Politicas Seguridad Informatica

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 1 de 104
1.
SEGURIDAD LGICA 1.1. SEGURIDAD DEL SOFTWARE 1.1.1. SISTEMAS DE CONTROL DE ACCESO 1.1.1.1. ADMINISTRACIN DE CONTRASEAS 1.1.1.1.1. CONSTRUCCIN DE CONTRASEAS IDENTIFICACIN DE USUARIO Longitud de la contrasea
CDIGOS
DE
1.
Poltica: La Universidad Distrital debe tener en la longitud de las contraseas un mnimo de seis (6) caracteres y una longitud mxima de 255 caracteres. 2. Contraseas difciles de descifrar
Poltica: Los usuarios de la Universidad Distrital deben entender que todas las contraseas escogidas por el usuario para ingresar a los sistemas deben ser difciles de descifrar. En general, no se deben utilizar palabras de un diccionario, derivados del usuario-ID, series de caracteres comunes tales como 123456. As mismo, no se deben emplear detalles personales a menos que estn acompaadas por caracteres adicionales que no tengan ninguna relacin. Las contraseas escogidas por el usuario tampoco deben formar parte de una palabra. Por ejemplo, no se deben emplear nombres propios, sitios geogrficos, acrnimos comunes y jerga comn. 3. Prohibicin de utilizar contraseas cclicas
Poltica: Los usuarios de la Universidad Distrital no deben constituir contraseas compuestas por caracteres que no cambien o combinaciones con cierto nmero de caracteres que no cambian predeciblemente. Es decir, que no se deben utilizar caracteres que tpicamente cambian tal como el mes, un departamento, un proyecto o algn otro factor que fcilmente puede adivinarse (por ejemplo, X34JAN en Enero, X34FEB en Febrero y as sucesivamente. 4. Uso de contraseas repetidas
Poltica: Los usuarios de la Universidad Distrital no deben construir contraseas que sean idnticas o muy similares a contraseas utilizadas anteriormente. 5. Contraseas con caracteres alfabticos y no alfabticos.
Poltica: Los usuarios de la Universidad Distrital deben saber que todas las contraseas deben tener al menos un carcter alfabtico y uno no alfabtico; se consideran caracteres no alfabticos los nmeros y los signos de puntacin, de igual manera se pueden utilizar caracteres no impresos. 6. Contraseas con letras maysculas y minsculas
Poltica: Todas las contraseas escogidas por el usuario de la Universidad Distrital deben tener por lo menos un carcter alfabtico en minscula y otro en mayscula. Esto ayudar para que las contraseas sean ms difciles de descifrar por personas no autorizadas. 7. Contraseas generadas por el sistema
Red de datos UDNet Documento Interno de Trabajo
Pgina 1
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 2 de 104
Poltica: Si el usuario de la Universidad Distrital usa contraseas generadas por el sistemas, stas se deben generar teniendo como base el tiempo del reloj u alguna otra parte del sistema de procedencia impredecible que cambie frecuentemente. 8. Contraseas generadas por el sistema fcilmente pronunciables
Poltica: Los usuarios de la Universidad Distrital debe entender que todas las contraseas generadas por el sistema deben ser fcilmente pronunciables, esto con el fin de que el usuario pueda recordarlas ms fcilmente y no necesite escribirlas. 9. Almacenamiento de las contraseas generadas por el sistema
Poltica: Los usuarios de la Universidad Distrital sabrn que Cuando las contraseas o nmeros de identificacin personal (PINs) sean generados pro el sistema de computador, se deben emitir inmediatamente despus de su generacin. Adems, las contraseas y PINs no emitidos nunca de deben almacenar en los sistemas del computador. 10. Eliminacin de los medios utilizados en la generacin de las contraseas Poltica: Los usuarios de la Universidad Distrital sabrn que todos los medios de almacenamiento utilizados en el proceso de construccin, asignacin, distribucin o encripcin de contraseas o PINs se deben someter a un proceso de eliminacin (zeroizacin) inmediatamente despus de ser usados. Cuando las contraseas o PINs son generados por el sistema, es necesario borrar todo residuo de informacin que se haya usado en el proceso. Adicionalmente, las reas de la memoria del computador usadas en la generacin de contraseas o PINs deben eliminarse inmediatamente despus de usarlas. 11. Proteccin de los algoritmos que se utilizan en la generacin de las contraseas Poltica: Los funcionarios de la Universidad Distrital entendern que todo programa y archivo que contenga frmula, algoritmo u otras especificaciones que se utilicen para la generacin de las contraseas por medio del sistema de computacin debe estar controlado con las ms altas medidas de seguridad que ste proporcione. 12. Archivo histrico de contraseas Poltica: Los funcionarios de la Universidad Distrital entendern todo equipo multi-usuario debe tener un software local que mantenga un archivo histrico encriptado de las contraseas utilizadas por cada usuario, esto con el fin de prevenir que los usuarios vuelvan a utilizarlas. Dicho archivo debe contener por lo menos las veinte (20) ltimas contraseas por cada usuario. 1.1.1.1.2. DISEO DE INTERFACES DE CONTRASEAS DE USUARIO DEL SISTEMA 13. Visualizacin de contraseas Poltica: Los funcionarios de la Universidad Distrital entendern que las contraseas en pantalla o impresas no se deben presentar, esto con el fin de evitar que personas no autorizadas las puedan observar o recuperarlas.
Pgina 2
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 14. Cambio peridico obligatorio de la contrasea
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 3 de 104
Poltica: Los funcionarios de la Universidad Distrital entendern que el sistema debe obligar automticamente a que todos los usuarios cambien sus contraseas al menos una vez cada sesenta (60) das. 15. Cambio obligatorio de la contrasea al acceder por primera vez al sistema Poltica: Los funcionarios de la Universidad Distrital entendern que las contraseas inicialmente emitidas por un administrador de sistema deben ser validas solamente para la primera conexin del usuario, momento en el cual el usuario debe cambiar la contrasea antes de realizar cualquier otro trabajo. 16. Limite de intentos consecutivos infructuosos para ingresar la contrasea Poltica: Los funcionarios de la Universidad Distrital entendern que despus de cinco (5) intentos consecutivos e infructuosos de ingreso de la contrasea el sistema debe: (a) Suspender el acceso del usuario hasta que el administrador del sistema lo ponga a funcionar nuevamente y (b) Incapacitarlo temporalmente por no menos de tres minutos. 17. Proceso de identificacin personal ante el sistema Poltica: Los funcionarios de la Universidad Distrital entendern que en el momento en que el usuario va a ingresar a la red y/o al sistema del computador, se debe solicitar una combinacin de la identificacin (ID de usuario) y de una contrasea. 1.1.1.1.3. ALMACENAMIENTO, PROTECCIN Y RESPALDO DE LAS CONTRASEAS 18. Contraseas ilegibles en estaciones de trabajo externas Poltica: La Universidad Distrital entendern las contraseas fijas nunca deben estar en forma legible fuera de la entidad en estaciones de trabajo. 19. Proteccin de contraseas enviadas a travs de correo Poltica: La universidad Distrital define que si las contraseas se envan por correo regular o sistemas fsicos de distribucin similares, stas se deben enviar separadamente de los ID de de usuario. Estos correos no deben tener ninguna marca indicando la naturaleza del contenido. Tambin se deben ocultar dentro de un sobre en papel oscuro que no revele fcilmente su contenido. 20. Almacenamiento de contraseas en formato legible Poltica: La Universidad Distrital define que las contraseas no se deben almacenar en forma legible en archivos batch, manuscritos de log-in automticos, software de macros, terminales, computadores sin controles de acceso o en otros sitios donde personas no autorizadas puedan descubrirlas. 21. Encripcin de contraseas Poltica: La Universidad Distrital define que las contraseas siempre deben ser encriptadas cuando se almacenen por cualquier periodo de tiempo significativo o cuando sean transmitidas
Pgina 3
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 4 de 104
por las redes. Lo anterior evitar que sean descubiertas por interceptores de lneas telefnicas o telegrficas, personal tcnico que lea los sistemas de logs u otras partes no autorizadas. 22. Incorporacin de contraseas dentro del software Poltica: La Universidad Distrital precisa que las contraseas no se deben incorporar dentro de los programas de software, esto para que las contraseas se puedan cambiar en el momento que sea necesario. 23. Diseo de sistemas para evitar la recuperacin de las contraseas Poltica: La Universidad Distrital precisa que los computadores y sistemas de comunicacin deben ser diseados, probados y controlados de forma que se prevenga la recuperacin de las contraseas almacenadas, ya sea que aparezcan encriptadas o no. 24. Confianza del usuario para operar el sistema en el proceso de autenticacin Poltica: La Universidad Distrital precisa que los desarrolladores de sistemas de aplicacin deben confiar en los controles de acceso y las contraseas proporcionadas por el sistema para su operacin o por un paquete de control de acceso que lo enlace con el sistema operativo. Los desarrolladores de sistemas no deben construir otros sistemas separados para coleccionar contraseas o cdigos de identificacin de usuario; igualmente, no deben construir o instalar otros mecanismos para identificar o autenticar la identidad de los usuarios sin un permiso del administrador de seguridad de informacin corporativa o quien desempee sus funciones. 25. Control de acceso al sistema con contrasea individuales para cada usuario Poltica: La Universidad Distrital precisa que el sistema de control de acceso al computador y al sistema de comunicacin de debe realizar por medio de contraseas nicas para cada usuario, es decir que no se admite el acceso a archivos, base de datos, computadores y otros recursos del sistema por medio de contraseas compartidas. 26. Cambio de las contraseas proporcionados por el fabricante (Contraseas por defecto) Poltica: La Universidad Distrital precisa que todas las contraseas de fabrica proporcionadas por el fabricante se deben cambiar antes que la entidad utilice cualquier sistema de computacin o de comunicaciones para sus negocios. 1.1.1.1.4. CONTRASEA RELACIONADA CON LAS RESPONSABILIDADES DEL USUARIO 27. Utilizacin de contraseas diferentes cuando se tiene acceso a varios sistemas Poltica: La Universidad Distrital precisa que si un usuario tiene acceso a varios sistemas de informacin, se deben emplear contraseas diferentes para cada uno de los sistemas a los cuales tiene acceso. 28. Permisos para usar la misma contrasea en diferentes sistemas Poltica: La Universidad Distrital precisa que los usuarios deben abstenerse de utilizar el mismo cdigo o contrasea en mltiples sistemas de computacin de la entidad, a menos que el departamento de seguridad de informacin les haya informado por escrito que si lo hacen indebidamente comprometen la seguridad.
