprometidas.

g. Revocación de claves, incluyendo su retirada o desactivación.

h. Archivo de claves, especialmente en caso de información cifrada que haya

sido archivada.

i. Destrucción de claves.

j. Registro y auditoría de operaciones relativas a la gestión de claves.

F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas que incentiven el cumplimiento debe ser

ejecutada de la forma más pronta dentro de las capacidades técnicas actuales y

6-8
 su avance deberá ser reportado al término de un año de la expedición de la
presente política.

2. Deberán levantarse las necesidades para implementar las medidas técnicas para
imponer el cumplimiento de la política y sus procedimientos derivados y generar
los requerimientos necesarios.

3. Los procedimientos relacionados con la política podrán ser revisados de acuerdo

a la realidad específica de cada red o servicio, sin dejar de cumplir la política.

4. Se llevarán registros del cumplimiento de la política de cifrado en cada una de las

direcciones, departamentos, repartos militares, unidades, institutos o
dependencias.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3. Con base en una lista de chequeo se controlará el cumplimiento de cifrado en

almacenamiento.

4. Con base en una lista de chequeo se controlará el cumplimiento de cifrado en

tránsito.

5. Con base en una lista de chequeo se controlará el cumplimiento de los

procedimientos levantados.

6. Con base en una lista de chequeo se controlará el cumplimiento de intercambio

de información de forma manual.

7. Se reportarán los resultados de cada uno de los departamentos, unidades,

repartos e institutos al OSI de cada Fuerza y CC.FF.AA. y estos a su vez al Oficial
Superior de Seguridad de la Información del MDN.

H. PENALIDADES

El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de

las consecuencias que puedan resultar producto de alguna acción u omisión contraria
a lo descrito aquí, queda sometido a las penalidades establecidas por la norma
vigente.

7-8
I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Política de gestión de contraseñas

2. Reglamento para la Elaboración, Manejo, Custodia, Difusión y Seguridad de la

Información Militar Clasificada.

J. DEROGATORIA

Esta política deroga a anteriores políticas emitidas con relación con la política de
cifrados del sector de la defensa.

K. VIGENCIA
La presente política entra en vigencia a partir de la expedición del presente
documento y de su ejecución y cumplimiento encargase a las autoridades
correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de cifrado se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:
JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

8-8
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE CONCIENTIZACIÓN

MDN-SUF-2022-003

A. INTRODUCCIÓN
Concientizar es el acto de comprender, lograr, intentar, generar conciencia sobre una
información o situación, buscando crear, modificar o eliminar actitudes negativas
logrando un cambio positivo en las personas.

B. PROPÓSITO
El propósito de la presente política es elevar el grado de concientización entre los
miembros de las Fuerzas Armadas, en el ámbito de seguridad de la información,
logrando crear conciencia sobre el alcance y las consecuencias que pueden tener
sus acciones.

C. ALCANCE
La presente política emite disposiciones que son de obligatorio cumplimiento de todos
los usuarios militares y servidores públicos que usan los sistemas de información,
cuentas asignadas a los servicios que presta la institución en cualquier dependencia
del sector defensa.

D. RESPONSABILIDADES

1. El usuario tiene la obligación y responsabilidad de rendir el test de ciberseguridad,

que será evaluado anualmente.

2. La DTIC será la responsable de la planificación, elaboración, aprobación y

ejecución del test de ciberseguridad, de preferencia mediante la utilización de
plataformas e-learning u otras tecnologías de la información.

3. Los usuarios tendrán la oportunidad de rendir el test hasta por 2 ocasiones

durante el semestre. La nota mínima para aprobar será de 70 sobre 100 puntos.

4. Los usuarios que no han realizado el test en ninguna de las dos ocasiones (primer
semestre y segundo semestre), o que no hayan alcanzado la nota mínima
(70/100) en el plazo previsto por la autoridad competente, se les desactivará
automáticamente las credenciales de acceso a los servicios institucionales.

1-5
 5. El personal que se encuentra inmerso en el numeral 3, deberá notificar mediante
oficio a la máxima autoridad de la institución o su delegado, para que le sea
reprogramada un nuevo test y dependiendo del resultado, sus credenciales
puedan volver a ser activadas.

6. El personal que haya rendido las prueba después de haber presentado la debida
justificación a la máxima autoridad de la institución o su delegado, y no haya
aprobado la nota mínima (70/100), pasará al grupo de rezagados, para ser
capacitados por última vez por el departamento de seguridad de la DTIC, a fin de
que se reprograme la prueba para poder activar sus credenciales de acceso a los
sistemas institucionales.

7. El personal militar que se encuentre cumpliendo funciones por comisión de

estudios dentro o fuera del país o desempeñando cargos en Agregadurías
Militares, Misiones Técnicas, Representaciones Diplomáticas en el exterior, se
tomará en consideración para que se les tome la prueba al retorno de su comisión
en los plazos provistos.

8. Todo el personal es responsable del conocimiento cabal de la presente política y

los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de su responsabilidad.

9. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto con
su equipo de trabajo, serán los responsables de orientar, verificar y controlar el
cumplimiento de las medidas técnicas que permitan ejecutar la política, además
de informar sobre el cumplimiento de la misma.

10. Los OSI deberán gestionar la difusión de la presente política y los procedimientos
relacionados con ella, así mismo verificar la concientización al respecto de su
cumplimiento.

11. El área de TIC, a través de su área funcional correspondiente será la responsable

de la implementación de las medidas técnicas que tiendan a imponer a los
usuarios el cumplimiento de la política. Estos controles técnicos no podrán ser
eludidos por los usuarios.

E. POLÍTICAS

1. Sistema de pruebas
a. Las preguntas de las pruebas serán objetivas y de opción múltiple, evitando la
conceptualización.

2-5
 b. El personal que por su función no tenga acceso a un computador, es su
responsabilidad el mantenerse actualizado en los conocimientos de seguridad
de la información y rendir obligatoriamente la evaluación en mención.

c. Se deberá usar una plataforma para pruebas, en la que se bloquee toda

interacción con otras aplicaciones o navegadores para temas de consulta.

d. El acceso al test de ciberseguridad podrá ser ejecutada desde cualquier

dispositivo compatible y autorizado.

e. El sistema deberá contener material interactivo, preciso y objetivo que incluya

pruebas de diagnóstico previo a la toma del test.

f. Se evitará el uso de videos muy largos, tomando en consideración que el test

no debe sobrepasar el tiempo de 15 minutos con un tiempo límite de 30
minutos.

g. El puntaje del examen se reflejará automáticamente al finalizar el test.

F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas que incentiven el cumplimiento debe ser

ejecutada de la forma más pronta dentro de las capacidades técnicas actuales.

2. Deberán levantarse el banco de preguntas, tomando en consideración que estas

sean claras, objetivas y de opción múltiple.

3. Los procedimientos relacionados con la política de concientización deben pasar

los controles del OSI, para ser revisados de acuerdo a la realidad actual y de los
cambios en el ambiente informático.

4. Los OSI deberán establecer la frecuencia y mecanismo de control del

cumplimiento de la política. Se recomienda el uso de listas de chequeo para el
control, así como revistas anunciadas y no anunciadas a las entidades.

5. Se llevarán registros de las pruebas tomadas con el fin de sacar estadísticas de

los usuarios aprobados, reprobados, y rezagados que no hayan podido rendir los
exámenes.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3-5
 3. El operador remitirá al OSI, de manera mensual (los primeros 05 días del mes) el
reporte total de usuarios aprobados, reprobados, rezagados de acuerdo con el
siguiente detalle: grado, nombre, usuario, cedula identidad, reparto, fecha,
situación, de acuerdo con el anexo A (MATRIZ DE REPORTE DE EVALUACIÓN
DE USUARIOS).

4. La DTIC remitirá al OSI el informe correspondiente sobre el personal de

rezagados para ser capacitados por última vez, fin se reprograme la prueba para
poder activar sus credenciales de acceso a los sistemas institucionales.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de
las consecuencias que puedan resultar producto de alguna acción u omisión contraria
a lo descrito aquí, queda sometido a las penalidades establecidas por normativa
vigente, conforme al Reglamento Interno de Administración de Talento Humano, la
LOSEP, Reglamento Interno de Trabajo Ministerio de Defensa Nacional y
Reglamento de disciplina militar que puede resultar en una acción disciplinaria, sin
perjuicio de las responsabilidades civiles o penales que tuvieren lugar en virtud de la
Ley.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

Directiva de Seguridad de la Información.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la conexión remota
para acceso a sistema de comunicaciones navales.

K. VIGENCIA
La presente política entra en vigencia a partir de la presente fecha y de su ejecución
y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de concientización se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

4-5
2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:
JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

5-5
 ANEXO A
MATRIZ REPORTE DE EVALUACION DE USUARIOS
ESTADO(APROBADO, REPROBADO,
GRADO ESPECIALIDAD NOMBRE USUARIO CI REPARTO FECHA DE EXAMEN CALIFICACIÓN
REZAGADO)
TNNV SU
AREVALO BUSTAMANTE GIANCARLO
ABUSTAMANTE 1023456789 BASUIL 2/2/2022 80 APROBADO
CPFG EMORTIZ QUEZADA MARCO AURELIOMORTIZ 1023156489 COGUAR 4/2/2022 ND REZAGADO
SGOP IM GAVILANES MUÑOZ ANDREAAGAVILANEZ 10253246987 CUINMA 3/2/2022 60 REPROBADO
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE TELETRABAJO

MDN-SUF-2022-004

A. INTRODUCCIÓN
El teletrabajo es una forma de organización laboral, que consiste en el desempeño
de actividades remuneradas o prestación de servicios utilizando como soporte las
tecnologías de la información y la comunicación para el contacto entre el trabajador
y la empresa, sin requerirse la presencia física del trabajador en un sitio específico
de trabajo.

B. PROPÓSITO
El propósito de la presente política es estandarizar el teletrabajo, y la implementación
de medidas de seguridad para el control de acceso a la información institucional
mediante el uso de VPN y de las tecnologías de la información.

C. ALCANCE
La presente política emite disposiciones que son de obligatorio cumplimiento de todos
los usuarios militares, servidores públicos o prestadores de servicio, que usan los
sistemas institucionales y/o que manejan información institucional a través del uso de
VPN y las tecnologías de la información.

D. RESPONSABILIDADES

1. La VPN es un servicio estrictamente personal e intransferible, por lo que es

responsabilidad de cada usuario garantizar su buen uso y aplicación.

2. Los usuarios que se conecten a redes públicas para hacer uso de los sistemas
institucionales, deberán realizarlo mediante la conexión segura de la VPN,
tomando en consideración la sensibilidad de la información a la que se va a
acceder y transmitir a través del enlace de comunicación, así como la sensibilidad
del sistema interno.

3. Los usuarios que utilicen equipos informáticos personales, deberán registrar

dichos equipos con la entidad generadora del acceso remoto (DTIC).

4. En caso de pérdida o eliminación del software VPN provisto, o de sospecha de

uso no autorizado del mismo, es obligación del usuario notificar inmediatamente
a la DTIC para su inmediata depuración.

1-6
 5. Todo el personal es responsable del conocimiento cabal de la presente política y
los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de su responsabilidad.

6. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto con
su equipo de trabajo, serán los responsables de orientar, verificar y controlar el
cumplimiento de las medidas técnicas que permitan ejecutar la política, además
de informar sobre el cumplimiento de la misma.

7. Los OSI deberán gestionar la difusión de la presente política y los procedimientos

relacionados con ella, así mismo verificar la concientización al respecto de su
cumplimiento.

8. El área de TIC, a través de su área funcional correspondiente (departamentos,

divisiones, etc.) será la responsable de la implementación de las medidas técnicas
que tiendan a imponer a los usuarios el cumplimiento de la política. Estos
controles técnicos no podrán ser eludidos por los usuarios.

E. POLÍTICAS

1. Solicitud de VPN

a. El acceso remoto a los recursos de la red y a las aplicaciones se lo realizará

únicamente a través de conexiones VPN previamente autorizadas.
b. Está prohibido el uso de VPN de terceros y aplicativos no autorizados por la
DTIC.
c. Los usuarios que requieren acceso remoto a través de VPN para realizar
labores de teletrabajo deberán anexar y cumplir con los siguientes requisitos:
i. Oficio debidamente motivado, justificando las razones por las cuales
necesita VPN, dirigido al señor Director/Comandante de la DTIC y firmado
por la máxima autoridad y del solicitante.

ii. Llenar la SOLICITUD VPN en computadora o manuscrito con letra legible,

el mismo que se encuentra adjunto a este documento el Anexo A
(SOLICITUD VPN TELETRABAJO).

iii. Indicar que Sistema Operativo tiene su computador.

iv. Copia de cédula y credencial, legibles (Actualizadas)

2. Empleo de la VPN

2-6
 El empleo de la VPN será considerado de acuerdo con las situaciones que se
detallan a continuación:

a. Personal que desempeña cargos en Agregadurías Militares, Misiones

Técnicas, Representaciones Diplomáticas en el exterior.

b. A los usuarios de repartos que no se encuentren integrados a la red de datos

institucional. La utilización de la VPN será de manera temporal, hasta que
DTIC brinde solución para que dicha entidad se integre a la red de datos
institucional en el menor tiempo posible.

c. Al personal técnico que se encuentre desarrollando aplicaciones o

actualizando sistemas institucionales, los cuales adicional a los requisitos
descritos en el literal E. Políticas, numeral 1. “Solicitud de VPN”, deberá
cumplir con el respectivo acuerdo de confidencialidad, de acuerdo con el
anexo B (ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN
TELETRABAJO)

d. Para el personal de señores oficiales, voluntarios, tripulantes, aerotécnicos y

servidores públicos que, por la criticidad de sus funciones, cargo o puesto
desempeñen sus funciones en áreas fuera de sus repartos y que requieran de
los servicios de T.I. y que cumplan los requisitos descritos en el literal E.
Políticas, numeral 1. “Solicitud de VPN”,

e. Por grave conmoción interna, desastres causados por el hombre o la

naturaleza, pandemias, o cualquier otra situación que imposibilite laborar
físicamente en las instalaciones o repartos de la institución y amerite la
necesidad de laborar en modo teletrabajo.

3. Desactivación de VPN

a. Cuando se detecte o se reporte que el usuario ha hecho mal uso de la VPN a

él asignada, la DTIC procederá a revocar los permisos y tomará las medidas
pertinentes y correctivas que sean necesarias de acuerdo con el Reglamento
de Disciplina Militar.

b. Por baja del militar o servidor público.

c. Por culminación de funciones o cargos en Agregadurías Militares, Misiones

Técnicas, Representaciones Diplomáticas en el exterior, cambios
administrativos y/o pases.

d. Por depuración del sistema, lo cual se notificará a los usuarios con antelación
mediante el sistema de gestión documental.

e. Por fallecimiento del militar o servidor público.

4. Dispositivos Móviles
3-6
 1. Los equipos móviles pertenecientes a la institución son responsabilidad del
usuario al cual fueron entregados.

2. La pérdida de los dispositivos móviles es responsabilidad del usuario quien

deberá reponer el equipo en caso de que esto suceda.

3. Los equipos móviles (celular, tablet, modem) no deben dejarse a la vista en el

interior de un vehículo. En casos de viaje siempre se deberán llevar como
equipaje de mano. En caso de pérdida o robo de un equipo móvil se deberá
informar al jefe inmediato y a la DTIC y el responsable del equipo deberá poner
la denuncia ante la autoridad competente. Los equipos móviles deberán
cumplir con los siguientes controles:

a. Estar asegurados (cuando los equipos están desatendidos o fuera de

las instalaciones) con un sistema provisto por la entidad.

b. Los puertos de transmisión y recepción de infrarrojo y bluetooth deberán

estar desactivados.

c. Deberán tener instalado antivirus y/o cualquier otra medida de

seguridad adicional que prevenga de ataques o amenazas internas o
externas.

d. No se instalarán aplicaciones ajenas a las provistas por la institución o

de origen no oficial que pudieran afectar el correcto funcionamiento del
dispositivo móvil.

F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas que incentiven el cumplimiento debe ser

ejecutada de la forma más pronta dentro de las capacidades técnicas actuales.

2. Deberán levantarse las necesidades para implementar las medidas técnicas para
imponer el cumplimiento de la política y sus procedimientos derivados y generar
los requerimientos necesarios.

3. Los procedimientos relacionados con la política de Solicitud de VPN deben pasar

los controles del Departamento de Seguridad de la DTIC, para ser revisados de
acuerdo a la realidad específica de cada red o servicio, sin dejar de cumplir la
política.

4. Los OSI deberán establecer la frecuencia y mecanismo de control del

cumplimiento de la política. Se recomienda el uso de listas de chequeo para el

4-6
 control del cumplimiento, así como revistas anunciadas y no anunciadas a las
entidades.

5. Se llevarán registros de las Solicitudes VPN de manera física o digital, así como
el control mediante reportes propios del Servidor VPN en cumplimiento de la
política de teletrabajo en cada una de las direcciones, departamentos, repartos
militares, unidades, institutos o dependencias,

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3. El operador remitirá al departamento de seguridad, de manera semestral (2 veces

al año) el reporte total de usuarios activos de la VPN en el que se detalle: grado,
nombre, usuario, reparto, fecha, de acuerdo con el anexo C (MATRIZ REPORTE
DE USUARIOS VPN).

4. En los primeros 5 días de cada mes el operador remitirá al departamento de

seguridad el reporte mensual de usuarios CREADOS de VPN en el que se detalle:
grado, nombre, usuario, ip asignada, reparto, fecha de creación, fecha de
eliminación (sin en caso existe) y No Oficio de solicitud, de acuerdo con el anexo
D (REPORTE MENSUAL DE USUARIOS CREADOS VPN).

