Poltica de

Seguridad Informtica
POLTICAS DE SEGURIDAD INFORMTICA
PERSONAS
Los funcionarios y la seuri!a! infor"#$ica
La responsabilidad por la seguridad de la informacin no slo corresponde a las reas de
seguridad informtica, sino que es una obligacin de cada funcionario.
%&' C(!ios !e i!en$ificaci(n y cla)es
1.1 Los mecanismos de acceso que les sean otorgados a los funcionarios son
responsabilidad exclusiva de cada uno de ellos no deben ser divulgados a ninguna
persona, a menos que exista un requerimiento legal o medie una procedimiento de
custodia de llaves. !e acuerdo con lo anterior, los usuarios no deben obtener las claves u
otros mecanismos de acceso de otros usuarios que pueda permitirles un acceso indebido.
1." Los usuarios son responsables de todas las actividades llevadas a cabo con su
cdigo de usuario clave personal.
*& Con$rol !e la Infor"aci(n
".1 Los usuarios deben informar inmediatamente al rea que corresponda dentro de la
universidad toda vulnerabilidad encontrada en los sistemas, aparicin de virus o
programas sospec#osos e intentos de intromisin no deben distribuir este tipo
de informacin interna o externamente.
"." Los usuarios no deben instalar soft$are en sus computadores o en servidores sin las
debidas autori%aciones.
".& Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar
los computadores redes de la universidad en busca de arc#ivos de otros sin su
autori%acin o introducir intencionalmente soft$are dise'ado para causar da'o o
impedir el normal funcionamiento de los sistemas.
".( Los funcionarios no deben suministrar cualquier informacin de la entidad a ning)n
ente externo sin las autori%aciones respectivas. *sto inclue los controles del sistema de
informacin su respectiva implementacin.
".+ Los funcionarios no deben destruir, copiar o distribuir los arc#ivos de la universidad
sin los permisos respectivos.
"., -odo funcionario que utilice los recursos de los sistemas tiene la responsabilidad de
velar por la integridad, confidencialidad, disponibilidad confiabilidad de la
informacin que mane.e, especialmente si dic#a informacin #a sido clasificada como
crtica.
+& O$ros usos
&.1 Los computadores, sistemas otros equipos deben usarse slo para las actividades
propias de la entidad, por lo tanto los usuarios no deben usar sus equipos para asuntos
personales a menos que exista una autori%acin respectiva que aval)e el riesgo
informtico de tal labor.
&." La universidad debe tener definido un cdigo de /tica para la seguridad informtica, el
cual debe incluir tpicos relacionados con la seguridad informtica de datos.
SOFT,ARE
Los empleados con funciones responsabilidades para con el soft$are institucional
deben seguir los siguientes lineamientos para proteger este activo la informacin que a
trav/s de /l se mane.e.
%& A!"inis$raci(n !el Sof$-are
1.1 La universidad debe contar en todo momento con un inventario actuali%ado del
soft$are de su propiedad, el comprado a terceros o desarrollado internamente, el
adquirido ba.o licenciamiento, el entregado el recibido en comodato. Las licencias se
almacenarn ba.o los adecuados niveles de seguridad e incluidas en un sistema de
administracin, efectuando continuos muestreos para garanti%ar la consistencia de la
informacin all almacenada. Igualmente, todo el soft$are la documentacin del
mismo que posea la universidad incluirn avisos de derec#os de autor propiedad
intelectual.
1." -odas las aplicaciones se clasificarn en una de las siguientes categoras0 1isin
2rtica, Prioritaria 3equerida. Para las de misin crtica prioritaria deber
permanecer una copia actuali%ada su documentacin t/cnica respectiva, como
mnimo en un sitio alterno seguro de custodia.
1.& Los ambientes de desarrollo de sistemas, pruebas produccin deben permanecer
separados para su adecuada administracin, operacin, control seguridad. Los
programas que se encuentren en el ambiente de produccin de la universidad, se
modificarn )nicamente por el personal autori%ado, de acuerdo con los
procedimientos internos establecidos en todos los casos, se considerarn planes
de contingencia recuperacin.
*& A!.uisici(n !el Sof$-are
".1 *l soft$are contar con acceso controlado que permita al propietario del recurso
restringir el acceso al mismo. *l soft$are proteger los ob.etos para que los procesos
4o los usuarios no los puedan acceder sin los debidos permisos. 2ada usuario se
identificar por medio de un )nico cdigo de identificacin de usuario clave, antes
de que se le permita el acceso al sistema.