Pgina 4
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 5 de 104
29. Cambio de contrasea cuando se sospecha que ha sido descubierta Poltica: La Universidad Distrital precisa que todas las contraseas se deben cambiar tan pronto como se sospeche que han sido descubiertas o que podran conocerlas personas no autorizadas. 30. Cambios de la contrasea o cdigos claves despus del mantenimiento a un computador o sistema de informacin Poltica: La Universidad Distrital precisa que cuando un sistema del computador multi-usuario emplea contraseas o cdigos clave fijos como su mecanismo de control de acceso principal, stos deben cambiar inmediatamente finalice el mantenimiento. 31. Escribir las contraseas y dejarlas en donde otros pueden descubrirlas. Poltica: La Universidad Distrital precisa que no se deben escribir las contraseas y dejarlas en lugares donde personas no autorizadas puedan descubrirlas. 32. Escribir contraseas usando tcnicas secretas Poltica: La Universidad Distrital precisa que los usuarios no deben escribir sus contraseas a menos que: (a) ellos hayan realmente ocultado estas contraseas en un nmero de telfono o con otros caracteres aparentemente no relacionados, o (b) que ellos hayan usado un sistema de cdigo para ocultar la contrasea. 33. Prohibicin de contraseas compartidas Polticas: La Universidad Distrital precisa que no importa las circunstancias, las contraseas nunca deben ser compartidas o reveladas a nadie ms que al usuario autorizado. Hacerlo expone al usuario autorizado a responsabilizarse de acciones que otras personas hagan con la contrasea. Si los usuarios necesitan compartir informacin permanentemente del computador, ellos deben usar correo electrnico, directorios pblicos, en los servidores de red del rea local u otros mecanismos. 34. Usuarios responsables de todas las actividades involucrando su cdigo de identificacin de usuario Poltica: La Universidad Distrital precisa que los usuarios son responsables de todas las actividades llevadas a cabo con su cdigo de identificacin de usuario. Los cdigos de identificacin de usuario no pueden ser utilizados por nadie ms, sino por aquellos a quienes se les ha espedido. Los usuarios no deben permitir que otros realicen ninguna actividad con sus cdigos de identificacin de usuario. As mismo, se les prohbe a los usuarios que realicen cualquier actividad con cdigos de identificacin de usuario que pertenezcan a otros usuarios (exceptuando identificadores de usuario annimo). 1.1.1.1.5. CONTRASEAS RELACIONADAS RESPONSABILIDADES DEL ADMINISTRADOR 35. Cambio forzoso de todas las contraseas Poltica: La Universidad Distrital precisa que siempre que un sistema ha sido atendido por partes no autorizadas, los administradores del sistema deben cambiar inmediatamente cada contrasea CON LAS
Pgina 5
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 6 de 104
en el sistema. Incluso si sospechan de un arreglo se requiere que todas las contraseas se cambien inmediatamente. En cualquiera de las circunstancias, una versin verdadera del manejo del sistema y de todo el software relacionado con seguridad debe tambin volverse a cambiar. As mismo bajo ninguna de estas circunstancias, todos los cambios recientes al usuario y privilegios del sistema deben revisarse para modificaciones no autorizadas. 36. Acreditacin personal de identidad para obtener una contrasea. Poltica: La Universidad Distrital precisa que las contraseas nunca deben descubrirse por medio de lneas telefnicas. Para obtener una nueva contrasea o para cambiarla, un usuario debe presentarse en persona y acreditar la identificacin adecuada. 37. Cundo y cmo las contraseas pueden ser descubiertas por los administradores de seguridad Poltica: La Universidad Distrital precisa que los administradores de seguridad solamente pueden descubrir contraseas si una nueva identificacin de usuario es adscrita o si el usuario en cuestin ha olvidado o refundido una contrasea. Los administradores de seguridad no deben revelar una contrasea a menos que el usuario haya proporcionado primero dos muestras de evidencia definitiva sustentando su identidad. 1.1.1.2. PROCESO DE LOG-IN 38. Requerimiento de identificacin positiva para el uso del sistema Poltica: La Universidad Distrital precisa que todos los usuarios deben estar identificados positivamente antes de poder usar cualquier computador multi-usuario o recursos de sistemas de comunicacin. 39. Identificador de usuario y contrasea requerido para conectarse al computador de la red Poltica: La Universidad Distrital precisa que todos los usuarios deben tener su identidad verificada con un identificador de usuario y una contrasea o por otros medios que proporcionen una seguridad igual o mayor antes de permitirles usar computadores de la entidad conectados a la red. 40. Requerimientos de identificador de usuario nico y de contrasea Poltica: La Universidad Distrital precisa que todos los usuarios deben tener un identificador de usuario nico y una contrasea secreta. Este identificador de usuario y la contrasea secreta sern requeridos para tener acceso a los computadores multi-usuario de la entidad y las redes del computador. 41. Descubrimiento de Informacin de Log-in incorrecta Poltica: La Universidad Distrital precisa que cuando se haga el log-in dentro del computador de la entidad o a la informacin en sistemas de comunicaciones y es incorrecta alguna parte de la recuenta del log-in, al usuario no se le debe retroalimentar indicando la fuente del problema en forma especifica. En vez de esto, al usuario debe simplemente informrsele que el proceso de lon-in estuvo incorrecto. 42. Prohibicin contra cualquier retroalimentacin en respuesta a un log-in incorrecto
Pgina 6
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 7 de 104
Poltica: La Universidad Distrital precisa que cuando se haga el log-in a un computador de la entidad o la informacin en el sistema de comunicacin y es incorrecta alguna parte de la secuencia de log-in, el usuario no debe dar ninguna retroalimentacin indicando la fuente del problema. En lugar de esto, el sistema debe terminar la sesin o esperar la informacin de log-in correcta para entrarla. 43. Banderas (flags) de advertencia de seguridad en el sistema de acceso Poltica: La Universidad Distrital precisa que todo proceso de log-in para computadores multiusuario debe incluir una advertencia especial. Esta advertencia debe indicar: (a) el sistema es para ser usado solamente por usuarios autorizados y (b) el continuo uso del sistema por el usuario indica que el/ella es un usuario autorizado. 44. Revelacin de banderas de informacin en el sistema de Log-in Poltica: La Universidad Distrital precisa que todas las banderas de lon-in en la red conectada al sistema del computador de la entidad deben preguntar al usuario simplemente el log-in, proporcionando los indicadores cuando stos se necesiten. La informacin especifica acerca de la organizacin, el sistema de operacin del computador, la configuracin de la red, u otros asuntos internos no debe ser suministrada en la bandera del log-in hasta que el usuario haya proporcionado en forma adecuada un identificador de usuario y una contrasea. 45. Enunciar la bandera del lon-in de la red Poltica: La Universidad Distrital precisa que la siguiente advertencia debe usarse cuando los usuarios se conectan a las redes internas del computador de la entidad. Este sistema es solamente para uso de usuarios autorizados. Quienes usen este sistema de computador sin autorizacin, o excediendo su autoridad, estn sujetos a que todas sus actividades llevadas a cabo en ese sistema sean monitoreadas y grabadas por el personal del sistema. En el caso de monitorear individuos usando en forma inapropiada este sistema, o en caso del mantenimiento del sistema, las actividades de usuarios autorizados tambin pueden ser monitoreadas. Cualquiera que use este sistema accede expresamente a aceptar este monitoreo y se les advierte que si el monitoreo revela cualquier posible actividad criminal, el personal del sistema puede proporcionar a los oficiales que ejercen la ley dicha evidencia. 46. Observacin sobre el ltimo log-in con hora y fecha Poltica: La Universidad Distrital precisa que en el momento del log-in, se debe dar a cada usuario la informacin indicando la ltima hora y fecha del ltimo log-in. Esto permitir detectar fcilmente el uso no autorizado del sistema. 47. Prohibicin de sesiones simultneas mltiples en lnea Poltica: La Universidad Distrital precisa que a menos que se tenga un permiso especial concedido por el administrador del sistema, los sistemas del computador no deben permitir que ningn usuario maneje simultneamente sesiones mltiples cuando est en lnea. 48. Proceso automtico de log-off Poltica: La Universidad Distrital precisa que si no ha habido actividad en el terminal de un computador, la estacin de trabajo o microcomputadores (PC) durante diez (10) minutos, el sistema automticamente debe borrar la pantalla y suspender la sesin. El re-establecimiento de la sesin debe hacerse solamente despus de que el usuario haya proporcionado la contrasea.
Pgina 7
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 8 de 104
49. Abandonar los sistemas sensitivos sin ejecutar log-off Poltica: La Universidad Distrital precisa que si el sistema del computador al cual los usuarios estn conectados contiene informacin sensible o valiosa, stos no deben abandonar su microcomputador (PC), estacin de trabajo o terminal, sin hacer primero log-off. 50. Log-off de los computadores personales conectados a las redes Poltica: La Universidad Distrital precisa que si los computadores personales (PCs) estn conectados a una red, cuando no estn en uso deben siempre estar en log-off. 1.1.2. CONTROL DE PRIVILEGIOS 1.1.2.1. USO DE LOS SISTEMAS 51. No se deben almacenar juegos ni usar los sistemas del computador de la entidad para estas actividades Poltica: La Universidad Distrital precisa que no deben almacenarse ni usarse juegos en ninguno de los sistemas del computador de la entidad. 52. Uso personal del computador y sistemas de comunicacin Poltica: La Universidad Distrital precisa que el computador de la entidad y los sistemas de comunicacin deben usarse solamente para asuntos de negocios. Se permite su uso para fines personal nicamente con permiso especial del administrador del departamento. 53. Permisos para uso personal ocasional de los sistemas de la entidad Poltica: La Universidad Distrital precisa que los sistemas de informacin de la entidad deben usarse solamente para trabajos relacionados con actividades de la misma. El uso personal ocasional puede permitirse si: (a) no se consume ms que una cantidad mnima de los recursos que podran, en otra forma, usarse para asuntos del negocio, (b) no interfiere con la productividad del trabajador, y (c) no se apropia de ningn tipo de actividad comercial, se podra permitir el uso del sistema por correo electrnico, por ejemplo, enviar un mensaje para programar un almuerzo. 54. Prohibicin contra los usos no aprobados del sistema Poltica: La Universidad Distrital precisa que los suscriptores de los servicios de computacin y comunicacin de la entidad no deben usar estas facilidades para asuntos comerciales personales venta de productos o bien para comprometerse en otras actividades comerciales que no sean aquellas expresamente permitidas por la direccin de la entidad. 55. Prohibicin del uso de Internet con fines personales. Poltica: La Universidad Distrital precisa que el uso de los sistemas de informacin de la entidad para tener acceso a Internet con fines personales no ser tolerado y puede considerarse causa para una accin disciplinaria e inclusive la destitucin. Todos los usuarios de Internet deben estar enterados que estas pruebas dar lugar a auditoria detallada del log que refleje ambas transmisiones, en el lmite y fuera del lmite. 56. Uso personal de las facilidades de Internet de la entidad solamente en las horas libres
Pgina 8
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 9 de 104
Poltica: La Universidad Distrital precisa que la administracin de la entidad estimula a los empleados a que exploren en Internet, pero si esta exploracin es para fines personales, debe hacerse en sus horas libres y no en horas de trabajo de la entidad. As mismo, noticias, grupos de discusin, juegos y otras actividades que definitivamente no estn dentro de sus obligaciones laborales deben hacerse en las horas libres del empleado y no en las horas de trabajo. 57. Lmite en el uso del tiempo libre y actividades prohibidas Poltica: La Universidad Distrital precisa que el uso circunstancial del computador de la entidad y de los sistemas de comunicacin es permitido mientras que su uso sea restringido a las horas libres de cada usuario. Este uso personal no debe incluir trabajo adicional o la bsqueda de otro puesto, participacin en actividades de juego por dinero o comprometerse en actividades polticas o de caridad. 58. Conceder cdigos de identificacin de usuarios a extraos Poltica: La Universidad Distrital precisa que no se puede conceder o dar cierto tipo de prerrogativas con los cdigos de identificacin de usuarios a individuos que no sean empleados, contratistas o consultores para usar los computadores de la entidad o de los sistemas de comunicacin, a menos que primero se obtenga la aprobacin por escrito del departamento de seguridad de informacin. 59. Las prerrogativas de acceso a los sistemas de informacin se terminan cuando el trabajador se retira de la entidad. Poltica: La Universidad Distrital precisa que todas las prerrogativas para el uso de los sistemas de informacin de la entidad deben terminar inmediatamente despus de que el trabajador cesa de prestar sus servicios a la entidad. 60. Responsabilidad por dao a informacin y a programas por negligencia Poltica: La Universidad Distrital precisa que la entidad usa controles de acceso y otras medidas de seguridad para proteger la veracidad, integridad y disponibilidad de la informacin manejada por computadores y sistemas de informacin. Para mantener estos objetivos la administracin debe tener la autoridad para: a. Restringir o derogar cualquiera de los privilegios del usuario, b. Inspeccionar, copiar, remover o bien alterar algn dato, programa u otro sistema que pueda socavar estos objetivos y c. Tomar cualquier otra accin que estime necesaria para manejar y proteger sus sistemas de informacin. Esta autoridad puede emplearse con o sin notificacin a los usuarios. La entidad desconoce cualquier responsabilidad por la prdida o dao a la informacin o software que resulte de sus esfuerzos para lograr estos objetivos de seguridad. 61. El acceso no autorizado por medio de los sistemas de informacin de la entidad Poltica: La Universidad Distrital precisa que se prohbe a los funcionarios que usen los sistemas de informacin de la entidad para tener acceso no autorizado a cualquier otro sistema de informacin o de cualquier forma daar, alterar o desbaratar las operaciones de estos sistemas. Del mismo modo se les prohbe capturar o de otra forma obtener contraseas, contraseas encriptadas o cualquier otro mecanismo de control de acceso que pueda permitirles un acceso no autorizado.