5. El operador remitirá al departamento de seguridad de manera semestral (2 veces

al año) el reporte total de usuarios que les ha sido entregado dispositivo móvil,
tablet o modem, en el que se detalle: grado, nombre, usuario, cedula de identidad,
reparto, IMEI del equipo, fecha, tipo servicios, operadora. de acuerdo con el anexo
E (REPORTE SEMESTRAL DE DISPOSITIVOS MOVILES ENTREGADOS).

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de
las consecuencias que puedan resultar producto de alguna acción u omisión contraria
a lo descrito aquí, queda sometido a las penalidades establecidas por normativa
vigente, conforme al Reglamento Interno de Administración de Talento Humano, la
LOSEP, Reglamento Interno de Trabajo Ministerio de Defensa Nacional y
Reglamento de disciplina militar que puede resultar en una acción disciplinaria, sin
perjuicio de las responsabilidades civiles o penales que tuvieren lugar en virtud de la
Ley.

5-6
I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Directiva de Seguridad de la Información.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la conexión remota
para acceso a sistema de comunicaciones.

K. VIGENCIA
La presente política entra en vigencia a partir de la presente fecha y de su ejecución
y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de teletrabajo se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:
JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

6-6
 ANEXO “A”
Solicitud de Acceso Remoto al Sistema de: Nombre del
Sistema

Datos Personales del Solicitante

Grado y Nombre: Fecha:

Reparto:

Cargo: Email: Teléfono/Mode: Celular:

Justificación del Acceso Remoto

Descripción del uso pretendido

[Por favor describir el uso que hará el solicitante al acceso remoto. Ejemplo: Realizar la evaluación del personal en el Sistema de
DIGPER fuera de oficina. ]

Justificación – Justificar porque se requiere el uso pretendido

[Ejemplo: Realizar las evaluaciones en horario fuera de oficina normalmente desde la casa en las noches, y ocasionalmente
desde fuera de la oficina mientras se cumple comisiones fuera del reparto]

Impacto de no implementar – Explicar el impacto si es que se niega la solicitud.

[Ejemplo: Retraso en los plazos y desperdicio de tiempo que puede ser invertido en esta tarea]

Pregunta

Para el acceso remoto se provee un certificado digital en un archivo. Para autenticar al usuario Si No
se requiere que tenga el certificado instalado y conozca su PIN de acceso, el mismo que es de
uso estrictamente personal e intransferible. ¿Está Usted de acuerdo con estos términos de uso?

Página 1
Pregunta

En caso de pérdida del certificado digital provisto, o de sospecha de uso no autorizado del Si No
mismo, es obligación del usuario notificar inmediatamente a la DIRTIC ([email protected])
para su inmediata revocación. ¿Está Usted de acuerdo con estos términos de uso?

El acceso remoto al Sistema de Comunicaciones Navales permite trabajar por Internet a través Si No
de un túnel encriptado como si estuviese conectado a la Red Local, y por tanto es muy sensible.
La DIRTIC a través de sus operadores puede verse en la obligación de suspender el servicio
totalmente o revocar un certificado de acceso en particular y revocarlo. ¿Está Usted de acuerdo
con estos términos de uso?

La Fuerza Naval ha regulado en términos generales las políticas de seguridad de la información Si No

a través de la DGP No. COGMAR-INF-001-2018; 16-MAR-2018. Es obligación de todos los
usuarios conocer y cumplir las medidas vigentes y reguladas por esta directiva. ¿Está Usted de
acuerdo con estos términos de uso?

ATENCIÓN

La VPN es un servicio estrictamente personal e intransferible, por lo que es responsabilidad de cada usuario
garantizar su buen uso y aplicación. En caso que se detecte el incumplimiento de esta disposición, la DIRTIC
procederá a revocar los permisos y tomará las medidas pertinentes y correctivas que sean necesarias de acuerdo al
reglamento de Disciplina Militar.

Aprobación del Comandante del Reparto para la solicitud de Acceso Remoto

SOLICITADO POR: SOLICITUD AUTORIZADA POR:

Solicitante Comandante del Reparto

Registro de la Solicitud de Acceso Remoto

Fecha final de Nombre Cargo Recomendación

aprobación

Instrucciones Especiales – Proveer cualquier información adicional relacionada con la recomendación final.

Página 2
 ANEXO “B”

ACUERDO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN DE

INFORMACIÓN PARA PERSONAL DE LA ARMADA DEL ECUADOR

Ciudad, Fecha

Intervienen en la celebración del presente “ACUERDO DE CONFIDENCIALIDAD

Y NO DIVULGACIÓN DE LA INFORMACIÓN”, por una parte, el señor CPFG-
EMT Perico De los Palotes con cédula de ciudadanía Nro. 1712457823, en mi
calidad de DIRECTOR DE TECNOLOGÍAS DE LA INFORMACIÓN Y
COMUNICACIONES en adelante y para efectos del presente instrumento en
representación de la Armada del Ecuador en calidad de PROVEEDOR DE
INFORMACIÓN; y por otro lado el señor Ing. Federico Fulano de Tal con cédula
de ciudadanía Nro. 0932659814 en mi calidad de Director de Desarrollo
perteneciente a SILICON VALLEY., en adelante y para efectos del presente
instrumento en calidad de RECEPTOR DE LA INFORMACIÓN, quienes libre y
voluntariamente celebran el presente acuerdo.
Ambas partes reconocen recíprocamente su capacidad para obligarse, por lo
que suscriben el presente Acuerdo de Confidencialidad y de No Divulgación de
Información con base a las siguientes cláusulas.

PRIMERA.- ANTECEDENTES:

1.1. Que la Ley Orgánica de Servicio Público, en el Título III.- Del Régimen
Interno de Administración del Talento Humano.- Capítulo 1.- De los
deberes, derechos y prohibiciones, artículo 22.- Deberes de las o los
servidores públicos, cita “Custodiar y cuidar la documentación e
información que, por razón de su empleo, cargo o comisión tenga bajo su
responsabilidad e impedir o evitar su uso indebido, sustracción,
ocultamiento o inutilización”.
1.2. El literal b) del artículo 17 de la Ley Orgánica de Transparencia y Acceso
a la Información Pública determina que no procede el derecho a acceder
a la información pública, con respecto de las informaciones
expresamente establecidas como reservadas en leyes vigentes.
1.3. El inciso tercero del artículo 6 de la Ley del Sistema Nacional de Registro
de Datos Públicos determina que son confidenciales los datos cuya
reserva haya sido declarada por la autoridad competente.
1.4. Que el Código de Ética del Ministerio del Trabajo, dado en Quito, Distrito
Metropolitano, a 30 de junio 2014, dentro del Capítulo IV. Guía de
Responsabilidades y Compromisos, artículo 6.- Responsabilidades y
Compromisos, reza: “11. Respetar y resguardar la confidencialidad y

Página 1 de 6
 reserva de la información, así como el manejo de claves informáticas y
firmas electrónicas que son personales e intransferibles, de acuerdo a la
normativa vigente”.
1.5. Que mediante Acuerdo Ministerial No. 25, publicado en el Registro Oficial
el viernes 10 de enero de 2020, el Ministro de Telecomunicaciones y de
la Sociedad de la Información dispone a las Instituciones de la
Administración Pública Central, Institucional y que dependen de la
Función Ejecutiva, implementar obligatoriamente el Esquema
Gubernamental de Seguridad de la Información - EGSI.
1.6. Que el Anexo del Acuerdo No. 25, publicado en el Registro Oficial el
viernes 10 de enero de 2020, que contiene el Esquema Gubernamental
de Seguridad de la Información Versión 2.0, en el numeral 9.2.4 Acuerdos
de Confidencialidad o no Revelación, literal 9, determina la elaboración y
aprobación de acuerdos de confidencialidad y de no-divulgación de
información conforme la Constitución, las leyes, las necesidades de
protección de información de la institución y el EGSI.
1.7. La Armada del Ecuador, aprueba la Directiva General Permanente de
Seguridad de la Información D.G.P. COGMAR-INF-001-2018-O; 16-
MAR-2018.

SEGUNDA.- OBJETO:
2.1. El objeto del presente acuerdo es fijar los términos y condiciones bajo los
cuales el RECEPTOR DE LA INFORMACIÓN se obliga expresamente a
guardar sigilo, confidencialidad y reserva sobre el contenido de toda la
información generada, verbal o escrita, que se comparta entre las partes,
incluyendo la información de terceros y la que se genere de los procesos
que se gestionen en la Armada del Ecuador.

2.2. El RECEPTOR DE LA INFORMACIÓN se compromete a hacer uso de la

información, únicamente para las actividades relacionadas con las
funciones que desempeña, conforme a las obligaciones y prohibiciones
legales pertinentes.

TERCERA.- DERECHOS Y OBLIGACIONES:

3.1. El RECEPTOR DE LA INFORMACIÓN ha sido informado y acepta que
los recursos tecnológicos en su totalidad y el Sistema de Comunicaciones
Navales son de propiedad exclusiva de la Armada del Ecuador y que el
uso de dichos recursos está autorizado únicamente en el ámbito de los
servicios por los cuales ha sido contratado. En este sentido el
RECEPTOR DE LA INFORMACIÓN se compromete a guardar el deber

Página 2 de 6
 de secreto y mantener la confidencialidad de la información cedida,
trasladando este deber a todas aquellas personas (personal militar
subordinado, servidores públicos, personal subcontratado, etc.) o
entidades que dispongan de acceso a esta información en el desarrollo
de sus funciones y obligaciones, en relación a los servicios prestados al
PROVEEDOR DE INFORMACIÓN.
3.2. El RECEPTOR DE LA INFORMACIÓN ha sido informado y acepta que
el uso indebido o ilegal de la información acarrearía consecuencias no
favorables en contra de los intereses institucionales, por tanto, a partir de
la firma de este acuerdo el RECEPTOR DE LA INFORMACIÓN que haga
mal uso de la misma o de los medios que la contienen, se someterá a las
sanciones administrativas, civiles y penales contempladas en la
normativa legal vigente establecida para el efecto. Se considera
información de propiedad institucional y de difusión prohibida, toda clase
de documentos, archivos e información que se encuentren en soportes
físicos o electrónicos, así como bases de datos, registros, diagramas,
flujogramas, dibujos, fotografías, disposiciones internas, memorandos,
código fuente y programas para computadora desarrollados al interior del
PROVEEDOR DE INFORMACIÓN, así como los adquiridos, creaciones
multimedia, logotipos, ideas, proyectos y, en general, toda clase de datos
que se generen en la Institución como parte de sus labores.
3.3. El RECEPTOR DE LA INFORMACIÓN se compromete a aplicar tanto las
medidas de seguridad exigibles por la legislación vigente, como las
medidas de seguridad que aplicaría el PROVEEDOR DE INFORMACIÓN
respecto a su propia información confidencial para garantizar la
confidencialidad de la misma.
3.4. El RECEPTOR DE LA INFORMACIÓN tendrá como deber garantizar que
todo funcionario público de cualquier entidad pública y/o empleado de
empresa privada que haga uso y tenga acceso a la información
proporcionada por el PROVEEDOR DE INFORMACIÓN, suscriba el
presente instrumento.
3.5. EL RECEPTOR DE LA INFORMACIÓN deberá mantener en forma
estrictamente reservada y confidencial toda la información que por razón
de su competencia tendrá acceso, por lo tanto, se obliga a abstenerse de
usar, disponer, divulgar y/o publicar por cualquier medio, oral, escrito, y/o
tecnológico y en general, aprovecharse de ella en cualquier otra forma
para efectos ajenos a los intereses de la Institución a la cual pertenece.
3.6. EL RECEPTOR DE LA INFORMACIÓN conoce la prohibición expresa de
instalar software no autorizado en las computadoras, y particularmente
cualquier software que pretenda evadir los controles de seguridad de la
información de la Institución.

Página 3 de 6
 DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

3.7. EL RECEPTOR DE LA INFORMACIÓN no deberá realizar copia o

duplicado alguno de la información mencionada en este acuerdo sin la
autorización previa y escrita del PROVEEDOR DE INFORMACIÓN;
tampoco podrán divulgar dicha información a terceras personas sin que
medie igualmente la respectiva autorización previa y escrita de la otra
parte. Se excluye de esta obligación la información que sea de dominio
público o que sea del conocimiento previo del PROVEEDOR DE
INFORMACIÓN, sin constituir discreción de la información en los
términos del presente acuerdo y, cuya revelación no cause agravio o
perjuicio alguno a su titular.

CUARTA.- CONFIDENCIALIDAD:
4.1. El RECEPTOR DE LA INFORMACIÓN deberá tratar de manera
estrictamente confidencial la información que no haya sido difundida a
través de los medios oficiales de la Armada del Ecuador y no podrá
transferirla, difundirla, publicitarla o cederla por ningún medio físico o
electrónico, conforme a lo especificado en la Directiva General
Permanente de Seguridad de la Información D.G.P COGMAR-INF-001-
2018-O.
4.2. El RECEPTOR DE LA INFORMACIÓN entiende y acepta que la
información institucional al momento de ser comunicada o transferida a
él; ya sea de manera electrónica, por correo electrónico, o por cualquier
otro medio de comunicación de propiedad del PROVEEDOR DE
INFORMACIÓN, es confidencial y no podrá hacer uso de la misma para
su beneficio personal e independiente y de terceros, excepto aquella que
se publica en el portal web de la Institución o aquella declarada
expresamente como de publicación o distribución no restringida.
4.3. En el caso de terminación de contrato por cualquier motivo, El
RECEPTOR DE LA INFORMACIÓN se obliga a devolver toda la
documentación, expedientes, y registros que posea bajo su custodia en
cualquier tipo de medio, ya sean estos físicos, electrónicos o en cualquier
formato de almacenamiento.
4.4. El RECEPTOR DE LA INFORMACIÓN se compromete a utilizar tanto la
información documental como la digital y los recursos tecnológicos del
PROVEEDOR DE INFORMACIÓN, con ética, reserva, profesionalismo
conforme la normativa legal vigente.

Página 4 de 6
QUINTA.- RECURSOS DE LA INSTITUCIÓN:
5.1. Todos los materiales como, documentos, actas de reunión, fichas de
consumo, entre otras que son entregadas al RECEPTOR DE LA
INFORMACIÓN por parte del PROVEEDOR DE INFORMACIÓN se
considera como información confidencial y se debe guardar absoluta
reserva de la misma.

SEXTA.- RESPONSABILIDADES Y SANCIONES:

6.1. El RECEPTOR DE LA INFORMACIÓN declara conocer las
responsabilidades y sanciones a las que se someterá por el
incumplimiento de la Directiva General Permanente de Seguridad de la
Información D.G.P COGMAR-INF-001-2018-O, políticas y
procedimientos relacionados y el presente Acuerdo de Confidencialidad,
sin perjuicio de las responsabilidades civiles, administrativas o penales,
de conformidad con la Constitución de la República del Ecuador y demás
normativa vigente.

6.2. Si se produce cualquier revelación, difusión o utilización de la información

facilitada por el PROVEEDOR DE INFORMACIÓN al RECEPTOR DE LA
INFORMACIÓN de modo distinto a lo reflejado en este acuerdo, ya sea
de forma fraudulenta o por mera negligencia, el RECEPTOR DE LA
INFORMACIÓN podrá ser sancionado por la máxima autoridad de la
entidad, de conformidad con lo determinado en la Ley Orgánica del
Servicio Público y su Reglamento.

SÉPTIMA.- VIGENCIA:
7.1. Los compromisos establecidos en el presente acuerdo, tendrán vigencia
mientras el RECEPTOR DE LA INFORMACIÓN esté realizando trabajos
para el PROVEEDOR DE INFORMACIÓN, y guardará la confidencialidad
de la información inclusive después de haber terminado el contrato.

OCTAVA.- NOTIFICACIONES:
8.1. En el evento de que se produzca el incumplimiento de alguna de las
cláusulas estipuladas en el presente acuerdo, la parte afectada, notificará
del incumplimiento a la máxima autoridad del PROVEEDOR DE
INFORMACIÓN, sin perjuicio de las acciones y sanciones previstas en la
normativa vigente.

Página 5 de 6
Una vez comprendido por los comparecientes el contenido y efectos del presente
instrumento expresamente se ratifican en él, para fe y constancia se firma el
presente documento por quienes en él intervinieron, en la ciudad de Guayaquil,
del día miércoles 20 del mes de julio del año 2022, en dos ejemplares del mismo
tenor y validez.

POR EL RECEPTOR DE LA POR EL PROVEEDOR DE

INFORMACIÓN, INFORMACIÓN,

Firma: Firma:

Ing. Federico Fulano de Tal C.I.