+& Para"e$ri/aci(n
&.1 2on el propsito de asegurar la integridad de la informacin, la funcin de
Parametri%acin del soft$are estar a cargo de un equipo interdisciplinario. Para el
caso de aplicaciones de
misin crtica prioritaria, el grupo interdisciplinario representar a los diferentes
usuarios e incluir al proveedor. Para el paso del soft$are al ambiente de pruebas, el
documento final de Parametri%acin del soft$are contar previamente con las
aprobaciones correspondientes al interior de la 5niversidad.
0& Desarrollo !e Sof$-are
(.1 La universidad deber tener una metodologa formal para el desarrollo de soft$are de
los sistemas de informacin de misin crtica prioritaria, desarrollos rpidos del
mismo las actividades de mantenimiento, las cuales cumplirn con las polticas,
normas, procedimientos, controles otras convenciones estndares aplicables en el
desarrollo de sistemas. Los controles desarrollados internamente debern ser como
mnimo el plan de cuentas, el plan de auditora el cierre de puertas traseras.
6dicionalmente, toda solicitud de modificacin al soft$are deber contar con estudios
de factibilidad de viabilidad al igual que las autori%aciones respectivas dentro de la
universidad.
(." 2on el propsito de garanti%ar integridad confidencialidad de la informacin que
administrar el soft$are desarrollado antes del paso a pruebas, se debern e.ecutar
las pruebas intrnsecas al desarrollo a la documentacin t/cnica respectiva. Para
todo desarrollo de soft$are se debern utili%ar #erramientas, de las cuales se tengan
certe%a que su comportamiento es seguro confiable. Solamente las funciones
descritas en el documento aprobado de especificaciones de la solucin tecnolgica
podrn ser desarrolladas
(.& Los programadores de soft$are no debern conocer las claves utili%adas en
ambientes de produccin.
(.( Los desarrollos 4o modificaciones #ec#os a los sistemas de aplicacin no debern
trasladarse al ambiente de produccin si no se cuenta primero con la documentacin
de entrenamiento, operacin de seguridad adecuados. La suficiencia de este
material deber ser determinada por los usuarios responsables en la universidad.
1& Prue2as !e Sof$-are
+.1 5n equipo especiali%ado deber #acer las pruebas en representacin de los usuarios
finales. *l rea de desarrollo de sistemas deber entregar el soft$are desarrollado
con cdigos fuentes al rea responsable de e.ecutar las pruebas, el cual deber ser
revisado para encontrar
cdigos mal intencionado debilidades de seguridad utili%ando preferiblemente
#erramientas automticas, para luego ser compilado e iniciar las pruebas
correspondientes.
+." Los tipos de pruebas debern ser previamente establecidos. Para garanti%ar la
integridad de la informacin en produccin /stas debern ser debidamente
planeadas, e.ecutadas, documentadas controlados sus resultados, con el fin de
garanti%ar la integridad de la informacin en produccin. 6dems, el ambiente de
pruebas deber ser lo ms id/ntico, en su configuracin, al ambiente real de
produccin.
+.& Las pruebas sobre el soft$are desarrollado tanto interna como externamente debern
contemplar aspectos funcionales, de seguridad t/cnicos. 6dicionalmente, se incluir
una revisin ex#austiva a la documentacin mnima requerida, as como la revisin de
los procesos de retorno a la versin anterior. *n caso que se requirieran las claves de
produccin para e.ecutar pruebas, su insercin mantenimiento se deber efectuar
de manera segura. Se deber poseer un cronograma para la e.ecucin de las
pruebas con el fin de cumplir con los compromisos institucionales acordados. 7ste
podr verse afectado en su calendari%acin por aquellos eventos en que se tengan
que atender desarrollos rpidos )nicamente por exigencias mandatorias de entes
superiores.
3& I"4lan$aci(n !el Sof$-are
,.1 Para implantar un soft$are mediar una autori%acin por escrito del responsable para
tal fin. Las caractersticas que son innecesarias en el ambiente informtico se
identificarn desactivarn en el momento de la instalacin del soft$are.