Pgina 9
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 10 de 104
1.1.2.2. ADMINISTRACIN DE CONTROL DE ACCESO A LA INFORMACIN 62. Controles de acceso al sistema del computador Poltica: La Universidad Distrital precisa que toda la informacin del computador principal que sea sensible, critica o valiosa debe tener controles de acceso al sistema para garantizar que no sea inapropiadamente descubierta, modificada, borrada o no adaptable. 63. Regulacin por el control de acceso a los sistemas del software Poltica: La Universidad Distrital precisa que todo el software instalado en los sistemas multiusuario de la entidad debe regularse por el control de acceso apropiado a los sistemas software. Esto significa que una sesin de un usuario inicialmente debe controlarse por los sistemas software de control de acceso apropiado y si se tienen permisos determinados el control ser transferido al software separado instalado. 64. Separacin de las polticas de acceso de informacin especifica Poltica: La Universidad Distrital precisa que la administracin debe establecer polticas especficas escritas considerando las categoras de la gente a quienes se les otorgar permisos para tener acceso a varios tipos de informacin. Estas polticas tambin deben especificar las limitaciones en el uso de esta informacin por aquellas personas a quienes se les ha otorgado el acceso. 65. Asignacin de pertenencia de la informacin Poltica: La Universidad Distrital precisa que la administracin debe claramente especificar por escrito la asignacin de las responsabilidades de pertenencia para bases de datos, archivos principales y otra informacin compartida. Estas declaraciones deben tambin indicar los individuos a quienes se les ha dado autoridad para originar, modificar o borrar tipos especficos de informacin encontrada en estos conjuntos. 66. Permisos para tener acceso a informacin delicada no leda Poltica: La Universidad Distrital precisa que los funcionarios a quienes se les ha autorizado ver informacin clasificada de un cierto delicado nivel se les deben permitir el acceso solamente a informacin a ese nivel o a niveles menos delicados. 67. Permisos para tener acceso a informacin delicada no escrita Poltica: La Universidad Distrital precisa que los funcionarios nunca deben tener autorizacin para mover informacin clasificada de un cierto nivel delicado a un menor nivel a menos que sea parte del proceso apropiado de desclasificacin. 1.1.2.3. SEPARACIN DE USUARIOS 68. Separacin de actividades y datos de usuario a usuario Poltica: La Universidad Distrital precisa que la administracin debe definir los privilegios del usuario para que usuarios comunes no puedan logar acceso o de otra forma interferir con actividades individuales o datos privados de otros usuarios.
Pgina 10
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 69. Permisos para archivos por defecto para sistemas de la red
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 11 de 104
Poltica: La Universidad Distrital precisa que los permisos de control de acceso al archivo para todos los sistemas de la red de la entidad deben fijarse por defecto para poder bloquear el acceso a usuarios no autorizados. 70. Capacidades del usuario para el acceso de archivos y su implicacin en cuanto al uso Poltica: La Universidad Distrital precisa que los usuarios no deben leer, modificar, borrar o copiar archivos que pertenezcan a otro sin obtener primero permiso del propietario del archivo. A menos que el acceso general haya sido claramente proporcionado, la habilidad de leer, modificar, borrar o copiar un archivo que pertenezca a otro usuario no implica que el usuario tenga permiso para realizar estas actividades. 71. Cdigos de identificacin de usuarios que identifiquen nicamente a un usuario en particular Poltica: La Universidad Distrital precisa que cada computador o sistema de comunicacin debe nicamente identificar uno y solamente un cdigo de identificacin por usuario. Cdigos de identificacin de usuario para grupos o que sean compartidos no son permitidos. 72. Prohibicin de identificadores de usuario genricos basados en funciones del cargo Poltica: La Universidad Distrital precisa que se prohbe tener identificadores de usuario genricos basados en sus funciones de trabajo. En cambio, los identificadores de usuario deben nicamente identificar individuos especficos. 73. Prohibicin de la reutilizacin de cdigos de identificacin de usuario Poltica: La Universidad Distrital precisa que cada cdigo de identificacin de usuario debe ser nico y solamente habilitarse con el cdigo de usuario que le ha sido asignado. Despus que un funcionario se retira de la entidad no debe volverse a usarse ninguno de los cdigos asignados anteriormente. 1.1.2.4. PRIVILEGIOS ESPECIALES 74. Respaldo para usuarios con privilegios especiales Poltica: La Universidad Distrital precisa que todos los sistemas del computador multi-usuario y de la red deben emplear un tipo especial de identificador de usuario que ha definido ampliamente los privilegios del sistema. A su vez, este identificador de usuario permite que los usuarios autorizados cambien el estado de los sistemas de seguridad 75. Restriccin de privilegios especiales del sistema Poltica: La Universidad Distrital precisa que los privilegios especiales del sistema, tales como la habilidad de examinar los archivos de otros usuarios, deben restringirse a aquellos que sean directamente responsables del manejo y/o seguridad del sistema. Estos privilegios deben otorgarse solamente a aquellas personas que han tenido y aprobado entrenamiento especial como administrador de los sistemas. 76. Nmero limitado de identificadores de usuario privilegiados
Pgina 11
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 12 de 104
Poltica: La Universidad Distrital precisa que el nmero de identificadores de usuario privilegiados debe limitarse estrictamente a aquellos individuos que absolutamente deben tener estos privilegios. 77. Identificadores de usuario para administrar todos los sistemas Poltica: La Universidad Distrital precisa que los administradores de los sistemas multi-usuario deben tener por lo menos dos identificadores de usuario. A uno de estos identificadores debe proporcionrsele el acceso privilegiado, el otro debe ser un identificador ordinario que lleve a cabo el trabajo diario de un sistema comn. 78. Reflejo de log-in sobre la actividad del identificador de usuario privilegiado Poltica: La Universidad Distrital precisa que el crear, divulgar y el privilegio de poder cambiar toda actividad realizada por los administradores de los sistemas y otros identificadores de usuario privilegiados debe dar una seguridad de estar logged. 79. Privilegios del usuario por defecto y necesidad para aprobaciones explicitas Poltica: La Universidad Distrital precisa que sin una aprobacin por escrito de la direccin, los administradores no deben otorgar a ningn usuario privilegios en el sistema. 80. Aprobaciones requeridas para la creacin de identificadores de usuario y asignacin privilegiada Poltica: La Universidad Distrital precisa que a usuarios especficos se les pueden otorgar identificadores de usuario solamente cuando tienen aprobacin por anticipado del supervisor inmediato. 81. Restriccin a terceros para tener privilegios Poltica: La Universidad Distrital precisa que vendedores o terceras personas solamente deben tener privilegios en el mantenimiento y cuando el administrador del sistema determine que en verdad tienen la necesidad de realizar acciones legtimas. Estos privilegios solamente se otorgan durante el periodo requerido para llevar a cabo las funciones aprobadas. 1.1.2.5. RESTRICCIONES DE OTROS PRIVILEGIOS 82. Tiempo condicional al control de acceso Poltica: La Universidad Distrital precisa que todos los sistemas multi-usuario deben emplear identificadores de usuario y contraseas para controlar el acceso tanto a la informacin como a los programas. Adems de este control de acceso, las actividades del usuario deben restringirse por la hora del da y el da de la semana. 83. Identificadores de usuario y revocacin de privilegios automtico Poltica: La Universidad Distrital precisa que todos los identificadores de usuario deben automticamente revocar los privilegios asociados despus de un periodo de treinta (30) das de inactividad. 84. Defecto para negacin de privilegios del control de acceso
Pgina 12
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 13 de 104
Poltica: La Universidad Distrital precisa que si el sistema de control de acceso a un computador o red no est funcionando apropiadamente, debe ser defecto por negacin de privilegios al ltimo de los usuarios. 85. Gestin inapropiada y revocacin de privilegios de acceso Poltica: La Universidad Distrital precisa que la administracin de la entidad se reserva el derecho a revocar los privilegios de cualquier usuario en cualquier momento. No se permitir la gestin que interfiera con el funcionamiento normal y apropiado de los sistemas de informacin de la entidad, que adversamente afecte la capacidad de otros en el uso de estos sistemas de informacin, o que sea nocivo u ofensivo. 86. Prohibicin para probar controles de informacin del sistema Poltica: La Universidad Distrital precisa que los funcionarios no deben comprobar o intentar arreglar controles internos a menos que anticipadamente y por escrito haya sido especficamente aprobados por el administrador del departamento de seguridad informtica. 87. Prohibicin para explorar vulnerabilidades de los sistemas de seguridad Poltica: La Universidad Distrital precisa que los usuarios no deben explorar vulnerabilidades o deficiencias en la seguridad de los sistemas de informacin para daar los sistemas o informacin, para obtener recursos mayores a los que han sido autorizados, para tomar recursos de otros usuarios o para tener acceso a otros sistemas a los cuales no se les ha otorgado una autorizacin apropiada. Todas estas vulnerabilidades y deficiencias deben ser reportadas inmediatamente al administrador del departamento de seguridad informtica. 88. Recipiente de seleccin para distribucin de poderosas herramientas de seguridad Poltica: La Universidad Distrital precisa que el personal de la entidad debe investigar y validad la necesidad del recipiente de tener tales herramientas, antes de distribuir identificacin vulnerable del software u otras herramientas que pueden usarse para comprometerla seguridad de los sistemas de informacin. 89. Limitaciones de funcionalidad para poderosas herramientas de los sistemas de informacin Poltica: La Universidad Distrital precisa que todas las herramientas de los sistemas de informacin construidas o distribuidas por la entidad que puedan usarse para caauar un dao significativo deben ser automticamente restringidas para que sean solamente usadas en el (los) propsito(s) determinado(s). 90. Privilegios para modificar la informacin comercial en el ambiente de produccin Poltica: La Universidad Distrital precisa que restringir el uso de los privilegios nicamente a los funcionarios responsables de la administracin para la modificacin de la informacin comercial de la entidad en el ambiente de produccin. 91. Proceso controlado para la modificacin de la informacin comercial en el ambiente de produccin Poltica: La Universidad Distrital precisa establecer privilegios para que los usuarios del sistema puedan modificar informacin en produccin en formas predefinidas para preservar la integridad de la informacin y ejecutndose en forma controlada.