C.I. 0923672760 CARGO:

CARGO: Director de Desarrollo

SILICON VALLEY

Página 6 de 6
 ANEXO C
MATRIZ REPORTE DE USUARIOS VPN

FECHA
GRADO NOMBRE USUARIO REPARTO CREACION
TNNV-SU EZEQUIEL DANIEL VELASTEGUI CARRION EVELASTEGUI INOCAR 6-ene-19
SGOP-ET CARBO MANJARRES CARLOS ALBERTO CCARBO FRAPAL 15-jul-21
SERPUB MARIA EUGENIA ESPINOZA DE LOS MONTEROS MESPINOZA CAPSAL 14-ago-22
 ANEXO D
REPORTE MENSUAL DE USUARIOS CREADOS VPN

FECHA
IP FECHA ELIMINACIO No. OFICIO SOLICITUD
GRADO NOMBRE USUARIO ASIGNADA REPARTO CREACION N
TNNV-SU EZEQUIEL DANIEL
EVELASTEGUI
VELASTEGUI
186.9.23.45
CARRION INOCAR 6-ene-19 15-sep-22 ARE-INOCAR-PLD-0176-O
SGOP-ET CARBO MANJARRES
CCARBOCARLOS 186.9.23.65
ALBERTO FRAPAL 15-jul-21 ARE-FRAPAL-CDO-0016-O
SERPUB MARIA EUGENIA
MESPINOZA
ESPINOZA DE
186.9.23.22
LOS MONTEROS
CAPSAL 14-ago-22 ARE-CAPSAL-MAR-0215-O
 ANEXO E
REPORTE SEMESTRAL DE DISPOSITIVOS MOVILES ENTREGADOS

TIPO DE
DISPOSITIVO FECHA TIPO SERVICIOS
(MOVIL, ENTREGA OPERADORA
CEDULA TABLET, IMEI DEL (MOVISTAR, CLARO,
GRADO NOMBRE USUARIO IDENTIDAD REPARTO MODEM) EQUIPO CNT)
TNNV-SU EZEQUIEL DANIEL VELASTEGUI CARRION EVELASTEGUI 1236547893 INOCAR MOVIL 154265833 6-ene-19 MOVISTAR
SGOP-ET CARBO MANJARRES CARLOS ALBERTO CCARBO 3214569874 FRAPAL TABLET 258963215 15-jul-21 CLARO
SERPUB MARIA EUGENIA ESPINOZA DE LOS MONTEROS MESPINOZA 9856325741 CAPSAL MODEM 369852147 14-ago-22 CNT
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA
POLÍTICA DE CONTRASEÑAS

MDN-SUF-2022-005

A. INTRODUCCIÓN
Las contraseñas son claves secretas que permiten acceso a algo que normalmente
estaría restringido. Las contraseñas personales se utilizan tanto para restringir
accesos como para verificar que un usuario determinado pueda acceder a una cuenta
de un sistema, aplicativo o información con los privilegios establecidos para ese
usuario.

La protección de las contraseñas resulta importante pues la mala selección, mala

administración o falta de responsabilidad de los usuarios con respecto a sus
contraseñas, así como fallas de orden técnico que permitan que las contraseñas sean
vulnerables podrán tener como resultados accesos no autorizados, mal uso de
sistemas y vulneración de la confidencialidad e integridad de la información.

B. PROPÓSITO
El propósito de la presente política es estandarizar la generación, uso y
administración de contraseñas para los sistemas relacionados con TIC en el sector
defensa, así como orientar las medidas destinadas a la protección de contraseñas.

C. ALCANCE
La presente política emite disposiciones que son de obligatorio cumplimiento de todos
los usuarios de sistemas computacionales, activos de información y cuentas
asignadas o proporcionadas como servicios en el sector defensa que requieran el
uso de contraseñas y al personal técnico y de administración de mencionados
sistemas en cualquier dependencia en el sector defensa y de forma permanente
hasta que se produjeren cambios o derogatoria de la política.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos, repartos militares,

unidades, institutos o dependencias serán responsables de la supervisión del
cumplimiento de la presente política.

2. Los usuarios son los únicos responsables sobre sus contraseñas, sin poder
delegar dicha responsabilidad, además no podrán, por ningún motivo compartir
las contraseñas. Los usuarios son responsables de reportar cuando consideren
que alguna credencial podría haber sido comprometida.
1-7
 3. Todo el personal es responsable del conocimiento cabal de la presente política y
los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto con
su equipo de trabajo, serán los responsables de orientar, verificar y controlar el
cumplimiento de las medidas técnicas que permitan ejecutar la política, además
de informar sobre el cumplimiento de la misma.

5. Los OSI deberán gestionar la difusión de la presente política y los procedimientos

relacionados con ella así mismo verificar la concientización al respecto de su
cumplimiento.

6. El área de TIC, a través de su área funcional será la responsable de la

implementación de las medidas técnicas que tiendan a imponer a los usuarios el
cumplimiento de la política. Estos controles técnicos no podrán ser eludidos por
los usuarios.

E. POLÍTICAS

1. Creación de contraseñas

a. La creación de contraseñas para usuarios y administradores deberán regirse

al procedimiento guía para generación de contraseñas seguras; elaborado por
cada una de las instituciones del sector defensa.

b. Los usuarios deberán tener una contraseña para cada cuenta institucional que
posean, salvo que la contraseña sea única a través de un sistema de
administración central de contraseñas implementado por la unidad de TIC
correspondiente.

c. Los usuarios no podrán usar las mismas contraseñas de sus cuentas

particulares en cuentas institucionales.

d. Para administradores de sistemas, las contraseñas de acceso a sistemas con

grandes privilegios (Super Administrador) deberán ser únicas y no repetidas
en ningún otro sistema o control de acceso.

e. En lo posible se usará doble factor de autenticación para los administradores

con mayores privilegios.

2. Cambio de contraseñas

2-7
 a. Todas las contraseñas por defecto de cualquier sistema, dispositivo, aplicativo
o acceso a información deberán ser cambiadas por contraseñas nuevas de
acuerdo al procedimiento.

b. Cuando se genere una cuenta por primera vez o por pérdida de la contraseña
el sistema o administrador del sistema generará una contraseña para el
usuario y el usuario deberá cambiar la contraseña de inmediato.

c. Las contraseñas de acceso a sistemas y dispositivos deberán ser cambiadas

con una frecuencia de al menos 180 días para los usuarios y de 90 días para
los administradores.

d. Cuando un usuario sospeche de intentos de hacer uso de sus credenciales

para ingresar a un sistema o piense que su contraseña tiene alto riesgo de ser
conocida por un tercero, deberá realizar un cambio de contraseña en el o los
sistemas.

3. Protección de contraseñas

a. Para proteger las contraseñas, éstas no podrán estar escritas en ningún

documento impreso o digital sin protección.

b. No se podrán compartir contraseñas de usuario con otros usuarios.

c. En el caso de requerirse más de un administrador de un sistema, cada

administrador deberá ingresar con su propio nombre de usuario y contraseña,
es decir, no podrán compartir contraseñas.

d. Las contraseñas no podrán ser enviadas en correos electrónicos o

documentos, ni reveladas a nadie. Ninguna persona o autoridad tiene la
atribución de requerir contraseñas.

e. Se debe deshabilitar la funcionalidad de recordar contraseñas en cualquier

sistema, navegador, etc.

f. Se pueden almacenar contraseñas en los administradores de contraseñas

autorizados por la institución a través de la DTIC.

g. Cuando por alguna circunstancia se deba relevar la administración de un

sistema o dispositivo que solo admita un administrador y no se pueda dar de
alta al nuevo administrador y luego dar de baja al antiguo, será necesaria la
entrega de la contraseña de administración siguiendo el procedimiento para
entrega de contraseñas de administración.

3-7
 h. Cualquier usuario que sospeche que alguna de sus contraseñas haya sido
comprometida deberá reportarlo al oficial de seguridad de la información de la
unidad, instituto o dependencia a la que pertenezca.

4. Recuperación de contraseñas y autenticación

a. Cuando se haya olvidado una contraseña deberán seguirse los pasos

descritos en el procedimiento de recuperación de contraseñas de cada
institución dentro del sector defensa.

b. Para recuperar una contraseña en lo posible se deberá propender a que el

proceso sea automático en el sistema y que cuente con una metodología de
autenticación del usuario previo a la creación de una contraseña temporal.

c. Una vez recuperada una contraseña o generada una temporal, ésta deberá
ser cambiada de inmediato.

d. Para reseteo de contraseñas de administración se deberá tener una

motivación documentada y legalizada (requerimiento vía oficio, memorando,
etc.)

5. Desarrollo de aplicaciones

a. Se debe propender a que la mayoría de sistemas de usuario final puedan

autenticarse con un sistema centralizado de acceso (ej. CAS).

b. Se deberá propender a usar doble factor de autenticación, o al menos doble

método.

c. Se deberá automatizar el procedimiento de recuperación o reseteo de

contraseñas.

d. Las aplicaciones deben admitir la autenticación de usuarios individuales, no

de grupos.

e. Las aplicaciones no deben almacenar contraseñas en texto claro o en

cualquier forma fácilmente reversible.

f. Las aplicaciones no deben transmitir contraseñas en texto sin cifrar a través

de la red.

g. Las aplicaciones deben proporcionar algún tipo de gestión de roles, de modo

que un usuario pueda asumir las funciones de otro sin tener que conocer la
contraseña del otro.

4-7
 h. Las aplicaciones no admitirán la misma contraseña para un mismo usuario en
dos perfiles distintos con privilegios distintos.

i. Las aplicaciones estarán configuradas para obligar el cumplimiento de las

políticas emitidas para creación, cambio, protección y recuperación de
contraseñas descritas en este documento.

j. Las aplicaciones guardarán el registro (Logs) de la creación, modificaciones y

eliminaciones de credenciales y sus contraseñas, así como de los accesos.

k. Deberán verificarse que los controles técnicos en lo que se refiere a

contraseñas no puedan ser eludidos por los usuarios.

F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas que incentiven el cumplimiento debe ser

ejecutada de la forma más inmediata dentro de las capacidades técnicas actuales.

2. Deberán levantarse las necesidades para implementar las medidas técnicas para
imponer el cumplimiento de la política y sus procedimientos derivados y generar
los requerimientos necesarios.

3. Los procedimientos relacionados con la política de contraseñas podrán ser

revisados de acuerdo a la realidad específica de cada red o servicio, sin dejar de
cumplir la política.

4. Los OSI deberán establecer la frecuencia y mecanismo de control del

cumplimiento de la política. Se recomienda el uso de listas de chequeo para el
control del cumplimiento.

5. Se llevarán registros del cumplimiento de la política de contraseñas en cada una

de las direcciones, departamentos, repartos militares, unidades, institutos o
dependencias.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3. Se verificará el procedimiento para generación de contraseñas a través de la lista

de chequeo del procedimiento.

4. Se verificará el procedimiento de recuperación y cambio de contraseñas.

5-7
 5. Se verificará el procedimiento para entrega de contraseñas de administración a
través de la lista de chequeo del procedimiento.

6. Las instituciones que son parte del sector defensa dispondrán la programación de
sus sistemas para que en el acceso se valide el cumplimiento de las
características mínimas de las contraseñas y en el caso de no poder hacerlo los
OSI con su equipo de trabajo establecerán el método de verificación.

7. Los OSI de cada institución reportarán semestralmente el cumplimiento de la

política a través de un informe de cumplimiento con respaldos de verificación en
todos los niveles.

H. PENALIDADES

El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de

las consecuencias que puedan resultar producto de alguna acción u omisión contraria
a lo descrito aquí, queda sometido a las penalidades establecidas por normativa
vigente.

I. ESTÁNDARES, POLÍTICAS O PROCEDIMIENTOS RELACIONADOS

1. Procedimiento para generación de contraseñas seguras.

2. Procedimiento para entrega de contraseñas de administración.

3. Procedimiento para recuperación de contraseñas.

J. DEROGATORIA

Esta política deroga a anteriores políticas emitidas con relación a la emisión,

administración y disposiciones técnicas relacionadas con contraseñas y aplicables a
los sistemas, dispositivos y activos de información pertenecientes o al servicio de las
instituciones.

K. VIGENCIA
La presente política entra en vigencia a partir de la expedición de este documento y
de su ejecución y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de contraseñas se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

2. Versiones anteriores

6-7
 FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

7-7
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE RESPALDOS DE INFORMACION (BACKUP)

MDN-SUF-2022-006

A. INTRODUCCIÓN
Las instituciones deben garantizar, en caso de pérdida de la información, la
reconstrucción de la misma al estado en que se encontraba en el momento de
realizarse el último respaldo, así como disponer de un lugar adecuado para el
almacenamiento seguro de los respaldos que sea consistente con las medidas de
protección ambiental.

Además, es necesario políticas donde se defina la frecuencia y las actividades

necesarias para los respaldos, teniendo en cuenta el marco normativo aplicable, así
como la valoración del activo a fin de minimizar la pérdida o destrucción total o parcial
del mismo, su disponibilidad o confidencialidad.

B. PROPÓSITO
Definir los lineamientos para resguardar los respaldos de información, software,
sistemas y bases de datos, asegurando su permanente integridad, confidencialidad
y disponibilidad, de conformidad a las políticas institucionales.

C. ALCANCE
Esta política pretende el resguardo de la información en cuanto a la integridad y la
confidencialidad de la información en los sistemas y aplicativos, incluyendo las bases
de datos, aplicaciones desarrolladas internamente, equipos servidores, máquinas
virtuales y redes. De igual manera, la no inclusión explícita en el presente documento
no constituye argumento para no proteger los activos de información que se
encuentren en la institución.

D. RESPONSABILIDADES

1. Las máximas autoridades de las instituciones, direcciones, departamentos,

unidades o dependencias serán responsables de la supervisión del cumplimiento
de la presente política.

1-7
 2. Los administradores de los sistemas, base de datos, redes e infraestructura
tecnológica, serán los responsables de ejecutar la política de respaldo en base a
sus funciones, así como el monitoreo de todas las actividades que intervengan en
el proceso.

3. Todo el personal técnico es responsable del conocimiento cabal de la presente

política y los procedimientos relacionados con la misma. El desconocimiento de la
política y los procedimientos no los exime de responsabilidades.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto con
su equipo de trabajo, serán los responsables de orientar, verificar y controlar el
cumplimiento de las medidas técnicas que permitan ejecutar la política, además
de informar sobre el cumplimiento de la misma.

5. Los OSI deberán gestionar la difusión de la presente política y los procedimientos

relacionados con ella así mismo verificar la concientización al respecto de su
cumplimiento.

6. El área de TIC será la responsable de la implementación de las medidas técnicas

que tiendan a imponer a los usuarios el cumplimiento de la política. Estos
controles técnicos no podrán ser eludidos por los involucrados.

E. POLÍTICAS

1. Niveles de respaldo de información

● Primer nivel - Diario
Se utiliza la gestión diaria para respaldar la información, actualizaciones y
configuraciones que se almacena en las bases de datos y los registros de
eventos de los sistemas, aplicativos y redes de categoría crítico.
Acción: Al final del día se sacará respaldo incremental de toda la información
ingresada en el transcurso del día.

● Segundo nivel – Semanal

Se utiliza la gestión semanal para respaldar la información, actualizaciones y
configuraciones de los sistemas, aplicativos y redes.
Acción: Al final de la semana se respaldará incrementalmente la información,
las versiones de los sistemas y sus configuraciones.

● Tercer nivel - Mensual

Se utiliza la gestión mensual para respaldar la información, actualizaciones y
configuraciones en forma total de las versiones de los sistemas y aplicativos
2-7
 así como la configuración de las redes.
Acción: Al final del mes se respaldará la información, versiones de los
sistemas y configuraciones de forma completa.

● Cuarto nivel - Semestral

Se utiliza la gestión semestral para respaldar la información, actualizaciones
y configuraciones en forma total de los sistemas, aplicativos y redes.
Acción: Al final del semestre se respaldará la información, sistemas y
configuraciones de forma completa.

● Quinto nivel - Anual

Se utiliza la gestión anual para respaldar la información, actualizaciones y
configuraciones en forma total de los sistemas, aplicativos y redes.
Acción: Al final del año se respaldará la información, sistemas y
configuraciones de forma completa.

● Sexto nivel – Anual externo

Al final del año se transferirá la base datos a un medio externo y ubicación
geográfica externa para cumplir con las leyes que son aplicables al sector
defensa.

2. Organización de Respaldo de Información

● Primer nivel - Diario
Para los respaldos se utilizará infraestructura de respaldo dedicada y
dispositivos de almacenamiento externos como discos externos, DVD, etc.
Se utilizará un script para que ejecute en forma automática los respaldos
diarios, los cuales estarán en un formato de: nombre del archivo, base de
datos, sistema o servicio y la fecha (dd/mm/aaaa).
Ejemplo: sistema01032022
base_datos01032022
aplicación01032022

● Segundo nivel – Semanal

Para los respaldos se utilizará infraestructura de respaldo dedicada para este
fin, así como también dispositivos de almacenamiento externos, para los días
de la semana.

Se utilizará un script para que ejecute en forma automática o manual de los

respaldos semanales, los cuales tendrán un formato de acuerdo al nombre de
archivo, base de datos, sistema o servicio y la fecha correspondiente a esa
3-7
 semana, día de inicio - día fin de la semana (dd/mm/aaaa).
Ejemplo: 1ra semana: sistema 05-090122
2da semana: sistema12-160122
3ra semana: sistema 19-230122
4ta semana: sistema 26-300122

El respaldo se lo realizará por duplicado: la primera copia en la infraestructura

de respaldo y la segunda en un medio de almacenamiento externo.

● Tercer nivel – Mensual

Para los respaldos se utilizará infraestructura de respaldo dedicada para este
fin, así como también dispositivos de almacenamiento externos, los mismos
que estarán etiquetados de acuerdo al mes que corresponde.

Se utilizará un script para que ejecute en forma automática o manual de los

respaldos mensuales, los cuales tendrán un formato de acuerdo al nombre de
archivo, base de datos, sistema o servicio y la fecha correspondiente al
nombre del mes y el año (mes/aaaa).

Ejemplo: Sistema-Enero/2022

El respaldo se lo realizará por duplicado los mismos que se serán guardados

de la siguiente manera: la primera copia en la infraestructura de respaldo y la
segunda en un medio de almacenamiento externo.

● Cuarto nivel – Semestral

Para los respaldos se utilizará infraestructura de respaldo dedicada para este
fin, así como también dispositivos de almacenamiento externos los mismos
que estarán etiquetados de acuerdo al semestre que corresponde.

Se mantendrá el formato de acuerdo al nombre de archivo, base de datos,

sistema o servicio y la fecha correspondiente al nombre del semestre (Mes
inicio Mes fin) y el año (Semestre-aaaa).

Ejemplo: Sistema-EneroJunio-2022

El respaldo se lo realizará por duplicado los mismos que se serán guardados

de la siguiente manera: la primera copia en la infraestructura de respaldo y la
segunda en un medio de almacenamiento externo.

● Quinto nivel – Anual

Para los respaldos se utilizará infraestructura de respaldo dedicada para este

4-7
 fin, así como también medios de almacenamiento externo, los mismos que
estarán etiquetados de acuerdo al año que corresponde.