,." 6ntes de implementar el soft$are en produccin se verificar que se #aa reali%ado la
divulgacin entrega de la documentacin, la capacitacin al personal involucrado,
su licenciamiento los a.ustes de parmetros en el ambiente de produccin. !eber
existir un cronograma de puesta en produccin con el fin de minimi%ar el impacto del
mismo.
,.& Los mdulos e.ecutables nunca debern ser trasladados directamente de las libreras
de pruebas a las libreras de produccin sin que previamente sean compilados por el
rea asignada para tal efecto, que en ning)n momento deber ser el rea de
desarrollo ni la de produccin.
,.( Los programas en el ambiente de produccin sern modificados )nicamente por
personal autori%ado cuando se requiera por fuer%a maor de acuerdo con las
normas institucionales establecidas.
5& Man$eni"ien$o !el Sof$-are
8.1 *l rea de desarrollos de sistemas no #ar cambios al soft$are de produccin sin las
debidas autori%aciones por escrito sin cumplir con los procedimientos establecidos.
6 su ve%, se contar con un procedimiento de control de cambios que garantice que
slo se realicen las modificaciones autori%adas.
8." La documentacin de todos los cambios #ec#os al soft$are se preparar
simultneamente con el proceso de cambio. Se deber considerar, adems, que
cuando un tercero efect)e a.uste al soft$are, /ste deber firmar un acuerdo de no9
divulgacin utili%acin no autori%ada del mismo.
8.& Para cada mantenimiento a la versin del soft$are de misin crtica prioritaria se
actuali%ar el depositado en custodia en el sitio alterno el respaldado en la
institucin. *ste soft$are su documentacin se verificar certificar su
actuali%acin.
DATOS
Los funcionarios de la universidad son responsables de la informacin que mane.an
debern seguir los siguientes lineamientos para protegerla evitar p/rdidas, accesos no
autori%ados utili%acin indebida de la misma.
%& Clasificaci(n !e la Infor"aci(n
1.1-odos los datos de propiedad de 5:I622 se deben clasificar dentro de las
siguientes categoras para los datos sensibles0 S*23*-;, 2;:<I!*:2I6L,
P3I=6!;, para los datos no sensibles la categora es P>?LI2;. Para
identificar la naturale%a de la informacin las personas autori%adas para
accesarla se deben utili%ar prefi.os como indicadores generales tales como0
@<inancieroA, @6dministrativoA, @2omercialA, @BurdicoA, @-ecnolgicoA. -oda
informacin secreta, confidencial privada debe etiquetarse seg)n las normas de
5:I622, todos los datos que se divulguen por cualquier medio deben mostrar
la clasificacin de sensibilidad de la informacin.
1."2uando se consolidad informacin con varias clasificaciones de sensibilidad, los
controles usados deben proteger la informacin ms sensible se debe clasificar
con el mximo nivel de restriccin que contenga la misma.
1.&La informacin que se clasifica dentro de las categoras de sensibilidad debe
identificarse con la marca correspondiente se debe indicar la fec#a en que de.a
de ser sensible, esto aplica para la informacin que se reclasifica tanto en un nivel
inferior como en un nivel superior de sensibilidad.
1.(La responsabilidad para definir la clasificacin de la informacin debe ser tanto del
due'o de la informacin como del rea encargada de la seguridad informtica en
5:I622.
1.+La eliminacin de la informacin debe seguir procedimientos seguros
debidamente aprobados por el responsable de la seguridad informtica de
datos en la entidad.
* Al"acena"ien$o !e la Infor"aci(n
*&% Al"acena"ien$o Masi)o y Res4al!o !e Infor"aci(n
".1.1 -oda informacin secreta debe estar encriptada, a sea que se encuentre
al interior de 5:I622 o externamente, en cualquier medio de
almacenamiento, transporte o transmisin.
".1." -oda informacin sensible debe tener un proceso peridico de respaldo,
tener asignado un perodo de retencin determinado, la fec#a de la )ltima
modificacin la fec#a en que de.a de ser sensible o se degrada. Sin
embargo, la informacin no se debe guardar indefinidamente por lo cual
se debe determinar un perodo mximo de retencin para el caso en que
no se #aa especificado este tiempo.
".1.& La informacin clasificada como sensible Csecreta, confidencial o privadaD
debe tener un respaldo, adems debe tener copias recientes completas en
sitio externo a 5:I622, en un lugar le.ano de donde reside la informacin
origen.