Pgina 13
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 14 de 104
92. Actualizacin de la informacin comercial en produccin Poltica: La Universidad Distrital precisa en definir privilegios del sistema para que el personal que no pertenezca al usuario final responsable (auditores internos, administradores de seguridad de informacin, programadores, operarios del computador, etc) no se les permita modificar directamente los datos de informacin comercial en el ambiente de produccin. 93. Privilegios del personal tcnico y cambio de parmetros de control en los sistemas en produccin Poltica: La Universidad Distrital precisa que los operadores del computador no deben tener acceso a modificar los datos y programas en produccin, al igual que la funcionalidad del sistema. 1.1.2.6. ACTIVIDADES ADMINISTRATIVAS 94. Revisin peridicas y reevaluacin de los privilegios de acceso del usuario Poltica; La Universidad Distrital precisa que la administracin debe evaluar el otorgamiento de los privilegios del sistema a todos los usuarios como mximo cada seis (6) meses. 95. Entrega de los cdigos de identificacin de usuarios Poltica: La Universidad Distrital precisa que los usuarios deben firmar un acuerdo con la entidad sobre la confidencialidad con el manejo de la informacin y el acatamiento con las normas de seguridad del sistema, antes de entregrseles los cdigos de identificacin de usuario para ingresar a los sistemas de la entidad. 96. Parmetros y convenciones estndar a utilizar en los sistemas Poltica: La Universidad Distrital precisa que para alcanzar un control de acceso seguro a travs de diferentes tipos de sistemas automatizados se debe utilizar estndares para los cdigos de identificacin de usuario, nombres estndar para programas y archivos tanto en ambientes de produccin como en desarrollo, nombres de sistemas de informacin y otras convenciones utilizadas en tecnologa. 97. Administracin para todos los computadores de la red Poltica: La Universidad Distrital precisa que las configuraciones y parmetros instituidos para todos los equipos adscritos a la red de la entidad deben cumplir con las polticas y normas sobre el manejo administrativo, operativo y de control de la seguridad de informacin. 98. Herramientas de seguridad del sistema Poltica: La Universidad Distrital precisa que todo sistema multi-usuario debe contener herramientas automatizadas que ayuden al administrador de seguridad en la verificacin del estado de seguridad de los sistemas automatizados. Estas herramientas deben contener mecanismos que sirvan para detectar, informar y corregir problemas de seguridad. 99. Reporte sobre cambios de tareas y responsabilidades
Pgina 14
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 15 de 104
Poltica: La Universidad Distrital precisa que la direccin de la entidad debe informar oportunamente sobre todos los cambios de tareas y responsabilidades operativas o administrativas de los funcionarios a los administradores de los sistemas de seguridad para que actualicen, controlen y administren los cdigos de identificaciones de usuarios. 100. Mantenimiento de cdigo de identificacin del usuario Master y Base de Datos privilegiada Poltica: La Universidad Distrital precisa que para revocar oportunamente los privilegios en los registros de los cdigos de identificacin de usuario almacenados en los sistemas automticos deben actualizarse y respaldarse los archivos que los contienen. 101. Transferencia de las tareas una vez el funcionario deja su cargo Poltica: La Universidad Distrital precisa que cuando un funcionario deja su cargo con la entidad tanto los archivos magnticos como los de papeles los debe recibir el jefe inmediato para determinar a quin se los asigna delegando especficamente la responsabilidad sobre ellos. 102. Borrado de archivos despus que el funcionario se retira Poltica: La Universidad Distrital precisa que cuatro semanas despus que un funcionario ha dejado permanentemente la entidad todos los archivos guardados en los directorios del usuario sern depurados. 1.1.3. ARCHIVOS DE LOGS 1.1.3.1. INFORMACIN A INCLUIR EN LOS ARCHIVOS DE LOGS 103. Logs en los sistemas de aplicacin que contengan informacin sensitiva Poltica: La Universidad Distrital precisa que todos los sistemas de aplicacin en produccin que contengan informacin sensitiva de la entidad deben generar logs que indiquen cada adicin, modificacin, borrado y divulgacin de esta informacin. 104. Eventos relevantes de seguridad a almacenarse en los logs del sistema Poltica: La Universidad Distrital precisa que todos los sistemas automticos que operen y administren informacin sensitiva, valiosa o critica para la entidad deben tener archivos logs donde se tenga evidencia sobre todos los eventos relevantes que se sucedieron con la informacin automatizada y con las seguridades necesarias relacionadas con la consulta, modificacin y borrado. Ejemplo sobre seguridades, intentos de adivinar la contrasea, intentos para usar privilegios que no han sido autorizados, modificaciones al software de aplicacin en el ambiente de produccin y modificaciones al software ambiental del sistema. 105. Utilizacin de los logs de los sistemas de informacin. Poltica: La Universidad Distrital precisa que los archivos de logs que contienen eventos relevantes de seguridad deben proporcionar suficiente informacin para apoyar el monitoreo, control y auditorias sobre la efectividad y cumplimiento con las medidas de seguridad implementadas en la entidad. 106. Periodos de retencin de los logs Poltica: La Universidad Distrital precisa que los logs que contienen los registros de los eventos relevantes de los diferentes sistemas de informacin deben retenerse por periodos de tiempo
Pgina 15
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 16 de 104
teniendo en cuenta la criticidad relativa de cada uno de ellos y la exigida en forma mandatora. Durante este periodo estos logs deben custodiarse en forma segura para que no puedan ser modificados y para que puedan ser ledos nicamente por personas autorizadas. Estos logs son importantes para corregir errores, hacer auditorias, recobrar seguridad violada y otras gestiones relacionadas. 107. Logs con informacin relevante sobre los aspectos de seguridad Poltica: La Universidad Distrital precisa que pare verificar y asegurar que los usuarios ejecuten sus funciones correctamente en los sistemas automatizados de la entidad uno o ms archivos con los registros de las actividades criticas deben mantenerse custodiadas por un periodo razonable de tiempo. 108. Retencin de los logs de acceso de control privilegiados Poltica: La Universidad Distrital precisa que los registros computarizados almacenados en los logs que reflejan los privilegios de acceso a cada usuario de los sistemas y redes multi-usuario de la entidad deben mantenerse custodiados por un periodo de tiempo razonable. 109. Reconstruccin de cambios de informacin de produccin Poltica: La Universidad Distrital precisa que todas las actividades ejecutadas por los usuarios que afecten la informacin de produccin deben poderse reconstruir utilizando los archivos de logs. Para hacer seguimientos a acciones inadecuadas y ejercer control sobre la responsabilidad de los usuarios. 110. Informacin que se sospecha como crimen informtico o abuso del computador Poltica: La Universidad Distrital precisa que para proporcionar evidencia en investigaciones y tomar acciones administrativas y de carcter legar se debe obtener la informacin necesaria de los archivos de seguridad logs, los estados del sistema actual y las copias de los archivos (backup) y de todos los dems potencialmente involucrados cuando se sospecha que ha ocurrido un crimen informtico o abuso en el computador. La informacin debe custodiarse hasta el momento en que estime conveniente o determine la alta direccin de la entidad. 111. Logs para la reanudacin rpida de actividades de produccin del sistema Poltica: La Universidad Distrital precisa que las aplicaciones comerciales de carcter vital o crtico para la entidad requieren tener archivos de log robustos. Todas las aplicaciones comerciales crticas deben apoyarse en logs que permitan que las actividades del sistema puedan ser reanudadas dentro de quince (15) minutos, despus de presentarse una contingencia. 112. Arquitectura de los sistemas para actividades que se apoyan en logs Poltica: La Universidad Distrital precisa que los sistemas manejadores de base de datos (DBMS) deben guardar los logs de las actividades del usuario y sus estadsticas que permitan detectar y disparar alarmas que reflejen eventos sospechosos. 113. Sincronizacin del reloj para un log adecuado de eventos en la red Poltica: La Universidad Distrital precisa que todos los computadores multi-usuario conectados a la red interna de la entidad deben tener la hora exacta reflejada en el reloj interno.
Pgina 16
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 17 de 104
114. Logs de todos los faxes que entran y salen de la entidad. Poltica: La Universidad Distrital precisa que todas las transmisiones de faxes que entren o salgan de la entidad deben registrarse en un log y guardarse por un periodo de tiempo determinado. Las mquinas de fax que no generen automticamente un log de los faxes deben tener entonces un log manual. 1.1.3.2. MANEJO DE LOS ARCHIVOS DE LOGS 115. Resistencia de logs contra desactivaciones y modificaciones Poltica: La Universidad Distrital precisa que los logs deben tener mecanismos de seguridad y control administrativo resistentes a ataques capaces de detectar y grabar eventos significativos en aspectos de seguridad automtica. Estos ataques incluyen intentos de desactivar, modificar, intentar o detectar las claves de acceso al software y/o a los mismos logs. 116. Personas autorizadas para consultar los logs. Poltica: La Universidad Distrital precisa que todos los logs del sistema y las aplicaciones deben mantenerse en forma que personas no autorizadas no puedan fcilmente accesarlos. Una persona no est autorizada si no es miembro del personal de autora interna o personal de control de la seguridad. Los usuarios que no estn autorizados deben obtener permiso por escrito del administrador de seguridad tecnolgica. 117. Revisiones regulares a los logs del sistema Poltica: La Universidad Distrital precisa que el administrador del sistema o el administrador de seguridad tecnolgica deben peridicamente revisar los diferentes registros de los logs con el fin de verificar las diferentes violaciones a la seguridad o mal uso de la informacin en las maquinas multi-usuario y en los sistemas de informacin presentando a la administracin informes mensuales de tal comportamiento. 118. Notificacin a los usuarios acerca de las violaciones de seguridad registradas en los logs. Poltica: La Universidad Distrital precisa que se les debe dar instrucciones y capacitacin a los usuarios sobre las acciones especficas que constituyen violaciones de seguridad. Los usuarios deben tambin informarse que tales violaciones estarn controladas mediante controles automticos reportados en los logs. 1.2. DESARROLLO DE SOFTWARE Y CONTROL DE CAMBIOS 1.2.1. VIRUS INFORMTICOS 119. Los usuarios no deben intentar erradicar virus del computador Poltica: La Universidad Distrital precisa que si los usuarios sospechan que hay infeccin por un virus ellos deben parar de usar el computador, desconectarlo de todas las redes y llamar al encargado solicitando la ayuda. 120. La eliminacin de virus informticos por parte de los usuarios finales requiere ayuda del administrador del sistema
Pgina 17
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 18 de 104
Poltica: La Universidad Distrital precisa que se prohbe a los usuarios finales eliminar virus informticos de los sistemas de la entidad cuando estos sistemas estn infectados en razn de que pueden conducir ms daos en la informacin o programas o permitir una reinfeccin sobre estos. Se debe pedir ayuda de asistencia tcnica al departamento de sistemas o al representante de la seguridad de la informacin local. 121. Prohibicin para bajar y cargar Software de Internet en los sistemas corporativos por parte de terceras personas Poltica: La Universidad Distrital precisa que los funcionarios de la entidad no deben permitir que terceras personas puedan bajar (download) y/o cargar (upload) Software de Internet en los sistemas de la entidad. Esta prohibicin es necesaria porque dicho Software puede contener virus, gusanos, caballos de Troya y otro software que pueden daar la informacin y los programas en produccin. 122. Pruebas de virus antes de usar los programas en la entidad Poltica: La Universidad Distrital precisa que para prevenir la infeccin por virus en los computadores los funcionarios de la entidad no deben usar ningn software proporcionado externamente por una persona u organizacin que no sea un proveedor conocido y confiable. La nica excepcin a esto es cuando el software ha sido primero probado y aprobado por el departamento de tecnologa o un coordinador de seguridad de la informacin. 123. Verificacin previa de virus en un computador stand alone Poltica: La Universidad Distrital precisa que siempre que se reciba un software y/o archivos de una entidad externa este material debe verificarse en una mquina conectada a una red stand alone antes de usarse en los sistema de informacin de la entidad. Si un virus, gusano o caballo de Troya est presente el dao ser solamente para esta mquina. 124. Los disquetes proporcionados externamente deben poseer una etiqueta o sello que certifique que previamente han sido examinados contra la presencia de virus Poltica: La Universidad Distrital precisa que los disquetes proporcionados externamente no pueden utilizarse en ningn computador personal (PC) o servidor de la red local (LAN) de la entidad a menos que estos disquetes hayan sido primero examinados contra virus y en su etiqueta se evidencie que no se encontr ninguno. 125. Proceso para examinar el software obtenido a travs de Internet Poltica: La Universidad Distrital precisa que antes de descomprimir el software obtenido a travs de Internet los usuarios deben cerrar todas las sesiones activas en los servidores y otras conexiones en red, debe evaluarse la presencia de virus informticos antes de ejecutarse. Si un virus es detectado debe notificarse inmediatamente al administrador de seguridad de la informacin y colocar un mensaje de alerta va correo electrnico a todos los usuarios de la red para que se abstengan de bajar este software infectado a travs de Internet. 126. Programas de chequeo de integridad del sistema para computadores personales Poltica: La Universidad Distrital precisa que para detectar oportunamente y prevenir la expansin de virus informticos todos los computadores personales y los servidores LAN de la entidad se les debe correr un software de chequeo de integridad. Este software detecta los cambios en la configuracin de los archivos, en los archivos del sistema, en los archivos de
Pgina 18
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 19 de 104
software de aplicacin y en otros recursos del sistema. El software de chequeo de integridad debe ser continuamente activado o ejecutarse diariamente. 127. Se requieren instalar programas de chequeo de virus en PCs y servidores LAN Poltica: La Universidad Distrital precisa que el administrador de seguridad de la informacin debe contar con programas automticos para examinar virus e instalarlo y ejecutarlo continuamente en todos los servidores de red de rea local (LAN) u en los diferentes computadores personales que se conectan a la red institucional. 128. Los archivos digitales deben descomprimirse antes de examinar si estn contaminados por virus Poltica: La Universidad Distrital precisa que todos los archivos digitales (programas, base de datos y documentos de texto entre otros) deben ser descomprimidos antes de proceder a hacer una evaluacin de virus informticos. A los programas o archivos comprimidos no se les puede detectar con facilidad la existencia de virus. 129. Proteccin contra escritura para el software residente en microcomputadores o estaciones de trabajo Poltica: La Universidad Distrital precisa que todo software residente en microcomputadores o estaciones de trabajo debe estar protegido contra escritura de tal forma que se generar un error cuando un virus en los microcomputadores ha modificado el software. 130. Copias de respaldo al software original para computadores y servidores Poltica: La Universidad Distrital precisa que todo el software de los computadores y servidores debe copiarse antes de iniciar su uso y estas copias deben almacenarse en un lugar seguro y confiable. Estas copias master no deben usarse para actividades comerciales ordinarias sino que deben reservarse para cuando se presenten infecciones de virus, dao en el disco duro y otros problemas en los computadores y servidores. 131. Verificacin del software antes de distribuirlo a los usuarios Poltica: La Universidad Distrital precisa que antes de distribuir cualquier software a los usuarios los funcionarios de la entidad debern primero someterlo a pruebas exhaustivas incluso a pruebas que identifiquen la presencia de virus en la computadora. 132. Programas que consumen excesivos recursos del sistema Poltica: La Universidad Distrital precisa que los usuarios del sistema no debern escribir o ejecutar ningn programa o proceso automtico que consuma demasiados recursos de mquina y que puedan afectar el normal rendimiento de los trabajos de la entidad. 133. Los usuarios del sistema no deben incluir virus en el software Poltica: La Universidad Distrital precisa que los usuarios del sistema no debern escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir intencionalmente cualquier cdigo a la computadora que haya sido diseado para causar dao o impedir la normal actuacin de la memoria de la mquina, archivos de datos o programas, sistemas operativos o software aplicativo. Estos programas nocivos son conocidos como virus.