Se mantendrá el formato de acuerdo al nombre de archivo, base de datos,

sistema o servicio y el año (aaaa).

Ejemplo: Sistema-2022

El respaldo se lo realizará por duplicado los mismos que se serán guardados

de la siguiente manera: la primera copia en la infraestructura externo y
ubicación geográfica externa y la segunda en un medio de almacenamiento
externo, que serán enviados a un lugar externo a la institución.

3. Control de Respaldos de Información

Para mantener el control de los respaldos se registrará una Bitácora de
respaldos la misma que contendrá información sobre los respaldos realizados
de los diferentes los sistemas, aplicativos y redes:

Bitácora:

NOMBRE NOMBRE MEDIO DE

FECHA HORA NIVEL FRECUENCIA OBSERVACION
ARCHIVO RESPONSABLE ALMACENAMIENTO

4. Lineamientos de Respaldo de Información

● Dentro del Sector Defensa cada una de las instituciones tendrá la obligación
de desarrollar y/o actualizar los manuales y/o documentos técnicos para el
respaldo y recuperación de la información, actualizaciones y configuraciones
de los sistemas, aplicativos y redes.

● Los administradores de cada sistema, aplicación o red deberán realizar el

proceso de respaldo de la información, actualizaciones y/o configuraciones
acorde a la presente política.

● Grabar los archivos de respaldo en base al formato establecido y etiquetar

correctamente en los medios externos de acuerdo a los procesos señalados
anteriormente.

● Guardar los respaldos en medios de almacenamiento en un lugar seguro,

libre de agua y de fuego.

5-7
 ● Tener respaldos de información en un lugar con las respectivas seguridades
de ser posible externo a la unidad de origen con las respectivas seguridades.

● Se debe establecer la hora en la cual, de los sistemas, aplicativos y redes se

respalden de acuerdo a los niveles indicados y a las políticas internas de la
unidad.

● Verificar la consistencia de los respaldos y que se puedan restaurar.

● Llevar un registro y control de los respaldos en una bitácora.

F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas y de infraestructura que permitan el

cumplimiento, la que debe ser ejecutada de la forma más pronta dentro de las
capacidades técnicas actuales.

2. Deberán levantarse las necesidades y presupuestos para implementar las

medidas técnicas para imponer el cumplimiento de la política y sus procedimientos
derivados.

3. Los OSI deberán establecer la frecuencia y mecanismo de control del

cumplimiento de la política.

4. Se llevarán registros del cumplimiento de la política en cada una de las

direcciones, departamentos, unidades o dependencias de acuerdo a las bitácoras.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3. Se lo realizará a través de las bitácoras de respaldos.

4. Inventario de dispositivos de respaldo.

5. Reporte de archivos en infraestructura de respaldo externo.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de
las consecuencias que puedan resultar producto de alguna acción u omisión contraria

6-7
 a lo descrito aquí, queda sometido a las penalidades establecidas por normativa
vigente.

I. VIGENCIA
La presente política entra en vigencia a partir de la presente fecha y de su ejecución
y cumplimiento encargase a las autoridades correspondientes.

J. VERSIÓN E HISTORIAL
1. Versión actual
La política de respaldos de información se encuentra en su versión 1.0, expedida
en la fecha constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

7-7
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA
POLÍTICA DE APLICACIONES AUTORIZADAS

MDN-SUF-2022-007

A. INTRODUCCIÓN.
Las normas de protección de la propiedad intelectual obligan a las instituciones a usar
en todo momento software legal. El uso de software pirata o adquirido de forma
fraudulenta podría conllevar sanciones económicas y penales. Además, la instalación
y uso de software ilegal en algún dispositivo incrementa los riesgos de infección por
malware.

Por otra parte, para evitar fugas de información y garantizar la privacidad de los datos
de carácter personal, las organizaciones dentro del sector defensa deben determinar
y controlar qué software está autorizado para el tratamiento de la información dentro
de la institución.

B. PROPÓSITO.
El propósito de esta política es estandarizar las aplicaciones que se usen en los
activos de información de la institución, a fin de controlar y minimizar incidentes de
seguridad producidos por amenazas internas.

C. ALCANCE.
Esta política se aplica a todo el personal civil y militar que pertenecen a las
instituciones del sector defensa.

D. RESPONSABILIDADES

1. Los usuarios son los únicos responsables sobre las aplicaciones instaladas en los
dispositivos de la institución, por lo tanto, deberán aplicar la presente política al uso
e instalación de las aplicaciones en los diferentes dispositivos y equipos de
computación.
2. Las máximas autoridades de cada institución serán responsables de la supervisión
del cumplimiento de la presente política.

1-5
 3. Todo el personal militar y civil del sector defensa será el responsable del
conocimiento cabal de la presente política y los procedimientos relacionados con la
misma.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto con
su equipo de trabajo, serán los responsables de orientar, verificar y controlar el
cumplimiento de las medidas técnicas que permitan ejecutar la política, además de
informar sobre el cumplimiento de la misma.

5. El Oficial de Seguridad de la Información deberá gestionar la difusión de la presente

política y los procedimientos relacionados con ella así mismo verificar la
concientización al respecto de su cumplimiento.

6. Las Direcciones de Tecnologías de la Información y Comunicaciones, serán las

responsables de la implementación de las medidas técnicas que faciliten el
cumplimiento y tiendan a imponer a los usuarios el cumplimiento de la política.

E. RESPONSABILIDADES
1. Las autoridades máximas de las direcciones, departamentos, repartos militares,
unidades, institutos o dependencias serán responsables de la supervisión del
cumplimiento de la presente política.
2. Todo el personal es responsable del conocimiento cabal de la presente política y
los procedimientos relacionados con la misma. El desconocimiento de la política y
los procedimientos no los exime de responsabilidades.
3. Los OSI deberán gestionar la difusión de la presente política y los procedimientos
relacionados con ella así mismo verificar la concientización al respecto de su
cumplimiento.
4. El área de TIC a través de su área funcional correspondiente será la responsable
de la implementación de las medidas técnicas que tiendan a imponer a los usuarios
el cumplimiento de la política. Estos controles técnicos no podrán ser eludidos por
los usuarios.

F. POLÍTICAS
1. En cada institución dependencia u organización del sector defensa se deberá
llevar el control de las aplicaciones autorizadas instaladas en los activos de
información.

2-5
 2. Cada institución del sector defensa deberá realizar un listado de las aplicaciones
autorizadas de acuerdo a la necesidad institucional.
3. En caso de requerir alguna aplicación que no se encuentre en el listado de
aplicaciones autorizadas deberá pedir autorización para su instalación en el
dispositivo requerido, y se actualizará el listado de aplicaciones autorizadas.
4. Para la instalación, actualización y eliminación de aplicaciones, se deberá utilizar
una cuenta de administrador diferente a la del usuario habitual.
5. Se debe mantener un registro actualizado de qué software dispone. En dicho
registro se almacenará al menos la siguiente información:
● Nombre y versión del producto
● Autor
● Fecha de adquisición
● Vigencia de la licencia
● Tipo de licencia
● Número de usuarios permitidos por licencia
● Número de licencias adquiridas por cada software
● Facturas o comprobantes de compra
● Ubicación física del producto

6. El personal técnico de las Direcciones de TIC de cada institución del sector

defensa es el único autorizado para instalar, actualizar y eliminar software.
7. Se debe mantener un repositorio donde se encuentre todo el software autorizado,
así como sus claves de activación, números de serie, licencias, etc. Además, se
debe registrar metódicamente quien accede a dichos repositorios.
8. Cada institución del sector defensa debe reservarse el derecho de auditar o
inspeccionar en cualquier momento los equipos de los usuarios para verificar que
se cumple esta política.
9. Se debe garantizar en todo momento que los programas instalados en cualquier
dispositivo institucional (se incluyen los dispositivos BYOD) estén debidamente
autorizados y que dispongan de las licencias necesarias (antivirus institucional).
10. Para garantizar lo especificado en las licencias de uso no se debe permitir que el
personal militar y civil no autorizado realicen copias del software disponible sin el
debido consentimiento.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

3-5
 2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.
3. A continuación, se incluyen una serie de controles para revisar el cumplimiento de
la política de seguridad en lo relativo a aplicaciones autorizadas.
Los controles podrán tener el siguiente alcance:

● Procesos (PRO): aplica al proceso de la DTIC.

● Tecnología (TEC): aplica al personal técnico especializado.
● Personas (PER): aplica a todo el personal.

ALCANCE CONTROL
Registro de licencias
PRO Mantiener un registro actualizado de las licencias disponibles del ✔ 🗹
software autorizado.
Competencia para la instalación, actualización y borrado
PRO Nombrar y autorizar al personal técnico que se encargará de la
instalación, actualización y eliminación del software de los equipos ✔ ☐
de la empresa.
Sanciones por usos no autorizados
PRO Informar al personal de la empresa de las sanciones derivadas del ✔ ☐
uso no autorizado de software.
Repositorio de software
PRO/TEC Mantener un repositorio donde se encuentra todo el software ✔ ☐
autorizado y sus correspondientes credenciales de instalación.
Auditoria de software instalado
PRO/TEC Analizar que el software instalado en cada uno de los equipos de los✔ ☐
usuarios está autorizado y tiene licencia.
Autorización y licencia del software
PER Utilizar en todos los dispositivos software autorizado y que dispone ✔ ☐
de las correspondientes licencias de uso.
Política de copias de software
PER No realizar copias del software puesto a tu disposición sin el debido✔ ☐
consentimiento.

H. PENALIDADES
El no cumplimiento de la presente política, dependiendo de las consecuencias que
resulte del incumplimiento de la misma, se llevará a cabo las medidas sancionatorias
y legales pertinentes, sobre el personal que incurra en cualquier actividad ilícita
relacionada con el uso e instalación de aplicaciones no permitidas en los dispositivos
de las instituciones del sector defensa.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

4-5
 1. Políticas de Uso de Dispositivos Móviles No Corporativos.
2. Acuerdo de buen uso de activos de información.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con la política de aplicaciones
permitidas en los dispositivos pertenecientes a la Fuerza Aérea.

K. VIGENCIA
La presente política entra en vigencia a partir de la presente fecha y de su ejecución
y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de aplicaciones autorizadas se encuentra en su versión 1.0, expedida
en la fecha constante en el presente documento.

2. Versiones anteriores
FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

5-5
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA
POLÍTICA DE ESCRITORIOS LIMPIOS

MDN-SUF-2022-008

A. INTRODUCCIÓN
La política de escritorios remotos consiste en el establecimiento de un código de
responsabilidad compartida por todos los empleados de una organización en el que
se explican todos los pasos a efectuarse para mantener una seguridad tanto en los
escritorios como en el propio espacio de trabajo.

B. PROPÓSITO
El propósito de la presente política es establecer los procedimientos de Escritorio y
Pantalla Limpia para prevenir el acceso no autorizado, pérdida y/o daño de la
información que se encuentra en los puestos de trabajo, equipos de cómputo, medios
extraíbles, documentos digitalizados, dispositivos impresos entre otros.

C. ALCANCE
Estos procedimientos aplican a todos los funcionarios pertenecientes a las
instituciones u organizaciones del sector de la defensa, teniendo en cuenta la norma
ISO/IEC 27001.

D. RESPONSABILIDADES
Oficial de Seguridad de la Información
Elaboración y actualización del presente procedimiento.
Evaluación del cumplimiento del presente procedimiento.
Establecer mecanismos de control y auditoria.
Dirección de Tecnologías de la Información
Controlar a través de un apropiado monitoreo el cumplimiento de los procedimientos
que garantizan el uso adecuado de los servicios informáticos disponibles en las
instituciones del sector defensa.
Todos los usuarios
Garantizar el cumplimiento de todos los procesos establecidos en esta política.

E. POLÍTICAS

1-4
 Se deben definir perímetros de seguridad orientados a la protección de áreas que
contengan información sensible o crítica, e instalaciones de manejo de información.
Para el efecto se deberá cumplir con las siguientes políticas:
● Al levantarse del puesto de trabajo y al finalizar la jornada laboral, los escritorios
deben permanecer despejados y libres de documentos físicos y/o medios
extraíbles que contengan información clasificada o reservada, éstos deben
guardarse en un lugar seguro y bajo llave. Los documentos y/o medios extraíbles
con información pública también deben guardarse para evitar la pérdida de esta
información.
● Los puestos de trabajo deben permanecer limpios y ordenados.
● Cuando se imprima o digitalice documentos con información clasificada o
reservada, éstos deben retirarse inmediatamente de dichos dispositivos.
● Los dispositivos de impresión y digitalización deben permanecer sin documentos
en las bandejas.
● Los gabinetes, cajones y archivadores que contengan documentos y/o medios
extraíbles con información clasificada o reservada deben quedar asegurados
durante la hora de almuerzo y al finalizar la jornada laboral.
● La pantalla del computador (escritorio) no debe contener ningún tipo de archivo,
salvo los accesos directos a las aplicaciones necesarias y autorizadas para que
los usuarios cumplan sus funciones.
● Los documentos electrónicos que se generan como producto de las funciones
en cada área de trabajo, deben guardarse en una carpeta de almacenamiento
segura y no debe ser compartida.
● Al levantarse del puesto de trabajo, se debe bloquear la sesión de los equipos
de cómputo para proteger el acceso a las aplicaciones y servicios de la entidad.
● La Dirección de Tecnologías de la Información implementará el bloqueo
automático de la sesión de usuario mediante la herramienta que permita aplicar
esta configuración al equipo al transcurrir 5 minutos de inactividad.
● Todos los equipos de cómputo y dispositivos de impresión y digitalización deben
apagarse cuando no estén en uso.

F. GUÍA PARA CUMPLIMIENTO

1. El cumplimiento de la política se efectuará en cada uno de los niveles.

2. En cada dependencia, unidad u organización se realizarán inspecciones no

programadas por parte del Oficial de Seguridad de la Información y las
autoridades o directivos en los diferentes niveles.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2-4
 2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la política.

3. El OSI en cada nivel, junto con su equipo verificará el cumplimiento de esta política
a través de varios métodos, incluidos, entre otros, inspecciones programadas y
no programadas.

4. Con base en una lista de chequeo se controlará el cumplimiento de la política.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel de
las consecuencias que puedan resultar producto de alguna acción u omisión contraria
a lo descrito aquí, queda sometido a las penalidades establecidas por normativa
vigente.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Política de gestión de Contraseñas

2. Política de aplicaciones autorizadas.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con los escritorios de los
computadores y las áreas de trabajo; aplicables a los sistemas, dispositivos y activos
de información pertenecientes a las instituciones del sector de defensa.

K. VIGENCIA
La presente política entra en vigencia a partir de la expedición del presente
documento y de su ejecución y cumplimiento encargase a las autoridades
correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de escritorios limpios se encuentra en su versión 1.0, expedida en la
fecha constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

3-4
 Firmado electrónicamente por:
JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

4-4
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA
POLÍTICA PARA LA GESTIÓN DE ACTIVOS TECNOLÓGICOS

MDN-SUF-2022-009

A. INTRODUCCIÓN
Los activos tecnológicos representan el sistema neurálgico de las
instituciones en las cuales se procesan, almacenan y transportan la
información sensible por lo que debe ser gestionada de una manera
eficiente y técnica.

Las unidades de tecnología de la información gestionan una gran parte del

total de los activos críticos de las instituciones por lo que la gestión de
activos informáticos desempeña un papel fundamental para optimizar estos
recursos, garantizando la confiabilidad, integridad y disponibilidad de la
información; considerando que los activos pueden presentar brechas de
seguridad ante los continuos ataques informáticos que toda institución está
expuesta.

Es por esto la importancia de una buena gestión de los activos tecnológicos,

con una óptima parametrización para que sea la línea base para una
correcta gestión de incidentes en los que están inmersos los equipos y
servicios informáticos.

B. PROPÓSITO
Supervisar, gestionar e informar sobre el estado general de los activos
tecnológicos a través de una adecuada identificación, registro y evaluación
de la criticidad de los mismos, para una correcta y oportuna toma de
decisiones de tal manera de poder precautelar la confidencialidad,
integridad y disponibilidad de la información.

C. ALCANCE
Esta política es aplicable para el personal técnico encargado de la
administración de equipos y sistemas informáticos de las diferentes áreas
de las TIC´s y usuarios que custodian equipos y software especializado de
la institución.

D. RESPONSABILIDADES
1. La máxima autoridad, directores y jefes de los departamentos de
tecnología serán responsables del cumplimiento y supervisión de la
presente política.

1-5
 2. El técnico encargado de la gestión de los activos tecnológicos de cada
una de las instituciones del sector de la defensa, es el responsable del
control de los inventarios de los activos.

3. Los administradores técnicos de los diferentes equipos y sistemas

informáticos tienen la responsabilidad de actualizar los activos con el
responsable de los activos informáticos de la institución.

4. Los usuarios que tienen a cargo equipos tecnológicos o sistemas

informáticos especializados, serán los responsables de su custodia y
administración.

5. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles,

serán los responsables del cumplimiento, control y supervisión de la
política, además de informar sobre el cumplimiento.

E. POLÍTICAS

1. Cumplimiento de la Implementación de la Gestión de los Activos

Tecnológicos.
a. Cada unidad de tecnologías de la información de las instituciones
deberá nombrar un encargado de la gestión de los activos
tecnológicos.
b. El técnico encargado de la gestión de activos tecnológicos será el
responsable de llevar la supervisión y gestión del equipamiento o
sistema informático de la institución más no es directamente el
encargado de su uso o custodia.
c. El encargado de la gestión de los activos tecnológicos será el
encargado de levantar la información coordinando con el encargado
de activos fijos, administradores y usuarios.
d. El encargado de la gestión de los activos tecnológicos de la
institución deberá verificar y actualizar la información de activos cada
seis meses o cuando exista cambios de equipamiento o custodio
(Matriz Activos - adjunta).
e. En base a la información de activos informáticos se deberá incluir los
diagramas físicos y lógicos de la red de datos (Matriz Activos -
adjunta).
f. Cada administrador técnico o usuario será el responsable de la
custodia y buen uso del equipo o sistema informático asignado según
lo estipula el Acuerdo de buen uso y tendrá la responsabilidad de
actualizar la información ante el encargado de la gestión de activos
informáticos.