".1.( -odos los medios fsicos donde la informacin de valor, sensitiva crtica
sea almacenada por perodos maores a seis meses C,D, no deben estar
su.etos a una rpida degradacin o deterioro.
".1.+ Los respaldos de informacin de valor o sensible debe tener un proceso
peridico de validacin con el fin de garanti%ar que no #a sufrido ning)n
deterioro que se podr utili%ar en el momento en que se necesite.
".1., -oda la informacin contable, de impuestos de tipo legal debe ser
conservada de acuerdo con las normas lees vigentes.
*&* Al"acena"ien$o en for"a i"4resa o !ocu"en$os en 4a4el
".".1 La remisin de informacin sensible tanto por correo interno como externo
debe cumplir con los procedimientos establecidos de manera que se
realice en forma segura.
"."." Para todos los mensa.es remitidos en formato libre de texto que contengan
informacin sensible para el negocio debe numerarse cada lnea los
documentos oficiales de la entidad que se realicen a mano deben ser
escritos con tinta.
".".& -odas las copias de documentos secretos deben ser numeradas
individualmente con un n)mero secuencial para que las personas
responsables puedan locali%ar rpidamente los documentos e identificar
alg)n faltante de la misma.
+ A!"inis$raci(n !e la Infor"aci(n
&.1 2ualquier tipo de informacin interna de la entidad do debe ser vendida,
transferida o intercambiada con terceros para ning)n propsito diferente al del
negocio se debe cumplir con los procedimientos de autori%acin internos para
los casos en que se requiera.
&." -odos los derec#os de propiedad intelectual de los productos desarrollados o
modificados por los empleados de la institucin, durante el tiempo que dure su
relacin laboral, son de propiedad exclusiva de 5:I622.
&.& Los datos programas de 5:I622 deben ser modificados )nicamente por
personal autori%ado de acuerdo con los procedimientos establecidos, al igual que
el acceso a bodegas de informacin debe restringirse )nicamente a personal
autori%ado.
&.( 2uando la informacin sensible no se est utili%ando se debe guardar en los
sitios destinados para eso, los cuales deben contar con las debidas medidas de
seguridad que garanticen su confidencialidad e integridad.
&.+ *n cualquier momento, el propietario de la informacin con la participacin del
responsable de la seguridad informtica de datos puede reclasificar el nivel de
sensibilidad inicialmente aplicado a la informacin.
&., *l acceso a la informacin secreta se debe otorgar )nicamente a personas
especficas.
&.8 -oda divulgacin de informacin secreta, confidencial o privada a terceras
personas debe estar acompa'ada por un contrato que describa explcitamente
qu/ informacin es restringida cmo puede o no ser usada.
&.E -oda la informacin de la organi%acin debe contemplar las caractersticas de
Integridad, 2onfidencialidad, !isponibilidad, 6uditabilidad, *fectividad, *ficiencia,
2umplimiento 2onfiabilidad.
&.F -odo soft$are que comprometa la seguridad del sistema se custodiar
administrar )nicamente por personal autori%ado.
&.1G La reali%acin de copias adicionales de informacin sensible debe cumplir
con los procedimientos de seguridad establecidos para tal fin.
&.11 La informacin de 5:I622 no debe ser divulgada sin contar con los
permisos correspondientes, adems, ning)n empleado, contratista o consultor
debe tomarla cuando se retire de 5:I622.
&.1" -odos los medios de almacenamiento utili%ados en el proceso de
construccin, asignacin, distribucin o encriptacin se deben someter a un
proceso de eliminacin inmediatamente despu/s de ser usados.
&.1& -oda la informacin #istrica almacenada debe contar con los medios,
procesos programas capaces de manipularla sin inconvenientes, esto teniendo
en cuenta la reestructuracin que sufren las aplicaciones los datos a trav/s del
tiempo.
0 6ali!aciones7 con$roles y "ane8o !e errores
(.1Para reducir la probabilidad de ingreso errneo de datos de alta sensibilidad, todos
los procedimientos de ingreso de informacin deben contener controles de
validacin.
(."Se deben tener procedimientos de control validaciones para las transacciones
rec#a%adas o pendientes de procesar, adems de tiempos determinados para dar
la solucin tomar las medidas correctivas.
(.&-odas las transacciones que ingresan a un sistema de produccin computari%ado,
deben ser su.etos a un c#equeo ra%onable, c#equeos de edicin 4o validaciones
de control.