Pgina 19
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 20 de 104
1.2.2. PROCESO DE DESARROLLO 1.2.2.1. TCNICAS Y HERRAMIENTAS DE DESARROLLO 134. Identificacin de los requerimientos de seguridad antes del desarrollo o adquisicin de un sistema Poltica: La Universidad Distrital precisa que antes de que un nuevo sistema se desarrolle o se adquiera los directores de los departamentos usuarios de la entidad debern haber especificado los requerimientos de seguridad necesarios. Es conveniente tener en cuenta las alternativas sugeridas por los diseadores, vendedores y/o proveedores para que se obtenga un equilibrio apropiado entre la seguridad y los objetivos de facilidad de uso, eficacia operacional, facilidad de actualizacin, escalabilidad y costos aceptables entre otros. 135. Estndares para el desarrollo de sistemas en al entidad Poltica: La Universidad Distrital precisa que el departamento de sistemas de la entidad deber asegurar que todo desarrollo de software y las actividades de mantenimiento del mismo cumplan con las polticas, normas, procedimientos, controles y otras convenciones estndar aplicables para el desarrollo de sistemas. 136. No ejecutar pruebas al software con informacin confidencial Poltica: La Universidad Distrital precisa que no es permitido ejecutas pruebas al software aplicativo con datos o informacin real del ambiente de produccin cuando sta sea especficamente secreta o confidencial. 137. Documentar la ocurrencia de errores y las acciones a seguir para el software desarrollado Poltica: La Universidad Distrital precisa que todo software que se desarrolle o personalice en la entidad y que produzca resultados no esperados, siempre deber producir mensajes de error y las acciones a seguir por parte del usuario debern documentarse. 138. Todo sistema de informacin automtico deber presentar mensajes de respuesta cuando se ejecute una transaccin Poltica: La Universidad Distrital precisa que toda intervencin que tenga un usuario con el sistema deber reportar un mensaje automtico que indique si la transaccin o evento se ejecut correctamente o present alguna falla. 139. Todo desarrollo de software debe tener requerimientos formales Poltica: La Universidad Distrital precisa que se debern definir previamente las especificaciones o requerimientos formales para todo desarrollo de software. Estas especificaciones debern ser parte integral de un acuerdo entre los dueos de la informacin involucrada y los programadores del software. El acuerdo deber ser completado y aprobado antes de comenzar el desarrollo o personalizacin del cdigo del sistema. 140. Eliminacin de las rutas de acceso no autorizadas en los ambiente de produccin Poltica: La Universidad Distrital precisa que antes de trasladar al ambiente de produccin el software desarrollado los programadores o personal tcnico de informtica debern eliminar todas las rutas de acceso especiales o privilegiadas para que solamente puedan ser obtenidas de acuerdo con los procedimientos corporativos normales de seguridad. Todos los privilegios de
Pgina 20
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 21 de 104
usuarios especiales que se concedieron para el desarrollo no debern ser permitidos en el ambiente de produccin. 141. Utilizacin de tcnicas y herramientas de desarrollo probadas y confiables Polticas: La Universidad Distrital precisa que para todo desarrollo de software se debern utilizar tcnicas y herramientas de desarrollo conocidas en el mercado local del que se tenga certeza que su comportamiento es seguro y confiable. 142. Uso de lenguajes de programacin de alto nivel Poltica: La Universidad Distrital recomienda el uso de lenguajes de programacin de ltimas generaciones para reducir el volumen de cdigo a desarrollar, la dificultad del mantenimiento del software, el tiempo exigido para desarrollar una aplicacin y el nmero de fallas. 143. Reutilizacin del software desarrollado Poltica: La Universidad Distrital precisa que todo proyecto de desarrollo de software deber tener como meta secundaria que el desarrollo sea modular y confiable adems que pueda ser utilizado en un ambiente de software compartido. 144. Utilizacin de convenciones estndar para nombrar los archivos en el ambiente de produccin Poltica: La Universidad Distrital precisa que se deber utilizar convenciones estndar para nombrar los archivos del ambiente de produccin que permitan diferenciarlos claramente de los respectivos archivos utilizados en los ambientes de desarrollo, pruebas o con propsitos de entrenamiento. 145. Rtulos o etiquetas especiales para transacciones no habilitadas en el ambiente de produccin Poltica: La Universidad Distrital precisa que las transacciones usadas para fines de auditoria, pruebas, entrenamiento u otros propsitos diferentes a los de produccin debern ser rotuladas o marcadas respectivamente de acuerdo a su propsito. De otra parte debern ser separadas de las transacciones usadas en los ambientes de produccin. Estos registros servirn de garanta a la entidad para no actualizar inapropiadamente transacciones no habilitadas para ambientes de produccin. 146. Documentacin estandarizada para toda la tecnologa que se encuentra en el ambiente de produccin Poltica: La Universidad Distrital precisa que cada usuario que desarrolle o implemente software o hardware para ser usado por la entidad en las actividades propias del negocio deber documentar el sistema de acuerdo con el avance de la implementacin. La documentacin deber ser escrita para que el sistema pueda ser utilizado por personas no familiarizadas con l. La documentacin deber cubrir usuarios finales operativos y tcnicos. 147. La funcionalidad permitida en los sistemas desarrollados Poltica: La Universidad Distrital precisa que con excepcin de algunos casos puntuales de emergencia solamente las funciones descritas en el documento aprobado de especificaciones de
Pgina 21
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 22 de 104
la solucin tecnolgica pueden ser incluidas en el equipo de produccin o en un sistema de comunicacin que se haya desarrollado. 148. La utilizacin del hardware y software de pruebas o de diagnostico Poltica: La Universidad Distrital precisa que el hardware y software de diagnostico como el de monitoreo de lneas de comunicacin solo debern ser usados por personal autorizado con propsito de pruebas y desarrollo. El acceso a esta clase de software y hardware deber controlarse estrictamente por el jefe de la unidad funcional. 149. El uso de medios de almacenamiento para los sistemas de utilidades residentes en ambientes de produccin Poltica: La Universidad Distrital precisa que los discos y otros medios de almacenamiento en lnea usados en sistemas de computacin en produccin no debern contener compiladores, ensambladores, editores de texto, procesadores de palabra u otra utilidad de propsito general que puedan utilizarse para comprometer la seguridad del sistema. 150. Restringir y monitorear peridicamente el uso del software utilitario del sistema Poltica: La Universidad Distrital precisa que el acceso al software utilitario del sistema deber ser restringido a un pequeo nmero de usuarios conocidos y autorizados. Siempre que estos utilitarios sean ejecutados la actividad resultante deber registrarse secuencialmente en un archivo log y seguido de esto el administrador del equipo deber revisarlo. 1.2.2.2. RELACIONES Y DESARROLLO DE PRIVILEGIOS 151. El acceso a la informacin en produccin para probar sistemas Poltica: La Universidad Distrital precisa que en los casos donde el acceso a la informacin en produccin es requerido para probar los sistemas de aplicaciones nuevos o modificados nicamente se les conceder acceso de lectura y copia al personal de pruebas. Este acceso ser permitido nicamente durante la duracin de las pruebas y los trabajos relacionados con el desarrollo del aplicativo y debern ser revocados al culminarse con xito dichas actividades, estas operaciones debern ser supervisadas y controladas por el administrador de los datos y programas. 152. Los ambientes de produccin, desarrollo y pruebas Poltica: La Universidad Distrital precisa que el nuevo software de aplicacin en desarrollo o personalizacin deber guardarse estrictamente separado del que se encuentra en produccin y del respectivo de pruebas. Si las facilidades existentes lo permiten la separacin de los ambientes deber hacerse en equipos de cmputo independientes. Si no se debern separar los directorios y libreras y hacer cumplir estrictamente los controles automticos de acceso a los usuarios. 153. Restriccin del acceso a la informacin de los aplicativos en produccin al personal del desarrollo de software. Poltica: La Universidad Distrital precisa que el acceso a la informacin de produccin no deber permitirse al personal de desarrollo de software de aplicacin excepto cuando se trate de informacin de produccin que este directamente relacionada con el software de la aplicacin particular que se est trabajando; actividad que deber ser supervisada por el jefe de la unidad
Pgina 22
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 23 de 104
de produccin, el catalogador, el administrador de la seguridad informtica y el auditor de sistemas. 154. El personal de desarrollo de sistemas no debe ser el responsable de las pruebas formales del software Poltica: La Universidad Distrital precisa que funcionarios que estn vinculados especficamente con el desarrollo del software no debern ser los responsables del resultado de las pruebas formales no de la operacin diaria de la solucin tecnolgica. 1.2.3. PROCESO DE CONTROL DE CAMBIOS
155. Todos los sistemas automticos que se encuentren en produccin debern cumplir con el procedimiento formal de control de cambios Poltica: La Universidad Distrital precisa que para todos los equipos de cmputo y sistemas de comunicacin utilizados en procesos de produccin en la entidad se deber aplicar un procedimiento formal de control de cambios que garantice que solo se realicen los cambios autorizados. Este procedimiento de control de cambios deber ser aplicado al software, hardware, comunicaciones, interfaces y a los procedimientos. 156. Prohibicin a los usuarios finales para la instalacin de software en sus equipos o computadores personales. Poltica: La Universidad Distrital precisa que los usuarios finales no debern instalar software en sus computadores personales, servidores de red u otras mquinas sin que medie la autorizacin del coordinador de seguridad de informacin. 157. Caractersticas o facilidades riesgosas del software en el momento de la instalacin Poltica: La Universidad Distrital precisa que las caractersticas que son innecesarias en el ambiente informtico de la entidad se debern desactivar en el momento de la instalacin del software. 158. Documentacin sobre los cambios hechos a los sistemas en produccin Poltica: La Universidad Distrital precisa que la documentacin que refleja todos los cambios hechos sobre los equipos de produccin y los sistemas de comunicacin en la entidad deber prepararse simultneamente con el proceso de cambio. Esta documentacin deber contemplar las propuestas de cambio, la aprobacin de la direccin y la manera como el cambio fue realizado. 159. Documentacin de los procesos para el entrenamiento y operacin de los sistemas en produccin. Poltica: La Universidad Distrital precisa que los desarrollos y/o modificaciones hechas a los sistemas de aplicacin no debern trasladarse al ambiente de produccin si no se cuenta primero con la documentacin de entrenamiento y operacin adecuados. La suficiencia de estos materiales deber ser determinada por los usuarios responsables de la direccin de la entidad. 160. Se prohbe instalar programas externos en los computadores interconectados en red