2-5
 g. El responsable de la custodia de un sistema informático, será el
responsable de mantener la memoria técnica del mismo.

2. Contenido de la matriz de activos y carpeta técnica.

a. La clasificación de los activos informáticos se lo realizará en:

• activos físicos (equipamiento).
• activos lógicos (software).

b. Los campos que deben constar en la matriz son los siguientes:

• Nombre de activo
• Serie / Mac
• Descripción del activo
• Características.
• Tipo de activo.
• Tipo de ubicación.
• Nivel de acceso
• Estado del activo / Fecha
• Custodio del activo
• Valoración (criticidad).

c. El diagrama físico de la red muestra la disposición física real de los

componentes que forman la red, incluidos cableado y hardware. Por
lo general, el diagrama ofrece una vista panorámica de la red en su
espacio físico, como un plano de planta.

d. El diagrama lógico de la red describe la forma en que la información

fluye a través de una red. Así, los diagramas de red lógicos, por lo
general, muestran subredes (incluidas direcciones, máscaras e ID de
VLAN), dispositivos de red, como enrutadores y cortafuegos, y
protocolos de enrutamiento.

e. La memoria técnica del sistema deberá contar con:

• Diagrama de base de datos
• Arquitectura del sistema
• Componentes de desarrollo
• Bitácora de cambios o actualizaciones
• Bitácora de desarrollo
• Proceso que fue automatizado debidamente legalizado y
estandarizado
• Diagrama físico de la red.
• Diagrama lógico de la red.

3-5
F. GUÍA PARA CUMPLIMIENTO

1. Se deberá hacer un levantamiento de información de forma física del

equipamiento tecnológico de la institución.

2. Se deberá realizar un levantamiento de los sistemas informáticos con

que cuente la unidad de tecnologías de la información, así como del
software especializado.

3. Se debe enlistar los activos tecnológicos bajo el parámetro presentado

en la matriz de activos y diagramar la red física y lógica.

4. Se deberá informar a los diferentes administradores técnicos

encargados de los activos de la información para que entreguen toda la
información requerida para el levantamiento de la información, así como
cuando exista algún cambio del mismo.

5. La información de los activos tecnológicos será levantada de acuerdo

con la realidad específica de cada red o servicio, sin dejar de cumplir la
política.

6. Los administradores y usuarios custodios de activos tecnológicos y

software especializado deberán tener la memoria técnica
correspondiente.

7. Los Oficiales de Seguridad de la Información (OSI) deberán establecer

la frecuencia y mecanismo de control del cumplimiento de la política.

8. Se llevarán registros del cumplimiento de la política para la gestión de

activos tecnológicos.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de

la política.

3. Se remitirá un informe anual al escalón superior y al Oficial de Seguridad

de la Información (OSI) de las novedades presentadas en los activos
tecnológicos de la institución.

4. El técnico encargado de la gestión de activos reportará oportunamente a

su escalón superior y al Oficial de Seguridad de la Información (OSI)
cuando algún equipo o servicio presente alguna observación.

4-5
 5. El Oficial de Seguridad de la Información (OSI), realizará inspecciones
oportunas para verificar el cumplimiento de la presente política.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del
nivel de las consecuencias que puedan resultar producto de alguna acción u
omisión contraria a lo descrito aquí, queda sometido a las penalidades
establecidas por normativa vigente, conforme al Reglamento Interno de
Administración de Talento Humano, la LOSEP, Reglamento Interno de
Trabajo del Ministerio de Defensa Nacional y Reglamento de Disciplina
Militar que puede resultar en una acción disciplinaria, sin perjuicio de las
responsabilidades civiles o penales que tuvieren lugar en virtud de la Ley.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

• Políticas de Seguridad de la Información.
• Política de usuario y acuerdo del buen uso.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con la gestión y
administración de activos tecnológicos.
K. VIGENCIA
La presente política entra en vigencia a partir de la expedición del presente
documento y de su ejecución y cumplimiento encargase a las autoridades
correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de gestión de activos tecnológicos se encuentra en su versión
1.0, expedida en la fecha constante en el presente documento.

2. Versiones anteriores
FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:
JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

5-5
 bases de datos, archivos, documentación del sistema, manuales, material de capacitación, procedimientos de contingencia,
Información
etc
Software aplicaciones, desarrollos, utilitarios, herramientas de desarrollo, etc
Físico equipos de comunicaciones, equipo de cómputo, gabinetes, ups, dispositivos, etc
Tipo de activos
Intangibles reputación, imagen
Personas capital humano, habilidades, experiencia
Servicios servicios de comunicaciones, servicios necesarios para la ejecución del negocio

Es información que se puede hacer pública, sin que implique consecuencias negativas para la empresa, como es la
Administrador Técnico
información que es de conocimiento público.
Administrador Funcional Esto incluye información como, registros médicos, salarios, entre otros.
Nivel de acceso
Usuarios Como contratos, códigos fuente, contraseñas para sistemas críticos de TI, contratos de clientes, cuentas, etc.
Esto incluye información de identificación como nombre, dirección, claves de acceso al sistema de clientes, planes de
Acceso a Terceros
negocio, información de nuevos productos, información sensible del mercado, etc.

Física
Tipo de ubicación Lógica
Física-Lógica

Muy Alto El activo es esencial para el proceso del negocio. Si se detiene el riesgo de imagen reputacional y seguridad se ven afectados.
El activo se requiere para el proceso del negocio. Puede no estar disponible el activo o el proceso, pero solo por un corto
Alto tiempo. Puede generar pérdida reputacional.
Criticidad El activo es importante para el proceso del negocio. Su falta no interrumpe proceso, así como tampoco la continuidad de
Medio negocio. El riesgo es operacional.
El activo tiene poca importancia en el proceso. La disponibilidad no es crítica, podría estar ausente y no afecta a la calidad y
Bajo continuidad del proceso.
Muy Bajo El activo tiene importancia muy baja en el proceso. No necesita cuidados especiales y protección.

End of LIFE (EoL) Fin de vida útil.

End of Sale (EoS) último día de disponibilidad del producto para su venta.
Estado
End of Support (EoST) La última fecha para recibir soporte técnico
Sin Novedad Con Soporte técnico y garantías
 VALOR DEL ACTIVO CONFIDENCIALIDAD

5 (Muy Alto) La información asociada al activo es solo accedida por el personal de alto rango, pues su divulgación afectaría irreversiblemente a la organización.

La información asociada al activo es restringida y solo personal de un proyecto específico puede acceder a ella, pues su divulgación afectaría gravemente a
4 (Alto)
la organización.
La información asociada al activo es confidencial y solo personal de algunas áreas internas pueden acceder a ella, pues su divulgación afectaría
3 (Medio)
considerablemente a la organización.

La información asociada al activo es de uso interno y solo personal de ABC puede acceder a ella, pues su divulgación afectaría parcialmente a la
2 (Bajo)
organización.

1 (Muy Bajo) La información asociada al activo es pública y cualquiera puede acceder a ella, pues no impacta a la organización.

VALOR DEL ACTIVO INTEGRIDAD

El activo puede tolerar un máximo de pérdida o alteración de sus componentes en un 0%, pues la vulneración de su integridad afectaría irreversiblemente a
5 (Muy Alto)
la organización.
El activo puede tolerar un máximo de pérdida o alteración de sus componentes en un 15%, pues la vulneración de su integridad afectaría gravemente a la
4 (Alto)
organización.
El activo puede tolerar un máximo de pérdida o alteración de sus componentes en un 50%, pues la vulneración de su integridad afectaría considerablemente
3 (Medio)
a la organización.
El activo puede tolerar un máximo de pérdida o alteración de sus componentes en un 85%, pues la vulneración de su integridad afectaría parcialmente a la
2 (Bajo)
organización.
1 (Muy Bajo) El activo puede tolerar un máximo de pérdida o alteración de sus componentes en un 100%, pues la vulneración de su integridad no impacta a la organización.

VALOR DEL ACTIVO DISPONIBILIDAD

5 (Muy Alto) Se requiere que el activo nunca se encuentre indisponible, pues su carencia afectaría irreversiblemente a la organización.
4 (Alto) Se considera que como máximo el activo puede estar indisponible por una hora, pues su carencia afectaría gravemente a la organización.
3 (Medio) Se considera que como máximo el activo puede estar indisponible por un día, pues su carencia afectaría considerablemente a la organización.
2 (Bajo) Se considera que como máximo el activo puede estar indisponible por una semana, pues su carencia afectaría parcialmente a la organización.
1 (Muy Bajo) Se considera que como máximo el activo puede estar indisponible por tiempo indefinido, pues su carencia no impacta a la organización.

Valor del Activo

Se estima el Valor del Activo del promedio de sumar los valores del nivel de importancia de la Confidencialidad, Integridad y Disponibilidad.
Nivel de Tasación

Valor del Activo Nivel de Tasación

TODOS AQUELLOS ACTIVOS QUE CAIGAN EN ESTA CATEGORIA
RECOMENDAMOS QUE SEAN ANALIZADOS Y EVALUADOS EN
4.001 – 5.000 Muy Alto SUS MATRICES DE RIESGOS.
3.001 – 4.000 Alto
2.001 – 3.000 Medio
1.001 – 2.000 Bajo
1.000 – 1.000 Muy Bajo
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE PARCHES

MDN-SUF-2022-010

A. INTRODUCCIÓN
Es importante actualizar los sistemas por algunas razones que serán brevemente
descritas a continuación:

1. Mejoran en el funcionamiento del sistema.

Con cambios menores en el software que se tiene disponible se efectúan
mejoras en el desempeño del sistema operativo y sus componentes.

2. Mejoran la seguridad del sistema al corregir vulnerabilidades.

Muchos de los ataques se producen cuando existen máquinas vulnerables y en
su gran mayoría no son vulnerabilidades de día cero, sino que debido a la falta
de cuidado de los usuarios que no han actualizado sus sistemas.
Los sistemas operativos que disponen de soporte, tienen a su disposición
equipos de trabajo que se dedican a generar actualizaciones para eliminar las
vulnerabilidades conocidas.
Un sistema actualizado no podrá ser atacado explotando vulnerabilidades
conocidas.

3. Corrección de errores en programas.

Los programas no siempre son perfectos, pero si perfectibles, de allí que con las
actualizaciones aquellos errores que han sido detectados son corregidos vía
actualizaciones.

A dichas actualizaciones se las conoce como parches de seguridad.

B. PROPÓSITO
Esta política proporciona la base guía para la gestión de actualizaciones de
aplicaciones y sistemas, para que se ejecute de manera continua y permanente. Se
hace hincapié en las actualizaciones y parches de seguridad regulares para los
sistemas operativos, el firmware, las aplicaciones de productividad y las utilidades.
Las actualizaciones periódicas son fundamentales para mantener un entorno
operativo seguro.

C. ALCANCE
1-6
 La presente política emite disposiciones que son de obligatorio cumplimiento de los
usuarios que empleen sistemas que puedan ser objeto de actualizaciones,
especialmente quienes son responsables de infraestructura, servidores, dispositivos
de networking y demás que empleen software y firmware que deba actualizarse.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos, repartos militares,

unidades, institutos o dependencias serán responsables de la supervisión del
cumplimiento de la presente política.

2. Todo el personal es responsable del conocimiento cabal de la presente política y

los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

3. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto

con su equipo de trabajo, serán los responsables de orientar, verificar y controlar
el cumplimiento de las medidas técnicas de la política, además de informar
sobre el desarrollo de este proceso.

4. Los OSI deberán gestionar la difusión de la presente política y los

procedimientos relacionados con ella, así mismo verificar la concientización al
respecto de su cumplimiento.

5. El área de TIC a través de su área funcional correspondiente será la

responsable de la implementación de las actualizaciones para el cumplimiento
de la presente política, empleando para ello los procedimientos que sean
necesarios.

E. POLÍTICAS

1. Identificación de activos y software base

a. Se deberá inventariar el hardware y software a fin de determinar la

aplicabilidad de parcheo a cada sistema, componente o dispositivo.

b. Cada institución dependiente del MDN identificará los activos de información

categorizándolos de manera que se pueda priorizar las actualizaciones y
parcheos en los activos más críticos.

c. Se deberá tener un registro de los inventarios el mismo que deberá ser

actualizado después de cada ejecución de parcheo a fin de mantener la
información consistente con las versiones de software y firmware.
2-6
 d. Se ejecutará, una verificación mensual de la existencia de nuevos parches o
de la existencia de vulnerabilidades en las versiones actuales, a cargo de los
responsables de cada dispositivo.

2. Roles

a. Las unidades de TIC en todos los niveles nombrarán un equipo de personas

encargadas de la gestión de parcheo.

b. Los CSIRT de cada una de las instituciones ejecutarán la gestión de

vulnerabilidades, entregando como producto de esta gestión la evaluación y
necesidad de parcheo.

c. El COCIBER será el encargado de la distribución de los parches que hayan

sido aprobados y que sean aplicados.

d. Se definirán los roles de investigación, pruebas, control, supervisión, soporte,

registro y evaluación de parcheos y actualizaciones.

e. El OSI recibirá los reportes del equipo designado para la gestión de parcheo.

3. Planificación y Cronograma

a. Cada institución dependiente del MDN desarrollará un cronograma regular

para la aplicación de parches de seguridad a todos los activos de
información, aplicando los siguientes lineamientos:

1) La aplicación de parches incluirá actualizaciones de todos los sistemas

operativos.

2) Para los activos más críticos (criticidad alta) el parcheo se programará de

forma obligatoria una vez al mes y de conocerse el lanzamiento de un
nuevo parche se lo hará de forma oportuna.

3) Al conocerse el lanzamiento de parches que cubren vulnerabilidades

críticas, estos deberán aplicarse en forma inmediata hasta un máximo de
siete días.

4) Para activos cuya criticidad sea media, el parcheo se ejecutará cada dos
meses

5) Para activos de criticidad baja el parcheo se lo ejecutará de manera

trimestral.

3-6
 6) De tenerse aplicaciones de terceros o sistemas operativos que permiten
la actualización automática, se deberán configurar las notificaciones de
actualizaciones y programar el parcheo en horas no laborables de forma
automática.

7) Antes de aplicar parches o actualizaciones a sistemas en producción, se

deberá hacerlo en los ambientes de desarrollo y pruebas de tal forma que
se valide el funcionamiento del sistema con las actualizaciones.

b. Luego de los parcheos y actualizaciones se elaborarán reportes con una

fecha de presentación dispuesta en el cronograma.

c. Semestralmente se deberá tener un reporte general de parcheo y

actualizaciones.

d. Antes de ejecutar un parcheo en sistemas en producción se analizará el

riesgo que este traiga consigo, más los inconvenientes al funcionamiento del
sistema que el mantener desactualizado el software ocasione, pudiéndose
generar excepciones al cumplimiento de la política y los cronogramas.

e. Se debe mantener una estrecha relación entre la gestión de parcheo y la

gestión de vulnerabilidades, con ello, se logrará garantizar que las
vulnerabilidades de la aplicación, el sistema y el dispositivo de red sean:

• Evaluado regularmente y respondido de manera oportuna

• Documentado y bien entendido por el personal de apoyo

• Automatizado y monitoreado regularmente siempre que sea posible

• Ejecutado de manera aplicable a las herramientas proporcionadas por el

proveedor en un cronograma comunicado regularmente

• Aplicado de manera oportuna y ordenada en función de la criticidad y

aplicabilidad de parches y mejoras

4. Distribución

a. Mensualmente, el equipo de gestión de parcheo elaborará un listado de

parches a instalar, verificando que cada parche cuente con su identificación,
descripción, fecha de liberación y que además cumpla con las Políticas.

b. El equipo de gestión de parcheo será el responsable de distribuir las

versiones apropiadas y probadas de parches a los usuarios.

4-6
 c. De disponerse de medios tecnológicos para la distribución automática de
parches, estos serán empleados bajo la supervisión del equipo de gestión de
parcheo.

d. La distribución será hecha en función de la aplicabilidad de los parches.

e. La prioridad para la distribución la tendrán los activos más críticos.

F. GUÍA PARA CUMPLIMIENTO

1. El cumplimiento de la política se efectuará en cada uno de los niveles.

2. En cada dependencia, unidad u organización subordinada se deberá llevar el

registro del parcheo, análisis, pruebas y reportarlas a su cadena de mando o
canal técnico según corresponda.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la

política.

3. El OSI en cada nivel, junto con su equipo verificará el cumplimiento de esta

política a través de varios métodos, incluidos entre otros, informes de
herramientas comerciales, auditorías internas y externas y comentarios al
propietario de la política.

4. Con base en una lista de chequeo se controlará el cumplimiento de la política.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel
de las consecuencias que puedan resultar producto de alguna acción u omisión
contraria a lo descrito aquí, queda sometido a las penalidades establecidas por
normativa vigente.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Política de aplicaciones autorizadas.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con parches a los sistemas,
dispositivos y activos de información pertenecientes al sector de la defensa.

K. VIGENCIA
5-6
 La presente política entra en vigencia a partir de la expedición de este documento y
de su ejecución y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de parches se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

6-6
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE TALENTO HUMANO

MDN-SUF-2022-011

A. INTRODUCCIÓN
Los recursos humanos son el pilar fundamental de las instituciones del sector
defensa, cualquiera que sea su modelo de organización, financiamiento y
operación. El talento humano es un factor muy importante dentro de toda
organización, es la base fundamental para que las instituciones funcionen
adecuadamente y generen un valor agregado, es por esto que el Ministerio
de Defensa Nacional debe encargarse de implementar estrategias para
motivar y retener a su capital humano.