(.(-odos los errores cometidos por los funcionarios de 5niacc que son detectados
por los usuarios deben cumplir con un proceso de investigacin de acuerdo con
los procedimientos tiempos establecidos.
POLTICA DE 9ARD,ARE
La administracin, mantenimiento, moderni%acin adquisicin de equipos
computacionales de telecomunicaciones debe adoptar los siguientes criterios
para proteger la integridad t/cnica de la institucin.
%& Ca"2ios al 9ar!-are
1.1 Los equipos computacionales de 5:I622 no deben ser alterados ni
me.orados Ccambios de procesador, memoria o tar.etasD sin el
consentimiento, evaluacin t/cnica autori%acin del rea responsable
CSoporte 2omputacionalD.
1." Los funcionarios deben reportar a los entes pertinentes de 5niacc sobre
da'os p/rdida del equipo que tengan a su cuidado sea propiedad de
5niacc. La intervencin directa para reparar el equipo debe estar
expresamente pro#ibida. 5niacc debe proporcionar personal interno o
externo para la solucin del problema reportado.
1.& -odos los equipos de la entidad deben estar relacionados en un
inventario que inclua la informacin de sus caractersticas,
configuracin ubicacin.
1.( -odo el #ard$are que adquiera la universidad debe conseguirse a trav/s
de canales de compra estndares.
1.+ Para todos los equipos sistemas de comunicacin utili%ados en
procesos de produccin en la entidad, se debe aplicar un procedimiento
formal de control de cambios que garantice que slo se realicen los
cambios autori%ados. *ste procedimiento de control de cambios debe
incluir la documentacin del proceso con las respectivas propuestas
revisadas, la aprobacin de las reas correspondientes la manera como
el cambio fue reali%ado.
1., -odos los productos de #ard$are deben ser registrados por proveedor
contar con el respectivo contrato de mantenimiento.
1.8 Los equipos computacionales, sean estos P2, servidores, L6:, etc. no
deben moverse o reubicarse sin la aprobacin previa del 6dministrador o
Befe del rea involucrada.
* Acceso F:sico y L(ico
".1 6ntes de conectarlos a la red interna todos los servidores de Intranet de
5niacc deben ser autori%ados por el rea responsable del #ard$are.
"." -odos los computadores multiusuario los equipos de comunicaciones
deben estar ubicados en lugares asegurados para prevenir alteraciones
usos no autori%ados.
".& Las bibliotecas de cintas magn/ticas, discos documentos se deben
ubicar en reas restringidas en el !ata2enter en sitios alternos con
acceso )nicamente a personas autori%adas.
".( -odas las conexiones con los sistemas redes de la entidad deben ser
dirigidas a trav/s de dispositivos probados aprobados por la
organi%acin contar con mecanismos de autenticacin de usuario.
".+ Los equipos de computacin de 5niacc deben ser protegidos por
mecanismos de control aprobados por el rea de seguridad informtica
de datos.
"., Las direcciones internas, configuraciones e informacin relacionada
con el dise'o de los sistemas de comunicacin cmputo de 5niacc
deben ser restringidas.
".8 -odas las lneas que permitan el acceso a la red de comunicaciones o
sistemas multiusuario deben pasar a trav/s de un punto de control
adicional Cfire$allD antes de que la pantalla de login apare%ca en la
terminal del usuario.
+ Res4al!o y Con$inui!a! !el Neocio
&.1 La administracin debe proveer, mantener dar entrenamiento sobre los
sistemas de proteccin necesarios para asegurar la continuidad del
servicio en los sistemas de computacin crticos, tales como sistemas de
deteccin eliminacin de fuego, sistemas de potencia el/ctrica
suplementarios sistemas de aire acondicionado, entre otros.
&." Los equipos del !ata2enter se deben equipar con unidades
suplementarias de energa el/ctrica C5PS Hrupo *lectrgenoD.
&.& *l dise'o de la red de comunicaciones debe estar de tal forma que se
evite tener un punto crtico de falla, como un centro )nico que cause la
cada de todos los servicios.
&.( Los bacIups de los sistemas de computacin redes deben ser
almacenados en una %ona de fuego diferente de donde reside la
informacin original. Las %onas de fuego varan de edificio a edificio son
definidas por el rea de seguridad de 5niacc.