Pgina 23
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 24 de 104
Poltica: La Universidad Distrital precisa que los usuarios no podrn instalar ningn programa o software desarrollado fuera de la entidad en sus propios microcomputadores, en sus estaciones de trabajo, en servidores de la red o en computadores conectados a la red a menos que haya sido aprobado por la direccin de la unidad de tecnologa corporativa. 161. Se prohbe la utilizacin de actualizaciones automticas adelantadas para el software que requiere aprobacin Poltica: La Universidad Distrital precisa que es prohibida en la entidad la actualizacin automtica de software a menos que el software involucrado se haya probado primero por el equipo de trabajo autorizado por la direccin de tecnologa y con la supervisin de la unidad de auditoria. 162. Todo software que ha sido primero probado externamente por terceros tambin debe ser probado por la entidad Poltica: La Universidad Distrital precisa que programas ejecutables (cdigo objeto de software) provistos por entidades externas debern probarse por la entidad antes de la instalacin en el ambiente de produccin. La lista de instrucciones de programa (cdigo fuente de software) provisto por entidades externas deber ser revisado y probado en cuanto a sus compilaciones y los programas ejecutables por el equipo de trabajo asignado por la direccin de tecnologa antes de su instalacin en produccin. Cada prueba y examen deber ser consistentes con los estndares de la entidad y deber tener la documentacin estndar mnima requerida. 163. La incorporacin o modificacin del software en el ambiente de produccin Poltica: La Universidad Distrital precisa que todos los sistemas (sistemas grandes, sistemas cliente/servidor, redes y computadores personales entre otros) debern ser provistos de software licenciado. Junto a la deteccin automtica de copias de software no autorizadas, el sistema administrativo de licencias central deber ser configurado para detectar nuevos desarrollos o modificaciones por parte de los usuarios finales. 164. El traslado del software del ambiente de desarrollo al de produccin Poltica: La Universidad Distrital precisa que el personal de desarrollo de aplicaciones de la entidad no deber estar habilitado para trasladar cualquier tipo de software al ambiente de produccin. 165. Todo software adquirido a travs de un proveedor deber someterse al proceso de control de cambios de la entidad Poltica: La Universidad Distrital precisa que antes de comenzar a instalarse nuevas o diferentes versiones del sistema operativo y el relacionado con el software de los sistemas en produccin este deber ser validado primero por el proceso de control de cambios establecido en la entidad. 166. Antes de trasladar el sistema a produccin se deber verificar la compilacin y la concordancia con los requerimientos de usuario Poltica: La Universidad Distrital precisa que los mdulos ejecutables nunca debern ser trasladados directamente de las libreras de pruebas a las libreras de produccin sin que previamente sean probados, revisados y recompilados. Las actividades de revisin y recompilacin debern ser ejecutadas por un nivel tcnico no asociado con las pruebas del
Pgina 24
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 25 de 104
proceso. Estos procesos ayudarn a descubrir y erradicar errores teniendo en cuenta los requerimientos de los usuarios. 167. Requerimientos formales para el proceso de control de cambio del software en produccin Poltica: La Universidad Distrital precisa que un proceso formal de control de cambio deber tenerse y aplicarse para asegurar que todo el software de aplicacin que est en desarrollo sea trasladado adecuadamente al ambiente de produccin previa autorizacin y aprobacin por escrito tanto de la direccin de sistemas como de la direccin de los usuarios responsables. 168. Control y seguridades de los sistemas de informacin antes de su traslado al ambiente de produccin Poltica: La Universidad Distrital precisa que Aantes de comenzar a usar un nuevo aplicativo en produccin o con cambios sustanciales deber recibirse una aprobacin escrita de la direccin del departamento de seguridad de informacin para los nuevos controles y seguridades a ser implementados. 169. Aprobacin para las aplicaciones multi-usuario en produccin Poltica: La Universidad Distrital precisa que la direccin especifica del usuario final con la aceptacin por parte de la auditoria de sistemas deben seguir los procedimientos administrativos, operativos u de control establecidos antes de que un programa o aplicativo sea colocado en ambiente multi-usuario. 170. Desarrollo de aplicaciones de usuario final e implementacin en el ambiente de produccin Poltica: La Universidad Distrital precisa que todo software que maneje informacin sensible, critica o valiosa desarrollado para los usuarios finales deber tener controles debidamente aprobados por la direccin de seguridad de informacin antes de comenzar a usarse en el ambiente de produccin. 171. Todo cambio a los sistemas operativos en el ambiente de produccin deber requerir aprobacin especial Poltica: La Universidad Distrital precisa que las extensiones, modificaciones o reemplazos al sistema operativo del ambiente de produccin nicamente se debern hacer previa aprobacin escrita del administrador del departamento de seguridad de informacin. Es conveniente documentar cada cambio y actualizar las copias de respaldo con el propsito de disminuir los costos de mantenimiento y prevenir situaciones de riesgo. 172. Revisiones peridicas a los sistemas operativos del ambiente de produccin Poltica: La Universidad Distrital precisa que las revisiones peridicas a los sistemas operativos del ambiente de produccin debern ejecutarse para asegurar que nicamente los cambios autorizados han sido realizados y no otros. 173. Se prohbe el engao a los controles de acceso al sistema a travs de las puertas traseras Poltica: La Universidad Distrital precisa que programadores y otro personal tcnicamente especializado no debern permitir la existencia en el cdigo de los programas de las puertas traseras de trampa que engaan los mecanismos de control de acceso autorizados tanto en sistemas operativos como en los paquetes de control de acceso.
Pgina 25
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 26 de 104
174. Procedimientos de recuperacin cuando se presenten problemas con el software de seguridad Poltica: La Universidad Distrital precisa que todos los problemas de seguridad de software, los procedimientos de control para comandos de mquina y los proporcionados por los proveedores del sistema operativo debern ser resueltos prontamente por el equipo oficial responsable de atencin de emergencias computacionales (CERTs). 175. Todo cambio por terceros al software en produccin deber requerir aprobacin especial Poltica: La Universidad Distrital precisa que se deber obtener primero un permiso por escrito del director de sistemas para que el proveedor del software de aplicacin efectu modificaciones a este sistema. Cuando las modificaciones han sido aprobadas, el software modificado deber documentarse, probarse y en general ajustarse a los procedimientos de control de cambios establecidos por la entidad antes de ser trasladado al ambiente de produccin. 176. Los mantenimientos al software debern realizarse nicamente sobre el cdigo fuente Poltica: La Universidad Distrital precisa que todos los cambios permanentes al software en produccin debern hacerse con el cdigo fuente en lugar del objeto u otro cdigo ejecutable. 177. Procedimientos para volver a una versin anterior del software en produccin Poltica: La Universidad Distrital precisa que los procedimientos para el regreso a una versin anterior back off debern ser desarrollados para todos los cambios de software que se encuentren en produccin (del sistema operativo). Ellos permiten a las actividades de procesamiento de datos un rpido y conveniente regreso a la anterior versin del software o estado de datos par que las operaciones del negocio puedan continuar. 178. Todo software que se incorpore a produccin debe tener su propio plan de contingencia Poltica: La Universidad Distrital precisa que siempre que se pase al ambiente de produccin un nuevo software o uno significativamente modificado se requieren procedimientos contingentes especiales para evitar considerables prdidas en la entidad. La administracin deber preparar un plan de contingencia de conversin que refleje las diferentes formas o maneras de asegurar la continuidad del servicio a los usuarios que potencialmente se puedan ver afectados. 179. Anlisis sobre el impacto potencial de la seguridad cuando se lleve informacin sensible a produccin Poltica: La Universidad Distrital precisa que siempre que informacin sensible de la entidad sea colocada en computadores y que stas estn conectadas a redes deber primero hacerse un anlisis sobre el impacto potencial de la seguridad relacionada as como tambin cuando la misma vaya a ser usada de diferentes maneras donde se puedan presentar espionaje industrial, sabotaje, fraude e interrupciones del servicio. Dicho anlisis deber involucrar tambin consideraciones sobre la informacin de calidad del producto, la confidencialidad del cliente y la imagen pblica. 180. Instrucciones de seguridad para nuevas aplicaciones o para aquellas que han sido modificadas
Pgina 26
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 27 de 104
Poltica: La Universidad Distrital precisa que antes de ponerse en produccin una nueva aplicacin bien sea que se trate de una nueva o una que significativamente haya sido modificada se debern implementar las seguridades necesarias teniendo en cuenta los estndares de procedimientos normales que tenga la entidad. 1.2.4. PARTICIPACIN DE GRUPOS DE TERCEROS
181. instrucciones formales dadas por el proveedor sobre la integridad Poltica: La Universidad Distrital precisa que si la obtencin del software por parte de terceros esta siendo considerada, la gerencia de tecnologa deber obtener instrucciones de integridad por escrito suministradas por el proveedor. Estas instrucciones debern proveer un aseguramiento de que el software en cuestin no contiene indocumentadas tcnicas, no contiene mecanismos ocultos que pueden ser usados para comprometer la seguridad del software y no requiere de la modificacin o debilitamiento de controles del software del sistema aplicativo y operativo bajo el cual se ejecuta. 182. Todo el software en custodia deber ser verificado por una tercera parte independiente Poltica: La Universidad Distrital precisa que cada actualizacin que se haga a la versin software crtico de la entidad debe actualizar de igual manera el depositado en custodia a un tercero. El software y su documentacin debern ser verificados y certificada su actualizacin. Este proceso de verificacin deber confirmar que todo el software involucrado y su documentacin pertinente han sido recibidos por un agente custodio. 183. Se instalar en los equipos nicamente el software ejecutable Poltica: La Universidad Distrital precisa que para prevenir copias de software no autorizadas y el empleo de la propiedad intelectual, todo el software desarrollado por la entidad para ser usado por sus clientes y otros terceros deber ser distribuido nicamente el cdigo objeto. 184. Todo acuerdo con terceros para utilizar el software de la entidad debe ser formal Poltica: La Universidad Distrital precisa que para prevenir el uso no autorizado del software desarrollado por la entidad por parte de los clientes y otros terceros este deber distribuirse solo despus de que los destinatarios hayan firmado un acuerdo que declare que ellos no desensamblaran, modificarn ni usarn indebidamente los programas entregados. 185. El administrador de la seguridad de la informacin deber controlar la divulgacin inadvertida de la documentacin confidencial. Poltica: La Universidad Distrital precisa que antes de comenzar a entregar actualizaciones a terceros toda la documentacin que describe los sistemas de la entidad o sus procedimientos tcnicos debern ser revisados por el administrador de la seguridad de informacin con el fin de asegurar que la informacin confidencial no esta siendo divulgada en forma inadvertida. 1.2.5. OPERACIN DEL COMPUTADOR
