POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN UNIVERSIDAD NACIONAL DE CHIMBORAZO

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN UNIVERSIDAD NACIONAL DE CHIMBORAZO

 

¿Qué es esta política de seguridad de la información?

Esta política establece las reglas para proteger los activos de información de la UNACH, es decir, la información institucional y todos los recursos que la soportan.

Forma parte del Sistema de Gestión de Seguridad de la Información (SGSI), el cual es el conjunto de elementos mediante los cuales la universidad gestiona los riesgos y protege sus activos de información de forma organizada y continua.

Este sistema se basa en un enfoque de mejora continua (ciclo PHVA: Planificar, Hacer, Verificar y Actuar), lo que permite que la seguridad evolucione frente a nuevos riesgos.

El SGSI está conformado por elementos como:

  • Políticas: Son las reglas generales que todos deben seguir.
  • Procedimientos: Son los pasos que se siguen para hacer las cosas correctamente.
  • Roles y responsabilidades: Definen quién hace qué dentro de la seguridad de la información.
  • Controles de seguridad: Son las medidas que se aplican para proteger la información.
  • Gestión de riesgos: Es identificar qué puede salir mal y tomar acciones para evitarlo.
  • Mejora continua: Es revisar y mejorar constantemente la seguridad.
  • Monitoreo y evaluación: Es verificar que todo funcione correctamente.

¿Para qué sirve esta política?

Esta política permite:

  • Proteger los activos de información
  • Prevenir riesgos
  • Responder a incidentes
  • Garantizar servicios institucionales confiables

Además, contribuye al cumplimiento de:

  • La Ley Orgánica de Protección de Datos Personales
  • El Esquema Gubernamental de Seguridad de la Información del Ecuador, establecido mediante el Acuerdo Nro. MINTEL-MINTEL-2024-003
  • Normas internacionales como ISO/IEC 27001:2022

¿Qué protege esta política?

Protege los activos de información de la UNACH, en todos los procesos académicos y administrativos.

Es decir, protege tanto la información como los sistemas, infraestructura, personas y recursos que permiten su uso.

¿Qué son los activos de información?

Son todos los elementos que tienen valor para la universidad.

Información (activo principal)

Ejemplos en la UNACH:

  • Expedientes académicos y notas.
  • Actividades y evaluaciones en plataformas académicas.
  • Información académica registrada en sistemas institucionales.
  • Datos personales de estudiantes, docentes, funcionarios.
  • Informes de investigación y producción intelectual.
  • Resoluciones, memorandos y documentos institucionales.

Activos de soporte

Son los que permiten que la información exista y funcione:

  • Sistemas institucionales como SICOA, SIGEA, SIGI, etc,
  • Bases de datos.
  • Equipos tecnológicos y servidores.
  • Redes institucionales.
  • Archivos físicos (expedientes, actas, proyectos).
  • Software institucional.
  • Recursos digitales (MOOC, aulas virtuales, videoconferencias)
  • Personas (usuarios que gestionan la información)

Sin estos activos, la información no podría crearse, almacenarse ni usarse.

¿Por qué es importante protegerlos?

Porque los activos de información permiten que la universidad funcione correctamente.

Si no se protegen, pueden afectar el trabajo diario, los servicios institucionales y la confianza en la universidad.

Además, si estos se ven comprometidos, pueden generar impactos legales, económicos y reputacionales para la UNACH.

¿Qué busca la UNACH?

Garantizar que los activos de información sean:

  • Confidenciales → solo acceden personas autorizadas
  • Íntegros → la información es correcta y confiable
  •  Disponibles → accesibles cuando se necesitan
  1. ¿A quién aplica y qué responsabilidades tengo?

Incluye estudiantes, docentes, personal administrativo, autoridades, proveedores y terceros que accedan a información institucional.

 Tus responsabilidades:

  • Usar correctamente la información institucional
  • Proteger accesos (usuarios y contraseñas)
  • Cuidar equipos y sistemas
  • Usar solo software autorizado
  • Reportar incidentes relevantes
  • Cumplir políticas, procedimientos y lineamientos del SGSI
  • Participar en procesos de capacitación y concienciación en seguridad de la información

 No debes:

  • Compartir credenciales institucionales
  • Manipular información sin autorización
  • Enviar información sensible sin control
  • Instalar software no autorizado
  • Utilizar la información institucional para fines personales o no autorizados

Estas acciones ayudan a evitar riesgos como pérdida de información o accesos no autorizados.

¿Qué es un incidente de seguridad?

Es cualquier situación que afecta o puede afectar a los activos de información.

 Ejemplos reales en la UNACH:

  • Acceso no autorizado a sistemas institucionales
  • Modificación indebida de notas o registros académicos
  • Pérdida de archivos académicos
  • Envío incorrecto de datos personales
  • Correos falsos solicitando credenciales
  • Fallas en plataformas virtuales o aulas en línea
  • Pérdida de equipos con información institucional
  • Exposición de información de investigaciones

¿Qué debes hacer?

Reporta incidentes de seguridad de la información a la dirección de correo  incidentes.sgsi@unach.edu.ec

 Reporta cuando:

  • Exista riesgo para la información institucional.
  • Detectes accesos sospechosos o uso indebido de cuentas.
  • Ocurra pérdida, filtración o exposición de datos sensibles.
  • Se modifique información sin autorización.
  • Los sistemas institucionales fallen y no te permitan acceder o usar la información.

 No reportes aquí:

  • Problemas de acceso (ej. contraseña olvidada).
  • Fallas técnicas comunes.
  • Problemas de equipos personales.
  • Consultas generales o trámites.

 Estos casos deben gestionarse con las unidades correspondientes.

¿Quién protege los activos de información?

La seguridad es compartida:

  • Alta Dirección (Rectorado)

Toma decisiones estratégicas, aprueba y respalda la implementación del SGSI, asegurando recursos y liderazgo institucional.

  • Comité de Seguridad de la Información, Protección de Datos Personales y Tecnologías de la Información y Comunicaciones

Define lineamientos, supervisa la implementación del SGSI y realiza seguimiento a la gestión de riesgos, incidentes de seguridad y cumplimiento normativo.

  • Oficial de Seguridad de la Información

Coordina, implementa, monitorea y asesora la gestión del SGSI, asegurando su cumplimiento institucional.

  • Dirección de Tecnologías de la Información y Comunicación (TIC)
    Administra, implementa y mantiene los controles técnicos de seguridad sobre la infraestructura, sistemas y servicios tecnológicos.
  • Usuarios (todos)

Utilizan adecuadamente los activos de información, cumplen las políticas del SGSI y reportan incidentes de seguridad.

 

¿Qué pasa si no cumplo?

Dependiendo de la gravedad, puede implicar sanciones disciplinarias, responsabilidades legales y afectaciones a terceros.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL SGSI.