&.+ 6 todo equipo de cmputo, comunicaciones dems equipos de soporte
debe reali%rsele un mantenimiento preventivo peridico, de tal forma
que el riesgo a fallas se mantenga en una probabilidad de ocurrencia ba.a.
&., Los planes de contingencia recuperacin de equipos deben ser
probados regularmente con el fin de asegurar que el plan sea relevante,
efectivo, prctico factible de reali%ar. 2ada prueba debe documentarse
sus resultados las acciones de correccin deben comunicarse a la alta
direccin.
0 O$ros
(.1 :ing)n equipo porttil de computacin debe registrarse como equipa.e de
via.e. *stos deben llevarse como equipa.e de mano.
(." Los equipos porttiles de computacin que contengan informacin
sensible deben utili%ar soft$are de encriptacin para proteger la
informacin.
(.& -odo equipo de cmputo de comunicaciones de 5niacc debe tener un
n)mero Clgico fsicoD de identificacin permanente grabado en el
equipo, adems, los inventarios fsicos se deben reali%ar en forma
peridica, regular eficiente.
(.( -odo equipo porttil debe tener !eclaracin de 3esponsabilidad, la cual
inclua instrucciones de mane.o de informacin acato de normas
internas de seguridad para el caso de robo o p/rdida.
POLITICA DE INSTALACIONES FISICAS
-odos los funcionarios de 5niacc debern seguir los siguientes lineamientos de
seguridad fsica con el fin de salvaguardar los recursos t/cnicos #umanos de 5niacc.
%& Con$rol !e acceso f:sico
5niacc debe contar con los mecanismos de control de acceso tales como puertas
de seguridad, sistemas de control inteligente sistemas de alarmas en las
dependencias que se consideren crticas.
1.1 Personas
1.1.1 Los visitantes deben permanecer escoltados portar un distintivo o
escarapela claramente visible, las personas que laboran para
5niacc que requieran ingresar a reas crticas tambi/n deben
permanecer escoltados. 6dems, tanto los visitantes como los
empleados mencionados )nicamente deben tener la informacin
recursos necesarios para el desarrollo de sus actividades.
1.1." *n el evento que los funcionarios de.en de tener vnculos laborales
con la entidad todos sus cdigos de acceso deben ser cambiados o
desactivados. 6dems, en caso de p/rdida de la escarapela o
tar.eta de acceso tambi/n deben desactivarse dic#os cdigos.
1.1.& Se debe mantener el registro de acceso del personal autori%ado
de ingresos con el ob.eto de facilitar procesos de investigacin.
1.1.( 2omo mecanismo de prevencin todos los empleados visitantes
no deben comer, fumar o beber en el !ata2enter o en instalaciones
con equipos tecnolgicos. 6l #acerlo estaran exponiendo los
equipos a da'os el/ctricos como a riesgos de contaminacin sobre
los dispositivos de almacenamiento.
1.1.+ Las reuniones de traba.o donde se discute mane.a informacin
sensible, se deben reali%ar en salas cerradas para que personas
a.enas a ella no tengan acceso.
1.1., -odos los sistemas de control de acceso deben ser monitoreados
permanentemente.
1." *quipos otros recursos
1.".1 -oda sede equipo informtico, a sean propios o de terceros, que
procesen informacin para 5niacc o posean un vnculo especial con
la misma, debe cumplir con todas las normas de seguridad fsica
que se emitan, con el fin de evitar el acceso a personas no
autori%adas a las reas restringidas donde se procese o mantenga
informacin secreta, confidencial privada, asegurar la proteccin
de los recursos de la plataforma tecnolgica su informacin.
1."." Los equipos computacionales no deben moverse o reubicarse sin la
aprobacin previa del 6dministrador del rea involucrada.
1.".& -odos los equipos de propiedad de 5niacc no deben retirarse de las
instalaciones fsicas por ning)n personal, a menos que est/
previamente autori%ado.
1.".( :o se debe proveer informacin sobre la ubicacin del !ata2enter o
de los lugares crticos, como mecanismo de seguridad.
* Pro$ecci(n f:sica !e la infor"aci(n
".1 -odas las personas que traba.en para la entidad 4o aquellas designadas por
las entidades para traba.ar en actividades particulares Cconsultores
contratistasD son responsables del adecuado uso de la informacin
suministrada para tal fin, por lo cual se debe velar por su integridad,
confidencialidad, disponibilidad auditabilidad. -oda informacin secreta,
confidencial privada debe estar provista de la seguridad necesaria por
quien la mane.a para evitar el uso indebido por parte de personal no
autori%ado.