B. PROPÓSITO
Conservar, salvaguardar y proteger la información generada por los procesos
que ejecuta el sector de Defensa, evitando su posible pérdida mediante
exposición a amenazas latentes en el entorno, como acceso, manipulación o
deteriorar la información.

C. ALCANCE
Esta política se debe aplicar en todos los niveles institucionales, personal
militar, servidores, trabajadores públicos y personas que presten servicios
ocasionales, temporales o como invitados en el Ministerio de Defensa
Nacional y entidades del sector defensa.

D. RESPONSABILIDADES
Las autoridades máximas de las direcciones, departamentos, repartos
militares, unidades, institutos o dependencias serán responsables de la
supervisión del cumplimiento de la presente política.

Todo el personal es responsable del conocimiento cabal de la presente

política y los procedimientos relacionados con la misma. El desconocimiento
de la política y los procedimientos no los exime de responsabilidades.

Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, serán

los responsables de orientar, verificar y controlar el cumplimiento de las

1-6
 medidas técnicas que obliguen a la implementación de la política, además de
informar sobre el cumplimiento.

Los OSI deberán gestionar la difusión de la presente política y los

procedimientos relacionados con ella así mismo verificar la concientización al
respecto de su cumplimiento.

La Dirección de Talento Humano es la responsable de la gestión de este

proceso, así como de llevar los registros históricos de las altas y bajas o
vinculación y desvinculación del personal militar y civil.

E. POLÍTICAS

1. Antes de la prestación de servicio. -

a. Personal Militar previo a asumir una función por pases

1) Todo el personal militar que llegue a su nueva destinación, deberá

realizar la Declaración de Historial Personal (DHP), en la respectiva
oficina de personal.

2) El personal que vaya a cumplir su función con manejo de

información y servicios de información crítica, previo al
requerimiento de la máxima autoridad del reparto militar, en
coordinación con la unidad de inteligencia militar deberá realizar el
Informe de Seguridad Personal (ISP) y la prueba de confianza.

3) La Dirección de Talento Humano deberá remitir a la DTIC la

solicitud de creación de cuentas de usuario a través del Sistema de
Gestión Documental, detallando los datos del nuevo usuario con
los roles que se requieren activar.

4) La DTIC creará el registro correspondiente en LDAP para poder

acceder a los diversos servicios informáticos institucionales acorde
a lo estipulado en la Política de Control de Accesos.

b. Personal Militar que ha sido dado de alta de las escuelas de formación.

1) Deberá realizar la encuesta sobre las políticas de seguridad de la
información institucionales y aprobar el test de ciberseguridad que
forma parte de estas políticas.

2-6
 2) El personal militar dado de alta en cualquier rama de las Fuerzas
Armadas deberá legalizar el certificado de confidencialidad de la
información en la DGTH de cada Fuerza previo a la presentación
en los repartos militares.

c. Para el personal de servidores públicos

1) El personal de servidores públicos que vayan a cumplir una función
de manejo de información y servicios de información crítica y
calificada, previo al requerimiento de la máxima autoridad de la
unidad militar, en coordinación con la unidad de inteligencia militar
deberá realizar el Informe de Seguridad Personal (ISP) y prueba
de confianza.

2) La Dirección de Talento Humano deberá remitir a la DTIC la

solicitud de creación de cuentas de usuario a través del Sistema de
Gestión Documental, detallando los datos del nuevo usuario con
los roles que se requieren activar.

3) El personal que se vincula a la institución debe aprobar una

encuesta sobre las políticas de seguridad de la información y el test
de ciberseguridad que se incluye en esta política a fin de que se le
pueda asignar los recursos informáticos y el acceso a las
aplicaciones que requiere.

4) El personal de servidores públicos que forma parte del Ministerio

de Defensa Nacional o entidades adscritas deberán legalizar el
certificado de confidencialidad de la información y remitirlo a la
Dirección de Talento Humano de su dependencia.

2. Durante de la prestación de servicio

a. Se debe designar en cada reparto o unidad militar un Oficial de
Seguridad de la Información y sistemas de archivos con sus
respectivos reemplazos.

b. Ejecutar periódicamente inspecciones de seguridad de los sistemas

informáticos y de comunicaciones, con la participación de los
delegados de inteligencia militar, informática y comunicaciones para
determinar las vulnerabilidades del sistema.

3-6
 c. Capacitar permanentemente al personal militar y civil a través de la
campaña de concienciación sobre la seguridad de la información.

d. La Dirección General de Talento Humano del Comando Conjunto de

las Fuerzas Armadas y de cada una de las Fuerzas y entidades
adscritas deben coordinar con el Oficial de Personal de las unidades
para verificar al personal idóneo que va a cumplir el manejo de la
información calificada.

e. El personal que cumpla los requisitos para manejar la información

calificada deberá ser publicada en O.G para su cumplimiento.

3. Después de la prestación de servicio

a) Se prohíbe el ingreso del personal militar en servicio pasivo y
servidores públicos desvinculados a las dependencias militares para
trámites rutinarios.

b) Se debe incluir un registro en la hoja de salida que valide la

desactivación de las cuentas de usuario acorde al catálogo de
aplicaciones de cada institución; registro de desactivación que estará
bajo la responsabilidad de la DTIC.

c) La DTIC será responsable de dar de baja el registro correspondiente

del LDAP acorde a lo señalado en la Política de Control de Accesos.

F. GUÍA PARA CUMPLIMIENTO

a) Deberán levantarse las necesidades para implementar las medidas
técnicas para imponer el cumplimiento de la política y sus
procedimientos derivados y generar los requerimientos necesarios.
b) Los OSI en todos los niveles deberán establecer la frecuencia y
mecanismo de control del cumplimiento de la política. Se recomienda
el uso de listas de chequeo para el control del cumplimiento.
c) Se llevarán registros del cumplimiento de la política de Altas y Bajas
en cada una de las áreas relacionadas

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

4-6
 2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la
política.
3. Se lo realizará a través de la matriz de usuario LDAP parte de la política
de control de accesos.
4. Reporte del sistema de gestión de documentos de cada institución
5. Reporte de altas y bajas, vinculación y desvinculación del sistema de
talento humano de cada institución.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del
nivel de las consecuencias que puedan resultar producto de alguna acción u
omisión contraria a lo descrito aquí, queda sometido a las penalidades
establecidas por normativa vigente, conforme al Reglamento Interno de
Administración de Talento Humano, la LOSEP, Reglamento Interno de
Trabajo del Ministerio de Defensa Nacional y Reglamento de Disciplina Militar
que puede resultar en una acción disciplinaria, sin perjuicio de las
responsabilidades civiles o penales que tuvieren lugar en virtud de la Ley.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Políticas de Gestión de contraseñas.

2. Programa de Seguridad de la Información del MIDENA.
3. Política de Control de Accesos.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con el control de acceso
lógico de usuarios a los sistemas de información y activos de información
pertenecientes al sector de la Defensa.

K. VIGENCIA
La presente política entra en vigencia a partir de la expedición de este
documento y de su ejecución y cumplimiento encargase a las autoridades
correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La Política de Talento Humano se encuentra en su versión 1.0, expedida
en la fecha constante en el presente documento.

2. Versiones anteriores

5-6
 FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

6-6
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE USUARIOS

MDN-SUF-2022-012

A. INTRODUCCIÓN
La actitud de los usuarios frente a la seguridad de la información es determinante
para el cumplimiento de las políticas que son establecidas en cualquier institución.

El compromiso de cumplimiento por parte del usuario es vital, se debe recordar que
el usuario es el eslabón más débil de la cadena de ciberseguridad.

B. PROPÓSITO
El propósito de la presente política es estandarizar las reglas, compromisos y
responsabilidades de los usuarios de activos de información.

C. ALCANCE
La presente política emite disposiciones que son de obligatorio cumplimiento de
todos los usuarios de sistemas computacionales, activos de información y
dispositivos finales pertenecientes a la institución y aquellos que se pongan al
servicio de la misma ya sea por contratos, convenios o casos temporales.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos, repartos militares,

unidades, institutos o dependencias serán responsables de la supervisión del
cumplimiento de la presente política.

2. Los usuarios son los únicos responsables sobre la confidencialidad de la

información que administran, por tanto, deberán aplicar la presente política y los
controles necesarios de cifrado para la protección de sus datos y los datos
personales de terceros.

3. Todo el personal es responsable del conocimiento cabal de la presente política y

los procedimientos relacionados con la misma. El desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto

con su equipo de trabajo, serán los responsables de orientar, verificar y controlar
el cumplimiento de las medidas técnicas que obliguen el cumplimiento de la
política, además de informar sobre el cumplimiento.

1-5
 5. Los OSI deberán gestionar la difusión de la presente política y los
procedimientos relacionados con ella así mismo verificar la concientización al
respecto de su cumplimiento.

6. El área de TIC a través de su área funcional correspondiente será la

responsable de la implementación de las medidas técnicas que faciliten el
cumplimiento y tiendan a imponer a los usuarios el cumplimiento de la política.
Estos controles técnicos no podrán ser eludidos por los usuarios.

E. POLÍTICAS

1. Cumplimiento de funciones

a. Todos los usuarios deberán asumir sus funciones haciéndose cargo de los
activos de información y la información que estará a su cargo durante la
función.

b. Se someterán a lo establecido en la Política de Talento Humano.

c. Dependiendo de la sensibilidad de la información y la pertinencia se

someterán a pruebas de confianza.

d. Durante sus funciones serán los responsables de toda la información que

administren, incluyendo su creación, edición, almacenamiento, custodia,
transmisión y eliminación.

2. Compromiso

a. Todos los usuarios firmarán un acuerdo de buen uso de los activos de

información.

b. Los usuarios deben adoptar una actitud de compromiso con la seguridad de

la información dentro y fuera de la institución.

c. Los usuarios son responsables del uso razonable de los activos de la

información y se comprometen a que su uso sea exclusivamente con
beneficios institucionales.

d. Los usuarios que empleen dispositivos personales para su trabajo, se

comprometen a aceptar las normas institucionales y los controles necesarios
en sus dispositivos.

e. Los usuarios se comprometen a tener extrema precaución en la apertura de

correos, reenvío de los mismos, así como la ejecución de links de origen
desconocido.
2-5
 f. Los usuarios se comprometen al cumplimiento de políticas de contraseñas,
escritorios y pantallas limpias y demás que sean consideradas como
controles organizacionales.

g. Todos los usuarios se comprometen a acreditar una evaluación de postura

de ciberseguridad que les permitirá hacer uso de los recursos. (Programa de
concienciación)

3. Prohibiciones.

a. Violaciones de los derechos de cualquier persona o empresa protegida por

derechos de autor, secreto comercial, patente u otra propiedad intelectual, o
leyes o reglamentos similares, incluidas, entre otras, la instalación o
distribución de productos de software "pirateados" u otros que no están
debidamente autorizados para su uso por parte de la institución.

b. La copia no autorizada de material con derechos de autor que incluye, entre

otros, la digitalización y distribución de fotografías de revistas, libros u otras
fuentes con derechos de autor, música con derechos de autor y la instalación
de cualquier software con derechos de autor para el cual la institución o el
usuario final no tengan una licencia activa está estrictamente prohibido.

c. Está prohibido acceder a datos, un servidor o una cuenta para cualquier

propósito que no sea realizar actividades de su función, incluso si tiene
acceso autorizado.

d. Revelar la contraseña de su cuenta a otros o permitir que otros usen su

cuenta, esto incluye a la familia y otros miembros del hogar cuando el trabajo
se realiza en el hogar.

F. GUÍA PARA CUMPLIMIENTO

1. El cumplimiento de la política se efectuará en cada uno de los niveles.

2. En cada dependencia, unidad u organización subordinada se deberá llevar el

registro del acuerdo de buen uso de activos el cual deberá ser suscrito cuando
el usuario se haga cargo de la función.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la

política.

3-5
 3. El OSI en cada nivel, junto con su equipo verificará el cumplimiento de esta
política a través de varios métodos, incluidos, entre otros, informes de
herramientas comerciales, auditorías internas y externas y comentarios al
propietario de la política.

4. Con base en una lista de chequeo se controlará el cumplimiento de la política.

5. Se entregarán registros de la legalización de los acuerdos de buen uso.

H. PENALIDADES

El no cumplimiento o inobservancia de la presente política, dependiendo del nivel

de las consecuencias que puedan resultar producto de alguna acción u omisión
contraria a lo descrito aquí, queda sometido a las penalidades establecidas por
normativa vigente.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Política de gestión de contraseñas

2. Acuerdo de buen uso de activos de información (formato de cada institución).

3. Política de aplicaciones autorizadas.

4. Política de ingresos y salidas

J. DEROGATORIA

Esta política deroga a anteriores políticas emitidas con relación a la emisión,

administración y disposiciones técnicas relacionadas con contraseñas y aplicables a
los sistemas, dispositivos y activos de información pertenecientes o al servicio de
las instituciones del sector defensa.

K. VIGENCIA

La presente política entra en vigencia a partir de la presente fecha y de su ejecución

y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La Política de Usuarios se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

4-5
2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

5-5
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE GESTIIÓN DE INCIDENTES

MDN-SUF-2022-013

A. INTRODUCCIÓN
La información y los procesos que la apoyan, son considerados elementos
fundamentales que requieren ser protegidos frente a amenazas que pongan en
peligro la disponibilidad, integridad y confidencialidad de la información.

La información por lo general es procesada, intercambiada y conservada en redes

de datos, equipos informáticos y soportes de almacenamiento que son parte de lo
que se conoce como sistemas informáticos. Los sistemas informáticos están
sometidos potencialmente a amenazas de seguridad de diversa índole, originadas
desde dentro y fuera de la organización procedente de una amplia variedad de
fuentes físicas y lógicas.

Un incidente de seguridad de la información es la violación o amenaza inminente a

la Política de Seguridad de la Información implícita o explícita, también es un evento
que compromete la seguridad de un sistema (confidencialidad, integridad y
disponibilidad).

La implementación de una política de gestión de incidentes informáticos permitirá

optimizar los procesos que puedan incidir de manera significativa en la continuidad
del negocio y por ende en el cumplimiento de la misión y los propósitos
institucionales.

B. PROPÓSITO
El propósito de esta política es estandarizar el modelo de gestión de incidentes de
seguridad de la información, mediante un enfoque estructurado y bien planificado
que permita detectar, evaluar y responder adecuadamente a los incidentes de
seguridad de la información.

C. ALCANCE
La presente política es de obligatorio cumplimiento para todos los usuarios militares
y servidores públicos, que administran los servicios y activos de información en
cualquier dependencia del sector defensa.

1-4
D. RESPONSABILIDADES

1. La seguridad informática es responsabilidad de todos los que forman parte,

participan o utilizan las tecnologías de la información en todos los niveles de la
organización.

2. El COCIBER se constituirá en el CSIRT (Equipo de Respuesta a Incidentes de

Seguridad) del Ministerio de Defensa Nacional y del CC.FF.AA.

3. El COCIBER se constituirá en el CSIRT coordinador del sector defensa.

4. El área de TIC y/o unidades de ciberdefensa / ciberseguridad (Comando de

Ciberdefensa, unidades de ciberdefensa, departamentos, Compañías de
Comunicaciones, secciones de TIC), a través de su área funcional
correspondiente (Network Operation Center - NOC y Security Operation Center -
SOC) será la responsable del monitoreo de redes tras la implementación de los
procesos y tecnologías necesarias para el efecto (en caso de no existir, se
deberán presentar los proyectos para la generación de NOC y SOC según
corresponda).

5. EL COCIBER se constituirá en el SOC de SOC’s para el MDN como institución y

para el CC.FF.AA.

6. Las unidades de ciberdefensa de cada una de las Fuerzas gestionarán

incidentes internos estandarizando procedimientos emitidos por el COCIBER,
que articulará las gestiones.

7. Todo el personal es responsable del conocimiento cabal de la presente política y

los procedimientos relacionados con la misma, el desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

8. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto

con su equipo de trabajo, serán los responsables de orientar, verificar y controlar
el cumplimiento de las medidas técnicas que obliguen el cumplimiento de la
política, además de informar sobre el cumplimiento.

E. POLÍTICAS

1. Todas las instituciones del sector defensa deben adherirse al proceso que
establece la “Guía de gestión de Incidentes de Seguridad Informática”
establecida por el COCIBER.

2. Las instituciones adecuarán sus procedimientos enmarcados en la gestión de

incidentes establecida por el COCIBER.

2-4
 3. Para la gestión de incidentes se utilizará el canal técnico de ciberdefensa.

F. GUÍA PARA CUMPLIMIENTO

Se efectuará un taller de trabajo de forma trimestral con la participación de los

CSIRT’s del sector defensa, en donde se evaluarán los procesos de la gestión de
incidentes, intercambio de lecciones aprendidas y actualización de procesos de ser
necesarios.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la

política.

3. Se ejecutarán ejercicios de gestión de incidentes de forma anual, los cuales

serán planificaos por cada institución del sector defensa.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel
de las consecuencias que puedan resultar producto de alguna acción u omisión
contraria a lo descrito aquí, queda sometido a las penalidades establecidas por
normativa vigente.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

Guía de Gestión de incidentes de Seguridad Informática del COCIBER

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a la emisión,
administración y disposiciones técnicas relacionadas con la gestión de incidentes en
el sector de la defensa.

K. VIGENCIA
La presente política entra en vigencia a partir de la expedición y de su ejecución y
cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL

1. Versión actual
La Política de Gestión de Incidentes informáticos se encuentra en su versión 1.0,
expedida en la fecha constante en el presente documento.