186. Restricciones de acceso a los membretes corporativos, cheques y papelera de valor sin diligenciar Poltica: La Universidad Distrital precisa que para reducir el riesgo de falsificacin y otras manipulaciones no autorizadas el acceso a los membretes de la entidad, a los cheques en
Pgina 27
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 28 de 104
blanco o sin diligenciar y a otras formas de papelera de seguridad nicamente debern estar disponibles a funcionarios que demuestren la necesidad de utilizar cada forma. 187. Se prohbe fumar, comer y beber en el centro de cmputo e instalaciones con equipos tecnolgicos. Poltica: La Universidad Distrital precisa que todos los empleados y visitantes no debern fumar, comer o beber en el centro de cmputo o instalaciones con equipos tecnolgicos. Al hacerlo estaran exponiendo los equipos a daos elctricos, as como a riesgos de contaminacin sobre los dispositivos de almacenamiento de datos. 1.3. SEGURIDAD DE LOS DATOS 1.3.1. DERECHOS DE PROPIEDAD INTELECTUAL 1.3.1.1. ASIGNACIN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL 188. La informacin se considera el recurso ms importante de la entidad Poltica: La Universidad Distrital precisa que es absolutamente esencial que la entidad proteja la informacin para garantizar su exactitud, oportunidad y confiabilidad. La informacin deber ser manejada adecuadamente y ser accesible solo a las personas autorizadas de acuerdo con las normas, polticas y procedimientos corporativos relacionados con los sistemas de informacin. 189. Los funcionarios debern conceder a la entidad la exclusividad sobre los derechos de propiedad intelectual de sus desarrollos Poltica: La Universidad Distrital precisa que todos los derechos de propiedad intelectual de los productos desarrollados o modificados por los empleados de la institucin durante el tiempo que dure su relacin laboral son de propiedad exclusiva de la entidad. 190. Todos los derechos de propiedad sobre el software y la documentacin desarrollada para uso corporativo son exclusivos de la entidad Poltica: La Universidad Distrital precisa que sin excepcin alguna todo el software y su documentacin generada y desarrollada por funcionarios, consultores, proveedores o contratistas para el beneficio y uso corporativo es propiedad exclusiva de la entidad. La direccin de sistemas deber asegurarse que todos los funcionarios, consultores, proveedores o contratistas proporcionen a la entidad una declaracin escrita en constancia de aceptacin de esta poltica antes de iniciar el proceso de desarrollo de software o de la documentacin generada. 191. Todos los derechos de propiedad legal sobre archivos fuentes de aplicacin y mensajes son exclusivos de la entidad Poltica: La Universidad Distrital precisa que la entidad tiene propiedad legal sobre el contenido de todos los archivos almacenados en los equipos de cmputo y sistemas en red as como de todos los mensajes que viajan a travs de estos sistemas. La entidad se reserva el derecho de permitir el acceso a esta informacin a terceras personas. 192. Reintegro de los recursos suministrados por la entidad para el desarrollo de trabajos Poltica: La Universidad Distrital precisa que los empleados temporales, contratistas y consultores no recibirn sus honorarios o pago final por el trabajo realizado a menos que hayan
Pgina 28
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 29 de 104
devuelto formalmente a la entidad todo el hardware, software, informacin y otros materiales que le fueron entregados para la realizacin de su trabajo. 193. Se deber dar el crdito pertinente a las fuentes de obtencin de informacin Poltica: La Universidad Distrital precisa que los funcionarios de la entidad siempre debern dar el crdito pertinente a las fuentes de obtencin de informacin utilizadas con propsitos corporativos. 194. Publicacin de informacin en sistemas automticos de dominio pblico corporativo Poltica: La Universidad Distrital precisa que todos los empleados que coloquen informacin en reas pblicas de la entidad tales como sistemas de correo electrnico, sistemas tablero de boletines electrnicos (BBSs), etc. Debern conceder a la entidad el derecho de editar, revisar, copiar, publicar y distribuir tal informacin. Si un tercero posee tambin derechos de propiedad intelectual o derechos adicionales sobre esta informacin el usuario deber indicarlo en el momento en que la informacin se publica. La ausencia de este aviso implica que los usuarios no conocen ningn otro derecho sobre esta informacin. 1.3.1.2. PROTECCIN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL 195. Todo software institucional y su documentacin deber tener un aviso sobre los derechos de autor y propiedad literaria Poltica: La Universidad Distrital precisa que todo el software y la documentacin que posea la entidad debern incluir avisos de los derechos de autor y propiedad literaria. 196. Estamentos autorizados para dar el visto bueno de replicar copias de informacin de propiedad corporativa Poltica: La Universidad Distrital precisa que es prohibido hacer copias mltiples de cualquier tipo de informacin institucional sin la autorizacin previa del estamento corporativo facultado. 197. Revisiones peridicas a los contratos de licenciamiento de software Poltica: La Universidad Distrital precisa que los contratos de licenciamiento de software debern ser revisados peridicamente por la unidad usuaria responsable en la entidad en el cumplimiento de los compromisos asumidos por las partes. 198. Toda adquisicin de software deber tener su licencia por escrito a nombre de la entidad Poltica: La Universidad Distrital precisa que siempre que la entidad haya adquirido un software integral el proveedor deber proporcionar por escrito la licencia del software. 199. Todo proveedor corporativo debe estar inscrito en un registro de control institucional Poltica: La Universidad Distrital precisa que todos los productos de hardware y software adquiridos por al entidad debern ser registrados por proveedor. Para asegurar que el soporte y los descuentos en actualizaciones de versiones sean obtenidas con facilidad. 200. Adquirir las licencias de software necesarias para desarrollar las actividades corporativas
Pgina 29
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 30 de 104
Poltica: La Universidad Distrital precisa que la direccin de sistemas deber adquirir licencias de software de uso generalizado adicionales para lo casos en que los funcionarios las soliciten. 201. No es permitido hacer copias del software sin autorizacin escrita del proveedor Poltica: La Universidad Distrital precisa que ningn software corporativo deber copiarse a menos que sea previamente autorizado por el proveedor en el contrato de compra, o las copias que se realicen sean para propsitos de apoyar el plan de contingencia corporativo. 202. Eliminar el software y la informacin magntica que no sean de propiedad de la entidad Poltica: La Universidad Distrital precisa que el software y la informacin que no son de propiedad de la entidad, es decir, que no cuente con las respectivas licencias de propiedad intelectual registrada y no tenga autorizacin especfica para su almacenamiento y/o uso, no deber almacenarse en los equipos, sistemas o redes de la entidad. Los administradores del sistema eliminarn este software e informacin. 203. Se prohbe copiar, transferir o divulgar software Poltica: La Universidad Distrital precisa que los usuarios finales no debern copiar software proporcionado por la entidad en ningn medio de almacenamiento magntico o transferir software de un equipo a otro a travs de algn sistema de comunicacin o divulgar software sin autorizacin escrita del director de sistemas. 204. Es responsabilidad de la direccin de la entidad no autorizar copias no permitidas de software Poltica: La Universidad Distrital precisa que la entidad deber apoyar la estricta adherencia y cumplimiento a los contratos con los proveedores de software y los derechos de autor y propiedad intelectual. La entidad slo permitir la reproduccin de material legalmente licenciado en la magnitud considera como de uso justo o con el permiso del autor o dueo. 205. Se prohbe el uso de herramientas para romper la seguridad de los sistemas Poltica: La Universidad Distrital precisa que los funcionarios de la entidad no debern adquirir, poseer, comercializar o usar herramientas de hardware o software que pudieran emplearse para evaluar o comprometer la seguridad de los sistemas de informacin sin la debida autorizacin del departamento de seguridad de informacin. Si la entidad considera utilizar este tipo de herramientas tecnolgicas para la evaluacin de la seguridad de los sistemas estas debern ejecutarse en el ambiente de pruebas. 206. Manejo de la informacin confidencial de propiedad de terceros Poltica: La Universidad Distrital precisa que toda informacin confidencial o de propiedad de un tercero que se ha confiado a la entidad deber ser protegida como si se tratara de informacin confidencial corporativa. 207. Usar la informacin de la entidad nicamente con propsitos internos Poltica: La Universidad Distrital precisa que la informacin de la entidad tal como bancos de datos, envos de listas de correo electrnico, software corporativo, documentacin de los sistemas, etc., solo debern usarse para propsitos especficamente por la direccin.
Pgina 30
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 31 de 104
208. Se prohbe la transferencia de informacin corporativa a terceros sin la autorizacin de la direccin Poltica: La Universidad Distrital precisa que el software de la entidad, su documentacin y otros tipos de informacin interna no deben ser vendidos o trasladados a sitios que no son de la entidad sin la autorizacin de la direccin. 209. Para el intercambio de software y/o datos con terceros se requiere de acuerdos por escrito Poltica: La Universidad Distrital precisa que los intercambios de software y/o datos entre la entidad y cualquier tercero no se debern realizar sin un acuerdo por escrito. Tal acuerdo debe especificar los trminos del intercambio, as como las formas que el software y/o datos sern manejados y protegidos. 210. Informes anuales sobre los nuevos sistemas desarrollados o adquiridos Poltica: La Universidad Distrital precisa que el departamento de seguridad de informacin debe preparar anualmente una lista del software y sistemas que se han desarrollado internamente y que proporcionan a la entidad una ventaja competitiva.