"." 6l terminar la .ornada laboral, los escritorios reas de traba.o deben quedar
desprovistos de documentos sensibles que puedan comprometer los intereses
de 5niacc. *stos deben quedar ba.o llave en arc#ivadores, ca.as fuertes o
dems medios de almacenamiento fsico seguros.
".& Las reas donde se mane.a informacin confidencial o crtica deben contar
con cmaras que registren las actividades reali%adas por los funcionarios.
+ Pro$ecci(n con$ra !esas$res
!ado que cualquier tipo de desastre natural o accidental ocasionado por el
#ombre puede afectar el nivel de servicio la imagen de 5niacc, se deba
prever que los equipos de procesamiento comunicaciones se encuentren
locali%ados en reas aseguradas debidamente protegidas contra
inundaciones, robos, interferencias electromagn/ticas, fuego, #umo dems
amena%as que puedan interferir con el buen uso de los equipos la
continuidad del servicio.
0 Planes !e e"erencia7 con$inencia y recu4eraci(n
(.1 *s responsabilidad de la administracin de 5niacc el preparar, actuali%ar
peridicamente regularmente probar los planes de 2ontingencias,
*mergencias 3ecuperacin previendo la continuidad de los procesos crticos
para el negocio en el evento de presentarse una interrupcin o degradacin
del servicio.
(." La 6dministracin debe establecer, mantener probar peridicamente el
sistema de comunicacin que permita a los usuarios de la plataforma
tecnolgica notificar posibles intromisiones a los sistemas de seguridad, estos
incluen posibles infecciones por virus, intromisin de #acIers, divulgacin de
informacin no autori%ada debilidades del sistema de seguridad.
(.& *l Plan de 2ontingencia de 3ecuperacin debe permanecer documentado
actuali%ado de manera tal que sea de conocimiento general fcilmente
aplicable en el evento de la presencia de un desastre , permitiendo que los
recursos previstos se encuentren disponibles aseguren la continuidad de los
procesos de negocio, en un tiempo ra%onable para cada caso contemplando
como mnimo los riesgos ms probables de ocurrencia que afecten su
continuidad.
(.( *l mantenimiento del plan de 2ontingencias 3ecuperacin general debe
incluir entre otros un proceso estndar que integre los planes de contingencia
para computadores comunicaciones, as como tambi/n el inventario de
#ard$are, soft$are existente los procesos que corrern manualmente por un
perodo de tiempo.
POLITICA DE ADMINISTRACION DE SEGURIDAD INFORMTICA
%& Generali!a!es
1.1 *l rea de Seguridad Informtica debe definir, implementar, controlar J
mantener las polticas, normas, estndares, procedimientos, funciones
responsabilidades necesarias para preservar proteger la confidencialidad,
disponibilidad e integridad de la informacin de 5niacc donde /sta resida
Caplicaciones, bases de datos, sistemas operativos, redes, bacIups mediosD.
1." *l rea de Seguridad Informtica es la encargada de establecer, mantener
administrar una arquitectura de seguridad para 5niacc facilitar la
incorporacin de prcticas de seguridad de la informacin en todas las
dependencias.
1.& *l rea de seguridad Informtica debe estar ubicada organi%acionalmente de
manera que tenga autonoma e independencia frente a las dems reas de
tecnologa tales como soporte, dise'o desarrollo, entre otras.
1.( Promover que los planes estrat/gicos de operaciones de 5niacc est/n
alineados con las estrategias de seguridad de 5niacc.
1.+ *l rea de seguridad debe velar porque las excepciones a las polticas de
seguridad est/n autori%adas )nicamente por la !ireccin Superior, se debe
de.ar constancia de los riesgos que en forma consciente se estn asumiendo
el perodo de vigencia de la excepcin.
* Funciones !e Con$rol
".1 *stablecer e implementar un plan de Seguridad que permita controlar el
entorno lgico fsico de la informacin estrat/gica de 5niacc, teniendo en
cuenta criterios de confidencialidad, integridad, auditabilidad, disponibilidad,
autenticidad de la informacin.
"." Participar activamente en los proectos informticos de la entidad para
proveerlos de las seguridades adecuadas, gerenciando los de Seguridad
Informtica.