2. Versiones anteriores

3-4
 FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

4-4
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE MONITOREO DE REDES

MDN-SUF-2022-014

A. INTRODUCCIÓN
El objetivo de la seguridad de la información es garantizar la confidencialidad,
disponibilidad e integridad de la misma, para ello, se deben contar con procesos,
personas y tecnología que se encarguen de monitorear las redes del sector defensa
a fin de que los dispositivos, enlaces y demás componentes que permiten que el
tráfico estén disponibles y funcionado de forma adecuada. Además, se deben
monitorear los logs de dispositivos de seguridad, errores de los sistemas, con la
finalidad de tomar acciones tendientes a garantizar la eficacia y eficiencia de los
sistemas de TI y la detección oportuna de ciber amenazas para la mitigación de
riesgos y aplicación de acciones de prevención inmediatas.

B. PROPÓSITO
Esta política proporciona la base guía de controles y reglas a ser ejecutadas por los
administradores que realizan la gestión de monitoreo de la red para protegerla
adecuadamente.

C. ALCANCE
La presente política se extiende por la infraestructura de la red de las instituciones
regentadas por el MDN, en todos los niveles y desde el acceso a la red, pasando
por los dispositivos que permiten la navegación y enrutamiento, hasta los que son
usados como terminales finales, los cuales podrán ser objeto del monitoreo.

El MDN considera privada a toda la información de la red, sin embargo, la

información, al ser de carácter institucional, puede ser objeto de monitoreo, así
como los dispositivos que estén conectados a la red sean estos de carácter
institucional o personal.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos o unidades de TIC

en las dependencias o repartos militares, unidades e institutos serán los
responsables de la supervisión del cumplimiento de la presente política.

2. El área de TIC y/o unidades de ciberdefensa / ciberseguridad a través de su

área funcional correspondiente (NOC y SOC) será la responsable del monitoreo
de redes tras la implementación de los procesos y tecnologías necesarias para

1-4
 el efecto (en caso de no existir, se deberán presentar los proyectos para la
generación de NOC “Network Operations Center” y SOC “Security
Operations Center” según corresponda).

3. Todo el personal es responsable del conocimiento cabal de la presente política y

los procedimientos relacionados con la misma, el desconocimiento de la política
y los procedimientos no los exime de responsabilidades.

4. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto

con su equipo de trabajo, serán los responsables de orientar, verificar y controlar
el cumplimiento de las medidas técnicas que obliguen el cumplimiento de la
política, además de informar sobre el cumplimiento.

E. POLÍTICAS

1. Identificación de los dispositivos de red

a. Concomitante con otras políticas y la gestión de riesgo todas las

dependencias deberán tener un inventario e identificación de los dispositivos
de la red.

b. Para un adecuado monitoreo se deberán, en un plazo no mayor a un año,

implementar los mecanismos técnicos que permitan identificar dispositivos en
la red a fin de que se pueda monitorearlos (se podrán emplear soluciones en
open source o aquellas que se pueda tener acceso de acuerdo al alcance
económico).

2. Actividades de monitoreo

a. Las instituciones del sector defensa ejecutarán monitoreo de las redes a su

cargo mediante un NOC.

b. Las instituciones del sector defensa ejecutarán monitoreo de la Seguridad de

sus sistemas informáticos mediante el SOC.

c. El NOC mantendrá coordinación permanente con el SOC que le sea

asignado (En el caso de las Fuerzas tendrán su propio SOC y para las
demás instituciones el SOC del COCIBER será quien provea los servicios)

d. Cada una de las instituciones definirá, documentará y reportará:

1) Qué dispositivos y equipos se monitorearán.

2) Qué información se recopilará.

3) Quién tendrá acceso a esos datos.

2-4
 4) Cuando se activará una alerta.

5) A quién se le notificará.

6) Qué acciones automáticas pueden configurarse.

e. Los NOC deberán desarrollar líneas bases para determinar normalidad y

anormalidad en la red con respecto al tráfico, cómo, por ejemplo:

1) Tráfico de internet.

2) Tráfico de correo electrónico.

3) Tráfico de intranet.

f. La metodología para el monitoreo de la red principalmente se fundamentará

en la gestión de Logs.

3. Alertas y difusión

a. Todas las alertas que sean generadas en los NOC, deberán ser reportadas,
de inmediato al SOC que se relaciona con el mismo.

b. EL COCIBER, como CSIRT coordinador difundirá alertas a los SOC de

acuerdo al análisis de necesidad que se haya desarrollado.

c. Los mecanismos de difusión de alertas y comunicación serán definidos por el

COCIBER.

F. GUÍA PARA CUMPLIMIENTO

1. Todas las instituciones del sector defensa deberán implementarán los NOC y
SOC en cada uno de sus niveles.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la

política.

3. Deberá existir un almacenamiento de Logs en línea por el lapso de 90 días y

respaldos en repositorios de hasta un año.

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del nivel
de las consecuencias que puedan resultar producto de alguna acción u omisión

3-4
 contraria a lo descrito aquí, queda sometido a las penalidades establecidas por
normativa vigente.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

Política de gestión de incidentes.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a monitoreo de
redes en el sector Defensa.

K. VIGENCIA
La presente política entra en vigencia a partir de la presente fecha y de su
ejecución y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La política de monitoreo de redes se encuentra en su versión 1.0, expedida en la
fecha constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

4-4
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE CONTINUIDAD DE OPERACIONES

MDN-SUF-2022-0015

A. INTRODUCCIÓN
Esta política proporciona una guía general para el Plan de Continuidad de
Operaciones (PCO) de las Fuerza Armadas para garantizar la ejecución efectiva de
las misiones críticas y la continuación de los servicios esenciales en todas las
circunstancias. Todas las actividades relacionadas con la continuidad del sector
Defensa, serán coordinadas y administradas bajo el PCO.

El Plan de Continuidad de Operaciones contiene los procesos y procedimientos de

programación y planificación requeridos para la continuidad de las operaciones
críticas del sector defensa.

B. PROPÓSITO
El propósito de esta política es garantizar la resiliencia, preservación y el
desempeño continuo de los servicios esenciales de todas las instituciones del
sector defensa, en todos los entornos de amenazas y riesgos.

C. ALCANCE
Esta política se aplica a todas las instituciones del sector Defensa.

D. RESPONSABILIDADES

1. Las autoridades máximas de las direcciones, departamentos o unidades de

TIC en las dependencias o repartos militares, unidades e institutos serán los
responsables de la supervisión del cumplimiento de la presente política.

2. Todo el personal es responsable del conocimiento cabal de la presente

política y los procedimientos relacionados con la misma, el desconocimiento
de la política y los procedimientos no los exime de responsabilidades.

3. Los Oficiales de Seguridad de la Información (OSI) en todos los niveles, junto

con su equipo de trabajo, serán los responsables de orientar, verificar y
controlar el cumplimiento de las medidas técnicas que obliguen el
cumplimiento de la política, además de informar sobre el cumplimiento.
1-3
E. POLÍTICAS

1. Definir los procesos esenciales de cada institución del sector Defensa de

acuerdo a la misión establecida, para la continuidad de las operaciones las
que normalmente se realizan en sus ubicaciones operativas principales.
2. Identificar y aprobar las ubicaciones alternas requeridas para realizar los
procesos esenciales de cada institución del sector Defensa.
3. Desarrollar un Plan de Continuidad de Operaciones (PCO) de acuerdo con la
política y los servicios esenciales determinados por cada institución del sector
Defensa.
4. Planificar y ejecutar pruebas, capacitaciones y ejercicios del Plan de
Continuidad de Operaciones (PCO).
5. Revisar y actualizar el Plan de Continuidad de Operaciones (PCO) cada año,
o cuando lo requieran los cambios.

F. GUIA PARA EL CUMPLIMIENTO

Plan de Continuidad de Operaciones de las instituciones del sector Defensa.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.
2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la
política.
3. Ejecución de ejercicios del Plan de Continuidad de Operaciones ((PCO).
4. Revisión anual del Plan de Continuidad de Operaciones ((PCO).

H. PENALIDADES
El no cumplimiento o inobservancia de la presente política, dependiendo del
nivel de las consecuencias que puedan resultar producto de alguna acción u
omisión contraria a lo descrito aquí, queda sometido a las penalidades
establecidas por normativa vigente.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

Plan de contingencia de TIC.

J. DEROGATORIA
Esta política propone el Plan de Continuidad de Operaciones PCO. Si en algún
momento hay un conflicto con cualquier otra política, incluidos estándares,
procedimientos o reglamentos, esta política prevalecerá.

2-3
K. VIGENCIA
La presente política entra en vigencia a partir de la presente fecha y de su
ejecución y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La Política de Continuidad de Operaciones se encuentra en su versión 1.0,
expedida en la fecha constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

3-3
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

POLÍTICA DE SEGURIDAD FÍSICA

MDN-SUF-2022-016

A. INTRODUCCIÓN
Seguridad Física es el conjunto de mecanismos y acciones que buscan la detección
y prevención de riesgos, con el fin de proteger algún recurso o bien material. Todas
las actividades relacionadas con la gestión de acceso y seguridad de las
instalaciones que contienen o manejan activos de información, estarán orientadas
dentro la Política de Seguridad Física.

Sustentado sobre el uso de los servicios informáticos, pilares básicos de la

infraestructura tecnológica digital, se establecen los procedimientos orientados a la
seguridad de su infraestructura física, a través de una adecuada homogeneidad al
establecer las medidas de seguridad de carácter general, así como de índole
técnica y organizativa, dirigidas a asegurar el cumplimiento de las garantías de
autenticidad, integridad, confidencialidad, disponibilidad, conservación de la
información y trazabilidad; relacionadas a la seguridad física y del entorno de los
activos de información.

B. PROPÓSITO
Prevenir el acceso físico no autorizado, el daño y la interferencia a la información y
a las instalaciones que mantienen o disponen activos de información.

C. ALCANCE
Este procedimiento se aplica a todo el personal que tenga acceso autorizado a las
diferentes instalaciones de las organizaciones del sector de la defensa.
Lo definido en la presente política aplica para el control de acceso físico a las áreas
restringidas dentro de las cuales se encuentran el centro de datos, cuartos de
comunicaciones, áreas administrativas, archivo, áreas de recepción y entrega de
correspondencia; las que deben contar con mecanismos de protección física y
ambiental, y controles de acceso adecuados para la protección de la información.

D. RESPONSABILIDADES

1. Oficial de Seguridad de la Información

Elaboración y actualización del presente documento.
Evaluación del cumplimiento de la presente política.

1-8
 Establecer mecanismos de control y auditoria.

2. Dirección de Tecnologías de la Información

Controlar a través de un apropiado monitoreo el cumplimiento de los
procedimientos que garantizan el uso adecuado de los servicios informáticos
disponibles.
Asegurar el buen funcionamiento de los sistemas informáticos, como
herramientas de los diferentes procesos técnicos y administrativos.

3. Todos los funcionarios

Garantizar el cumplimiento de los procesos establecidos para el acceso a las
áreas restringidas de los diferentes organismos del sector de la defensa.

E. POLÍTICAS
1. Áreas restringidas
a. Perímetro de seguridad física
Las organizaciones del sector de la defensa deberán definir perímetros de
seguridad orientados a la protección de áreas que contengan información
sensible o crítica, e instalaciones de manejo de información, para lo cual
adoptarán las siguientes políticas:
1) La Unidad de Seguridad Ocupacional deberá levantar un inventario y
señalizar las áreas restringidas de acuerdo con el inventario establecido.
2) La Dirección de Tecnología de la Información contará con un área donde
se aloja el Centro de Datos y donde se encuentra la infraestructura
central de la información contando con los niveles de acceso a cada
sector.
3) El perímetro de seguridad de las instalaciones donde se encuentra el
centro de datos debe ser físicamente sólido (no deben existir aberturas
en el perímetro o áreas donde pueda producirse fácilmente una
irrupción). Las paredes externas del área deben ser de construcción
sólida y todas las puertas que comunican con el exterior deben ser
adecuadamente protegidas contra accesos no autorizados.
4) La Dirección de Tecnologías de la Información debe mantener y verificar
que se encuentre organizado e identificado todo el cableado en los racks
de los cuartos de comunicaciones y centro de datos.

b. Controles físicos de entrada

Todas las áreas restringidas serán protegidas a través de controles de
ingreso; para lo cual:
1) Se mantendrá la seguridad física en los puntos de acceso físicos
(ingresos) para el control y registro de todo el personal interno y
visitantes que ingrese a las instalaciones de la institución.

2-8
 2) Se deberán realizar la inspección de todo tipo de accesorios como:
bolsos, cajas, mochilas, etc. de los funcionarios o visitantes que ingresen
y salgan de las instalaciones de la institución.
3) El área Administrativa Financiera será la encargada de mantener un
registro en una bitácora o sistema de información del ingreso, retiro y
salida de todo equipo de cómputo, servidores, equipos activos de red o
cualquier equipo que sea propiedad de la institución.
4) La dependencia requirente mediante el aval del jefe encargado será la
encargada de autorizar el ingreso de personas ajenas a la Institución
únicamente en horas laborables.
5) La Dirección de Tecnologías de la Información deshabilitará o modificará
de manera inmediata, los privilegios de acceso físico a través de los
sistemas de control de acceso electrónico a ciertas instalaciones cuando
se produzca una desvinculación o ausencia transitoria, en coordinación
con la Dirección de Talento Humano.
6) La Dirección de Tecnologías de la Información mantendrá un registro del
acceso al centro de datos y cuartos de comunicaciones de personas
ajenas al área, las cuales deben estar debidamente identificadas y
registradas.
7) La Dirección de Tecnologías de la Información es la única autorizada a
permitir el acceso al centro de datos, cuartos de comunicaciones,
gabinetes (racks) y estaciones de trabajo del personal, las cuales deben
ser consideradas como áreas de acceso restringido.

c. Seguridad de oficinas e instalaciones

Se deberán diseñar y aplicar esquemas de seguridad física a oficinas e
instalaciones para lo cual se debe considerar que:
1) Todos los funcionarios deben borrar la información escrita en tableros o
pizarras al finalizar reuniones de trabajo. Igualmente, no se debe dejar
documentos o notas escritas en los espacios al finalizar las reuniones.
2) Garantizar que cualquier visitante se encuentren acompañado de un
funcionario de la oficina a visitar.
3) Todos los funcionarios y visitantes de la institución deben portar su tarjeta
de identificación en un lugar visible.
4) Todos los funcionarios tienen la obligación de tomar las previsiones que
permitan proteger los dispositivos de almacenamiento de información
externos, así como toda información reservada, independientemente del
medio en que se encuentre, y guardarlos bajo seguridad durante horarios
no hábiles.
5) Está terminante prohibido fumar, comer o beber en las áreas restringidas.
6) Está prohibido toman fotografías o realizar grabaciones de video, en
áreas de procesamiento de información o donde se encuentren activos de

3-8
 información que comprometan la seguridad o la imagen de los
organismos del sector de Defensa.
7) Antes de toda reunión se debe verificar que las instalaciones estén
configuradas para evitar que las actividades o información confidenciales
sean visibles y audibles desde el exterior.
8) Asegurar que los directorios y guías telefónicas internas que identifican
los lugares de las instalaciones de procesamiento de información
confidencial no sean accesibles a ninguna persona no autorizada.
9) Supervisar las actividades de limpieza en las áreas restringidas,
especialmente: centro de datos y cuartos de comunicaciones,
garantizando las seguridades mínimas durante el proceso de limpieza,
adicionalmente se prohíbe el ingreso de maletas, bolsos u otros objetos
que no sean propios de las tareas de aseo.

d. Protección contra las amenazas externas y ambientales

Se garantizará la aplicación de acciones orientadas a la protección física
contra desastres naturales, ataques maliciosos o accidentes considerando lo
siguiente:
1) El Sistema Integrado de Seguridad deberá tener un plan de extinción de
incendios y de evacuación de documentos debidamente difundido.
2) El área Administrativa deberá garantizar el mantenimiento del buen
estado la infraestructura física de los cuartos de comunicaciones y centro
de datos de la institución como, ventanas, techos, paredes, pisos, aires
acondicionados, cielos rasos, pisos falsos, sensores, cableado eléctrico,
conexiones de agua entre otros.
3) La Dirección de Tecnologías de la Información debe disponer de un plan
de mantenimiento correctivo y preventivo de toda la infraestructura
tecnológica de la institución.
4) Asegurar que el centro de datos se encuentre separado de áreas que
tengan líquidos inflamables o que corran riesgo de inundaciones o
incendios.
5) Se debe mantener el centro de datos libre de objetos o elementos que no
sean propios de su operación.
6) Se debe disponer de un plan de continuidad de las TIC’s.

e. Áreas de carga y entrega

Se implementará los siguientes controles como parte del control de los
puntos de acceso donde se realicen despachos y de carga, y otros puntos
en donde pueden entrar personas no autorizadas:
1) El área Administrativa deberá señalizar e identificar las áreas exclusivas
utilizadas por los proveedores donde pueden realizar la carga y descarga
de cualquier producto o servicio.
4-8
 2) Se deberá registrar, inspeccionar y examinar el material que ingresa de
acuerdo con sus procedimientos a fin de verificar que no se ingrese
material explosivo, químicos u otros materiales peligrosos.
3) Se deberá mantener una bitácora con el registro y evidencia del material
que ingresa.