".& !efinir las directrices bsicas de Seguridad Informtica para la descripcin de
los diferentes requerimientos en la adquisicin de tecnologa C#ard$are
soft$areD en 5niacc, velar porque se realicen las pruebas de seguridad a
los Sistemas de Informacin.
".( Participar activamente en el equipo de traba.o de anlisis, implementacin
mantenimiento de los perfiles de usuario que interact)an con los Sistemas
;perativos, ?ases de !atos 6plicaciones, velar porque en produccin
)nicamente est/n los autori%ados vigentes.
".+ 2ontar con mecanismos de monitoreo con el fin de detectar oportunamente
procedimientos inseguros para los Sistemas ;peracionales, 6plicaciones,
!atos 3edes.
"., !esarrollar m/todos t/cnicas para monitorear efectivamente los sistemas de
seguridad de la informacin reportar peridicamente su efectividad a la
!ireccin de -I.
".8 !ireccionar, recomendar aconse.ar a todos los usuarios de los sistemas de
5niacc en cuanto a la seguridad de la informacin.
".E Interactuar con los organismos de control interno externo, apondolos en
su gestin administrativa de e.ecucin.
".F 6segurar que la organi%acin cuente con ambientes independientes de
!esarrollo, Pruebas, Produccin 2apacitacin.
".1G Haranti%ar que todos los mantenimientos a los sistemas de misin crtica
prioritaria est/n autori%ados, probados e implementados de acuerdo con los
requerimientos de los usuarios previamente validados por un grupo
especiali%ado que no comprometan la seguridad informtica de la
organi%acin. 6dems, que los sistemas de informacin queden correctamente
documentados se d/ la capacitacin a los usuarios finales.
".11 *l Krea de Seguridad Informtica es responsable por la revisin continua
de las Polticas de Seguridad Informtica por lo menos una ve% al a'o.
+ Co"i$; !e Seuri!a! Infor"#$ica
2onformar liderar un 2omit/ de Seguridad Informtica en el cual se sustente el Plan
de Seguridad Informtica a e.ecutar en 5niacc desarrollado por el rea. *ste comit/
debe anali%ar la administracin de problemas de seguridad se definan las
estrategias a implementar que permitan controlar el entorno lgico fsico de la
informacin estrat/gica de 5niacc.
0 So4or$e a In)es$iaciones
(.1 Soportar las investigaciones sobre violaciones a la seguridad de los sistemas
en apoo al rea de Seguridad no -ecnolgica C<sicaD presentar los
informes respectivos a la !ireccin Superior.
(." Investigar, documentar e informar a los propietarios de la informacin los
incidentes de seguridad tanto lgica como fsica.
(.& 3eali%ar seguimiento a las acciones disciplinarias legales asociadas con los
incidentes de seguridad investigadas.
1 Ela2oraci(n !el Ma4a !e Riesos
+.1 *fectuar estudios de anlisis de riesgos en Seguridad Informtica para
identificar oportunamente los eventos o situaciones de fallos en los accesos
en el mane.o de la informacin presentados en 5niacc, estableciendo planes
de
accin que incluan controles para contrarrestarlos reducir el riesgo a un
nivel aceptable.
3 Plan !e Con$inencia
,.1 Preparar, implementar mantener el Plan de 2ontingencia de 3ecuperacin
de desastres continuidad del negocio relacionados con tecnologa
informtica.
,." Liderar el proceso de pruebas que se debe e.ecutar peridicamente a los
Planes de 2ontingencia de 3ecuperacin.
5 Ca4aci$aci(n y En$rena"ien$o
8.1 *stablecer apoar a las reas encargadas en la e.ecucin de un plan de
2apacitacin continuo que permita actuali%ar a los funcionarios en aspectos
de seguridad informtica fortaleciendo la cultura sobre el tema.
8." !ar un entrenamiento adecuado a los usuarios, custodios usuarios due'os
de la informacin en cuanto a los requerimientos responsabilidades sobre la
seguridad de la informacin.
POLTICA DE SEGURIDAD INFORMTICA
CONTROL DE CAM<IOS = ME>ORAS
NI6EL
DE
RE6ISI?
SECCI?
N
=@
O
DESCRIPCI?N DE LA MODIFICACI?N
= ME>ORA
FEC9A
MODIFICACI
?N
A
%
2reaci
n
Bunio "GGF
A
*
A
+
A
0
A
1
Aprob

Aprob

Aprob