2. Seguridad de los Equipos

Se implementará los siguientes controles como parte del control de los equipos
informáticos:
a. Todos los equipos tecnológicos de la institución (hardware, software y
comunicaciones) deben contar y cumplir con medidas de protección física y
eléctrica, determinados en las Políticas de Seguridad de la Información y
Control de Acceso a fin de evitar daños, fraudes, interceptación de la
información o accesos no autorizados.
b. Los equipos de cómputo asignados a los diferentes funcionarios deben estar
en condiciones adecuadas para su funcionamiento, para el efecto la Unidad
de Bienes entregará el equipo y la Dirección de Tecnologías de la
Información verificará su estado y entregará credenciales de acceso al
funcionario de manera individual.
c. Los equipos informáticos no pueden ser removidos del lugar asignado sin la
autorización de la Unidad de Bienes y conocimiento de la Dirección de
Tecnologías de la Información.
d. Se debe mantener una adecuada programación anual referente al
mantenimiento y soporte preventivo y correctivo de toda la infraestructura
tecnológica de la institución.
e. El área administrativa deberá asegurar la protección de los equipos de
cómputo contra cortes de luz y otras interrupciones provocadas por fallas en
los suministros básicos, para lo cual se debe verificar que los equipos sean
conectados en las redes de carga balanceada que dispone la institución.
f. El área Administrativa deberá mantener una adecuada operación y
mantenimiento de los equipos de UPS disponibles.
g. Se debe asegurar que en el centro de datos cuente con un adecuado
sistema de protección eléctrica.
h. El área Administrativa deberá asegurar que todos los edificios dispongan de
protección contra rayos en todas las líneas de comunicaciones externas.

3. Seguridad del cableado

Se implementará los siguientes controles que garanticen la interceptación,
interferencia o daño del cableado de potencia y de telecomunicaciones que porta
datos o soporta servicios de información, considerando lo siguiente:

5-8
 a. Realizar monitoreos de los sistemas a fin de verificar que no exista
interceptación, interferencia o daño en el cableado estructural de la
institución.
b. Verificar que los cables de potencia estén separados de los cables de
comunicaciones para evitar interferencia.
c. Asegurar que los cuartos de comunicaciones y/o cuarto eléctrico tengan las
condiciones físicas y medioambientales básicas.

4. Salida de los activos fuera de las instalaciones de la institución

Se debe considerar que los equipos, información o software no se retiraren de
su sitio sin autorización previa, por lo cual se deberá considerar lo siguiente:
a. En caso de requerir movilizar un equipo o software de propiedad de la
institución se deberá realizar una solicitud formal a la Dirección de
Tecnologías de la Información y este será autorizado por la Unidad de
Bienes responsable de validar dicha acción.
b. La Dirección de Tecnologías de la Información realizará periódicamente
inspecciones para detectar el retiro o movimiento no autorizado de equipos,
información o el software de la institución.
c. Los funcionarios deben solicitar la asignación de los equipos necesarios
para realizar su trabajo a la unidad de bienes y se debe evitar el uso de
equipos personales.

5. Seguridad de los equipos y activos fuera de las instalaciones

Se implementará medidas de seguridad a los activos que se encuentran fuera de
las instalaciones de la organización, teniendo en cuenta los diferentes riesgos
que esto puede ocasionar, para el efecto se deberá considerar:
a. Cada funcionario previa autorización del área Administrativa deberá
asegurar el traslado físico de un equipo fuera de las instituciones del sector
de la defensa.
b. El funcionario deberá asegurar que los equipos portátiles que contengan
información clasificada como Confidencial o Reservada, cuenten con
controles de seguridad que garanticen la confidencialidad de la información.
c. Informar inmediatamente a la Unidad de Bienes en caso de pérdida o robo
de un equipo portátil, cada funcionario por su cuenta tiene la obligación de
poner la denuncia ante las autoridades competentes y hacer llegar copia de
esta a la correspondiente organización del sector de defensa.
d. Los funcionarios tienen la obligación de registrar todos los equipos de
cómputo al ingreso y al retirarse de las instalaciones de las organizaciones
del sector de Defensa.

6-8
 e. Se debe deshabilitar los puertos de transmisión y recepción de infrarrojo y
bluetooth para el caso de los equipos que cuentan con esta tecnología y
puedan ser utilizados fuera de la Institución.

F. GUÍA PARA CUMPLIMIENTO

1. La implementación de medidas técnicas que incentiven el cumplimiento debe ser

ejecutada de la forma más pronta dentro de las capacidades técnicas actuales.

2. Deberán levantarse las necesidades para implementar las medidas técnicas

para imponer el cumplimiento de la política y sus procedimientos derivados y
generar los requerimientos necesarios.

3. Se llevarán registros del cumplimiento de la política de en cada una de las

direcciones, departamentos, repartos militares, unidades, institutos o
dependencias del sector de la defensa.

G. VERIFICACIÓN DE CUMPLIMIENTO Y REPORTE

1. Los OSI verificarán el cumplimiento de la política.

2. El COCIBER auditará de acuerdo a su planificación el cumplimiento de la

política.

3. Con base en una lista de chequeo se controlará el cumplimiento de la seguridad

de los equipos.

4. Con base en una lista de chequeo se controlará el cumplimiento de los

procedimientos levantados.

H. PENALIDADES
El no cumplimiento de la presente política, derivará en las medidas sancionatorias y
legales pertinentes, sobre el personal que incurra en cualquier actividad ilícita
relacionada con el ingreso en áreas no permitidas de las instituciones del sector de
defensa.

I. ESTÁNDARES O POLÍTICAS RELACIONADAS

• Esquema Gubernamental de Seguridad de la Información (EGSI v2.0).
• Política de Seguridad de Información.
• Políticas de Control de Acceso.

J. DEROGATORIA
Esta política deroga a anteriores políticas emitidas con relación a asegurar el
cumplimiento de las garantías de autenticidad, integridad, confidencialidad,
disponibilidad, conservación de la información y trazabilidad, relacionadas a la
seguridad física y del entorno de los activos de información.
7-8
K. VIGENCIA
La presente política entra en vigencia a partir de la expedición de este documento y
de su ejecución y cumplimiento encargase a las autoridades correspondientes.

L. VERSIÓN E HISTORIAL
1. Versión actual
La Política de Seguridad Física se encuentra en su versión 1.0, expedida en la
fecha constante en el presente documento.

2. Versiones anteriores
FECHA FECHA DE REEMPLAZADA
VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

8-8
 MINISTERIO DE DEFENSA NACIONAL
SUBSECRETARÍA DE DEFENSA

PLAN PARA EL SEGUIMIENTO DEL CUMPLIMIENTO DE LA IMPLEMENTACIÓN

DEL ESQUEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MDN-SUF-2022-017

Referencias:
− EGSI-version-2.0 Registro-Oficial-Acuerdo-Ministerial-No. -025-2019.
− Acuerdo Ministerial N.º 134 del 30 de marzo de 2020 el Ministerio de Defensa
Nacional remitió la Directiva para la implementación del Esquema Gubernamental de
Seguridad de la Información (EGSI v2.0).

A. ANTECEDENTES
La evaluación de la seguridad de la información (auditoría interna) es un aspecto
clave dentro de un sistema de gestión de seguridad de la información (SGSI), cuyos
requisitos principales son la planificación y la independencia de los auditores.

La ejecución de la evaluación es un requisito normativo, que además se debe cumplir

de acuerdo con el Acuerdo Ministerial N.º 306 del 19 de julio de 2022 que expide el
Programa de Ciberseguridad emitido por el Ministerio de Defensa Nacional (MIDENA)
y con las políticas de refuerzo que operacionalizan este programa.

El proceso de verificación debe manejar el requisito de independencia. Por ello, tal

proceso lo realizará el Oficial de Seguridad de la Información (OSI) de cada una de
las instituciones del sector defensa, de acuerdo a su nivel.

B. DESCRIPCIÓN GENERAL DEL PLAN

1. Alcance
El presente plan se ha desarrollado para dar seguimiento a la implementación de
los catorce dominios (14) y los ciento veinte y siete (127) controles (dentro de lo
aplicable en cada nivel) del ESQUEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN DEL MIDENA (EGSI v2.1) que se remite mediante Acuerdo
Ministerial N.º 134 del 30 de marzo de 2020.

2. Importancia
Mediante la ejecución de este plan se podrán establecer diagnósticos y métricas
para determinar la madurez de la implementación del EGSI v2.0 y el estado actual
de cumplimiento en las instituciones del sector defensa. Además, se podrán
 establecer un conjunto de directrices prioritarias que permitirán la mejora continua
en la Gestión de la Seguridad de la Información.

C. OBJETIVOS

1. Objetivo general
Realizar una evaluación interna de cumplimiento para valorar sistemáticamente la
implementación de los controles del Esquema de Gestión de Seguridad de la
Información EGSI (v2.0), acorde a la normativa emitida por el Ministerio de
Telecomunicaciones y de la Sociedad de la información (MINTEL), mediante
Acuerdo ministerial No. 025-2019.

2. Objetivos específicos

a. Evaluar el nivel de implementación del EGSI v2.0 en las entidades

pertenecientes al sector Defensa.

b. Determinar el estado de cumplimiento de la normativa vigente por parte de los

usuarios finales con respecto a la seguridad de la información y así
diagnosticar la postura de los usuarios frente a la cultura de ciberseguridad.

c. Orientar la mejora continua en la implementación del EGSI v2.0 dentro de cada

una de las instituciones del sector defensa.

D. SITUACIÓN ACTUAL
El MIDENA expidió la directiva para la implementación del EGSI v2.0, el mismo que
se constituye en la norma vigente para la implementación del Esquema
Gubernamental de la seguridad de la información en vigencia.

En todas las instituciones del sector defensa ha sido dispuesto la implementación del
EGSI v2.0 y han sido nombrados los Oficiales de Seguridad de la Información (OSI),
quienes son los responsables del seguimiento de la implementación.

Si bien en las unidades existen limitaciones en recursos para la implementación de

controles técnicos, el alcance de la implementación se ha dado por los controles
organizacionales y el cumplimiento de la normativa, las mejores prácticas y las
recomendaciones que apuntan a mantener la confidencialidad, disponibilidad e
integridad de la información que es generada, editada, transportada, almacenada,
procesada y empleada por los procesos de las entidades del sector defensa.

E. METODOLOGÍA
2-8
El MIDENA, para el cumplimiento de la implementación del EGSI v2.0 dentro de las
entidades del sector de la defensa utiliza la metodología de la “Mejora Continua” o
ciclo de Deming, conocido como el circulo PDCA, por sus siglas en inglés (Plan-Do-
Check-Act).

Figura 1: Ilustración gráfica del ciclo de Deming.

Para obtener los resultados de la evaluación interna de cumplimiento del EGSI v2.0,
se seguirán una serie de pasos que permitirán observar con claridad y orden cada
uno de los controles implementados y analizar la forma en la cual han sido
efectuados.

La evaluación se dividirá en dos fases. En la primera fase se evaluará al Comando

Conjunto de las Fuerzas Armadas y a las Fuerza Terrestre, Naval y Aérea. Esta
evaluación estará a cargo de un equipo conformado por el Comando de Ciberdefensa
(COCIBER) y el OSI del MIDENA. La segunda fase constituirá la evaluación a las
entidades adscritas por parte de los oficiales de seguridad de la información de las
mismas entidades y personal seleccionado de la DTIC de esta cartera de Estado.

Se procederá de la manera y orden que se especifica a continuación:

1. Los pasos a seguir en la primera fase serán los siguientes:

a. Planificación del COCIBER, elaboración de cronogramas.

b. Difusión de tablas, listas de chequeo y material para la evaluación.

c. Inicio de visitas a las entidades a ser evaluadas de acuerdo a cronograma.

3-8
 d. Arribo del equipo del COCIBER y del OSI del MIDENA.

e. Entrevista con el OSI de las entidades adscritas al MIDENA.

f. Análisis de la información emitida por el OSI de las entidades adscritas al

MIDENA.

g. Verificación de documentos recibidos relacionados con seguridad de la

información.

h. Revisión y análisis de Información generada: políticas, normativas,

procedimientos, mejores prácticas y otros.

i. Verificación de la apropiada difusión de documentos normativos y sobre

recomendaciones de seguridad de la información.

j. Verificación de la implementación y cumplimiento de controles

organizacionales.

k. Verificación de la implementación y cumplimiento de controles técnicos.

l. Verificación de limitaciones para la implementación de controles.

m. Verificación de indicadores y métricas de seguridad de la información.

n. Inspección de Instalaciones (redes, data center, seguridad física y otros

relacionados).

o. Orientación para auditoría a las instituciones del sector defensa.

p. Aplicación de encuesta para determinar cultura de ciberseguridad en el

personal de usuarios.

q. Charla de concienciación (es opcional, de ser viable, según las

circunstancias).

r. Obtención de resultados.

s. Elaboración de Informe final.

2. Los pasos a seguir en la segunda fase serán los siguientes:

4-8
a. Planificación con base en el presente plan para la evaluación a las entidades
adscritas al MIDENA en la que se incluya al OSI de las Fuerzas Terrestre,
Naval y Aérea para la evaluación a estas entidades adscritas.

b. Envío de la planificación a la Subsecretaria de Defensa para registro y control

de cumplimiento.

c. Se visitará las instituciones en las cuales se llevará a cabo los pasos similares
realizados en los niveles Comando Conjunto y Fuerzas.

d. Entrevista con el OSI de las entidades.

e. Análisis de la información emitida por el OSI de cada entidad.

f. Verificación de documentos recibidos relacionados con seguridad de la

información.

g. Revisión y análisis de Información generada: políticas, normativas,

procedimientos, mejores prácticas y otros.

h. Verificación de la apropiada difusión de documentos normativos y sobre

recomendaciones de seguridad de la información.

i. Verificación de la implementación y cumplimiento de controles

organizacionales.

j. Verificación de la implementación y cumplimiento de controles técnicos.

k. Verificación de limitaciones para la implementación de controles.

l. Verificación de indicadores y métricas de seguridad de la información.

m. Inspección de Instalaciones.

n. Aplicación de encuesta para determinar cultura de ciberseguridad en el

personal de usuarios.

o. Obtención de resultados.

p. Elaboración de Informe final.

q. Envío del informe final a la Subsecretaría de Defensa Nacional.

5-8
F. CRITERIOS DE LA EVALUACIÓN
Cada organización (entidad o dependencia) evaluada será valorizada según su
efectividad en cada uno de los controles, de acuerdo con lo implementado según los
parámetros de la tabla a continuación:

EFECTIVIDAD DESCRIPCIÓN DEL HALLAZGO VALORACIÓN

No cumple, no se hace: carencia completa de
0% cualquier proceso/control reconocible, no se ha
reconocido que existe un problema a resolver NO
Se reconoce la importancia de esta práctica por lo CONFORMIDAD
que se desarrollan y documentan algunas MAYOR
10%
actividades y/o proceso alrededor de la misma. No
existen plantillas definidas a nivel corporativo.
Se desarrollan actividades y/o procesos, sin
NO
embargo, no han sido documentadas, ni hay
50% CONFORMIDAD
entrenamiento, ni comunicación formal de la misma.
MENOR
Se deja la responsabilidad a cada funcionario
Esta práctica se ha estandarizado, documentado y
90% ha sido difundida mediante entrenamiento: Toda la
institución participa en el proceso.
OPORTUNIDAD
Esta práctica se monitorea y mide su cumplimiento.
DE MEJORA
Se toman medidas cuando los procesos y/o
95%
actividades no están logrando su objetivo, requiere
mejoras.
Los procesos están bajo constante mejora (se han
100% redefinido al nivel de mejor practica). Existen CONFORME
evidencia de la mejora continua.

G. CRONOGRAMA TENTATIVO PARA EVALUACIÓN EN LOS DIFERENTES

NIVELES:

1. Cronograma para la primera fase

FECHA FECHA
ORD. UNIDAD RESPONSABLE
INICIO TERMINA
COMANDO CONJUNTO DE
1 COCIBER 01-03-023 03-03-023
LAS FUERZAS ARMADAS
2 FUERZA TERRESTRE COCIBER 21-03-023 25-03-023
3 FUERZA NAVAL COCIBER 18-04-023 22-04-023
4 FUERZA AÉREA COCIBER 09-05-023 13-05-023

2. Cronograma base dentro del que se enmarcará la segunda fase de acuerdo a la

planificación de cada unidad.

6-8
 ORD. UNIDAD RESPONSABLE INICIA TERMINA
1 IGM OSI-DTIC MIDENA JUN-23 JUL-23
2 INOCAR OSI-DTIC MIDENA AGO-23 SEP-23
3 ISSFA OSI-DTIC MIDENA OCT-23 NOV-23

H. EQUIPO PARA LA EVALUACIÓN

El COCIBER, a través del Grupo de Defensa, conformará un equipo para la
evaluación de seguridad de la información. El equipo estará conformado por 02 o 03
técnicos con conocimiento de la norma ISO 27000, seguridad informática,
estandarización en TI y procedimientos del OSI.

Con la orientación que se emita en la primera fase de la evaluación al Comando

Conjunto de las Fuerzas Armadas y a las Fuerzas, los OSI conformarán sus equipos
para las visitas a las unidades adscritas bajo los mismos criterios de selección.

I. NORMAS, ESTÁNDARES O POLÍTICAS RELACIONADAS

1. Esquema Gubernamental de Seguridad de la Información v2.0.

2. Norma ISO 27001.

J. DEROGATORIA
Este plan deroga a anteriores emitidos con relación al cumplimiento de
implementación.

K. VIGENCIA
El presente plan entra en vigencia a partir de la fecha de su legalización y de su
ejecución y cumplimiento deberán encargase a las entidades involucradas y sus
correspondientes autoridades.

L. VERSIÓN E HISTORIAL
1. Versión actual
El Plan de Auditoria se encuentra en su versión 1.0, expedida en la fecha
constante en el presente documento.

2. Versiones anteriores

FECHA FECHA DE REEMPLAZADA

VER RESPONSABLE
EXPEDICIÓN DEROGACIÓN POR VERSIÓN

7-8
 Quito D.M, 07 de diciembre de 2022

Firmado electrónicamente por:

JORGE SANTIAGO
ALEJANDRO ALMEIDA
CORDOBA

Jorge Santiago Almeida Córdoba

General de Brigada
SUBSECRETARIO DE DEFENSA NACIONAL

8-8