1.3.2. PRIVACIDAD DE LOS DATOS 1.3.2.1. RESTRICCIONES DE LOS DERECHOS DE LA PRIVACIDAD 211. El derecho para examinar los datos guardados en los sistemas de la entidad Poltica: La Universidad Distrital precisa que todos los mensajes enviados a travs de los computadores y sistemas de comunicaciones de la entidad son de propiedad de la entidad. Para mantener un adecuado manejo de esta propiedad, la direccin se reserva el derecho de examinar todos los datos guardados o transmitidos en sus sistemas. Como los computadores y los sistemas de comunicacin de la entidad deben ser usados nicamente para los propsitos del negocio los empleados podran no tener la expectativa de la privacidad asociada con la informacin que ellos guardan y envan a travs de estos sistemas. 212. Revelar la informacin que exija la ley o la que ordene la direccin de la entidad Poltica: La Universidad Distrital precisa que los usuarios institucionales deben permitir que toda la informacin que este en su poder dentro de la entidad pueda ser divulgada por instrucciones de ley o a discrecin de la entidad. 1.3.2.2. COLECCIN DE TIPOS ESPECFICOS DE DATOS PRIVADOS 213. Solicitud a los empleados potenciales informacin personal Poltica: La Universidad Distrital precisa que recopiar informacin personal sobre un aspirante a ser empleado en la entidad y que sirva de base para tomar la decisin sobre el empleo ofrecido. Esta Poltica se dirige a datos sobre el estado matrimonial, planes sobre la familia, actividades en tiempo libre, afiliaciones polticas, actuacin en trabajos anteriores, patrones anteriores, historial crediticio, educacin y otros detalles personales. 214. Informacin del personal para el funcionamiento de la entidad
Pgina 31
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 32 de 104
Poltica: La Universidad Distrital precisa que la entidad deber recoger, almacenar y difundir solo la informacin personal que sea necesaria para su funcionamiento. 215. No es permitido en la entidad acopiar informacin sobre comportamientos muy personales e ntimos de sus funcionarios Poltica: La Universidad Distrital precisa que la entidad no debe recolectar informacin sobre las creencias y afinidades ideolgicas y de comportamiento netamente personal de sus funcionarios, independientemente a los deberes, responsabilidades y compromisos con la entidad. 216. La necesidad de recolectar cualquier tipo de informacin privada deber ser justificada Poltica: La Universidad Distrital precisa que siempre que la entidad necesite recolectar informacin privada sobre empleados, clientes u otras personas deber existir una justificacin real documentada y aprobada por la direccin. 217. Prohibicin a la recoleccin de datos privados a travs de procedimientos no establecidos Poltica: La Universidad Distrital precisa que la entidad nunca debe recolectar datos privados de terceros sin haber obtenido primero su consentimiento. 218. Copiar informacin autorizada de terceros prohibiendo su distribucin o venta Poltica: La Universidad Distrital precisa que la recoleccin de informacin personal sobre los clientes potenciales y otros con quien la entidad tiene negocios habituales o potenciales y su acceso a esta deber ser controlada estrictamente sobre el fundamento de la necesidad de conocer el cliente y solo debe usarse la informacin para los propsitos comerciales internos y no para su distribucin o venta. 219. No es permitido recolectar informacin en forma automtica sobre el desempeo del trabajo de los funcionarios sin su autorizacin Poltica: La Universidad Distrital precisa que la direccin no debe usar equipos de cmputo para recolectar informacin automticamente sobre el desempeo de sus empleados a menos que stos estn de acuerdo. 220. La entidad se reserva el derecho de examinar la informacin almacenada en los sistemas corporativos Poltica: La Universidad Distrital precisa que en cualquier momento y sin previo aviso la direccin de la entidad se reserva el derecho de examinar el correo electrnico, los directorios de archivos personales, el disco duro, archivos y otra informacin guardada en los sistemas de informacin de la entidad. Este examen se realizar para asegurar la conformidad con las polticas internas, el apoyo a la ejecucin de investigaciones internas y ayudar al control de la administracin de los sistemas de informacin corporativos. 221. La entidad podr supervisar las comunicaciones de un funcionario Poltica: La Universidad Distrital precisa que la entidad no supervisar o interceptar las comunicaciones de un funcionario sin antes obtener su permiso. Una excepcin a esta poltica se har en los casos donde es probable que el aviso anticipado provoque un cambio en la conducta del funcionario.
Pgina 32
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 33 de 104
222. La entidad no deber generalizar el derecho de supervisar las comunicaciones de sus funcionarios Poltica: La Universidad Distrital precisa que la entidad no deber emplear en forma generalizada el monitoreo o supervisin de las comunicaciones de sus empleados. Sin embargo, se reserva el derecho de supervisar, acceder, recuperar, leer y/o descubrir comunicaciones del empleado cuando: a. Exista una legtima necesidad comercial y no pueda ser satisfecha a travs de otros medios. b. El funcionario involucrado no esta disponible y el tiempo es crtico para una actividad comercial. c. Exista una causa razonable para sospechar de una actividad delictiva o violacin a las polticas. d. La supervisin es requerida por la ley, regulacin o el acuerdo con una tercera parte. 223. La direccin no deber vigilar la conducta extra-laboral de sus funcionarios Poltica: La Universidad Distrital precisa que la direccin de la entidad no deber espiar las vidas de sus funcionarios ni su conducta fuera del trabajo a menos que las actividades extra-laborales sean nocivas para su normal desempeo o afecten el buen nombre de la entidad de una manera significativa. 224. La entidad no deber notificar a los usuarios la existencia de sistemas automticos de monitoreo Poltica: La Universidad Distrital precisa que no deben usarse herramientas automticas para supervisar o monitorear las actividades de los usuarios del sistema sin que stos sean notificaos con la debida anticipacin. La nica excepcin permisible a esta Poltica involucra investigaciones de actividades delictivas sospechosas. 225. Todos los usuarios investigados debern ser reportados al director del rea y registrados en una bitcora especial Poltica: La Universidad Distrital precisa que siempre que un usuario del sistema o de la red sea monitoreado o supervisado con propsitos investigativos o disciplinarios el director del rea implicada deber ser informado inmediatamente de esta actividad. Esta informacin deber ser registrada para futuras revisiones o acciones administrativas, disciplinarias o legales en una bitcora especial. 226. Los directores recibirn los registros de utilizacin de Internet para su anlisis Poltica: La Universidad Distrital precisa que peridicamente se debern revisar los registros de los sitios (web) visitados, los archivos transmitidos y la informacin que fue intercambiada a travs de Internet. Los directores de departamento recibirn reportes de dicha informacin para tomar las medidas pertinentes. 227. Se prohbe grabar conversaciones telefnicas no autorizadas Poltica: La Universidad Distrital precisa que la entidad no deber intervenir o grabar conversaciones telefnicas que no estn expresamente autorizadas.
Pgina 33
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 34 de 104
228. Notificacin formal a los diferentes usuarios de los sistemas de informacin automticos sobre la supervisin electrnica Poltica: La Universidad Distrital precisa que los empleados, contratistas y consultores debern ser notificados durante la entrevista inicial para su cargo que su trabajo puede ser electrnicamente supervisado. Esta notificacin deber hacerse por escrito e incluir el tipo de informacin que se extraer y cmo se usar en relacin con las normas existentes en produccin y las expectativas para cada individuo involucrado. 1.3.2.3. DIVULGACIN DE DATOS PRIVADOS 1.3.2.3.1. DIVULGACIN DE DATOS PRIVADOS DE EMPLEADOS 229. No se permitirn archivos confidenciales que contengan informacin de los empleados Poltica: La Universidad Distrital precisa que a excepcin de investigaciones delictivas no se permitir ningn sistema de registro de informacin de los funcionarios cuya existencia sea guardada confidencialmente. 230. El acceso de los empleados a su archivo de hoja de vida Poltica: La Universidad Distrital precisa que mediante solicitud escrita cada empleado deber tener acceso a su propia hoja de vida. 231. Prohibido revelar informacin privada de los empleados sin previa autorizacin Poltica: La Universidad Distrital precisa que la revelacin de informacin privada sobre los empleados a terceras personas no deber permitirse a menos que sea requerida por la ley o con consentimiento explicito del empleado. 232. Restriccin de revelar informacin particular de los empleados Poltica: La Universidad Distrital precisa que la entidad no revelar nombres, ttulos, nmeros de telfono, localizacin u otra informacin particular de sus empleados a menos que sea requerida para propsitos del negocio. Se harn excepciones cuando dicha revelacin sea exigida por ley o cuando las personas involucradas hayan consentido previamente tal revelacin de la informacin. 233. Restriccin de revelar la razn de terminacin del contrato de trabajo con los empleados Poltica: La Universidad Distrital precisa que para conservar la privacidad de la informacin del personal sobre la razn de la terminacin de contratos de trabajo con los empleados esta no deber revelarse a terceros. Las dos excepciones permitidas son la aprobacin previa del Rector o si dicha revelacin es requerida por la ley. 234. Restriccin de revelar los cambios de cargo de los empleados Poltica: La Universidad Distrital precisa que los detalles del cambio del cargo de un empleado son estrictamente confidenciales y no deber revelarse a nadie excepto a personas que tienen una buena razn para saberlo. El detalle del cambio de posicin incluye las razones para terminaciones, jubilaciones, resignaciones, hojas de ausencia, los resultados de una investigacin, restablecimiento o cambios de rol a posiciones de consultor/contratista. 235. Concesin a los empleados para revelar sus propios archivos de datos privados
Pgina 34
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 35 de 104
Poltica: La Universidad Distrital precisa que deber darse a los empleados el permiso para revelar los archivos que reflejan su propia informacin privada a terceras partes. Adems, deber permitrsele a los empleados informacin suficiente los resultados de una investigacin, traslados, restablecimiento o cambios de rol a posiciones de consultor/contratista. 236. Confidencialidad de la informacin en investigaciones internas Poltica: La Universidad Distrital precisa que hasta que se avance en la acusacin o sean tomadas acciones disciplinarias todas las investigaciones que se declaran delictivas o de conducta abusiva debern guardarse confidencialidad para preservar la reputacin de la parte sospechosa. 237. Revelacin obligatoria de la informacin de la salud y proteccin de la salud y proteccin de los funcionarios Poltica: La Universidad Distrital precisa que la direccin deber revelar totalmente a los empleados involucrados los resultados de pruebas de substancias txicas y otra informacin que esta relacionada con la salud y proteccin de los empleados. 238. Revisin de logs que reflejan las actividades de los usuarios en el sistema Poltica: La Universidad Distrital precisa que las actividades realizadas en el computador reflejadas en los logs de usuario no debern ser divulgados o entregados a terceros a menos que: a. Sea solicitado por orden legal o de entidades de control. b. Solicitud escrita por parte de los directamente afectados y el visto bueno corporativo. 239. Eliminacin de informacin de los logs Poltica: La Universidad Distrital precisa que se deben ejecutar tareas de mantenimiento individuales de borrado de informacin contenida en cada uno de los logs de auditoria y se debe garantizar el respaldo de esta informacin. 240. Supervisin de mensajes de correo electrnico Poltica: La Universidad Distrital precisa que los mensajes enviados a travs de sistemas de correo electrnico internos no estn sujetos al derecho de privacidad por lo tanto pueden ser ledos por los directivos de la entidad y/o administradores del sistema. 241. Derechos de la entidad sobre la lectura por parte de terceros de mensajes de correo electrnico Poltica: La Universidad Distrital precisa que la entidad permitir el acceso a los mensajes enviados por medio del correo electrnico a terceras personas solo si el remitente o el destinatario han establecido el permiso. 242. Reglamentacin para los funcionarios sobre los derechos privacidad Poltica: La Universidad Distrital precisa que sin la debida autorizacin por parte de un nivel jerrquico de la entidad los funcionarios no debern suministrar informacin a ninguna empresa externa.
Pgina 35
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 36 de 104
243. Requerimientos autorizados de informacin por acciones cuestionables del sistema Poltica: La Universidad Distrital precisa que cuando se duda sobre cualquier accin realizada a travs de un computador, se deber informar a quienes la accin perjudicar mediante comunicacin escrita la cual deber incluir una descripcin de las acciones que se proponen o sugieren adoptar para solucionar el impacto del error o evento. Las soluciones a implementar solo pueden ser ejecutadas previa autorizacin del afectado mediante comunicacin escrita, de lo contrario se deber abstener de su ejecucin. 244. Conocimiento del objeto de la solicitud de informacin confidencial Poltica: La Universidad Distrital precisa que la entidad deber informar al usuario como se usar la informacin confidencial antes de ser suministrada a terceros. 1.3.2.4. MANEJO DE DATOS PRIVADOS 245. Copias de archivos que tengan informacin confidencial Poltica: La Universidad Distrital precisa que los funcionarios pueden observar o realizar copias de la informacin que les aparece en los archivos personales. 246. Condiciones bajo las que se permite a los funcionarios examinar sus archivos Poltica: La Universidad Distrital precisa que todos los funcionarios que deseen examinar los archivos personales debern solicitarlo por escrito al director de recursos humanos. Las revisiones del archivo solo debern realizarse en los horarios fijos y en presencia de un representante de recursos humanos. 247. Derecho del empleado de actualizacin de su archivo personal Poltica: La Universidad Distrital precisa que si los empleados objetan la exactitud, relevancia o integridad de la informacin que aparece en su archivo personal debern realizar sus observaciones que contengan no ms de 200 palabras. 248. Esfuerzos para asegurar la integridad de los archivos personales Poltica: La Universidad Distrital precisa que la Rectora deber hacer esfuerzos razonables para asegurar que toda la informacin del personal sea exacta, oportuna, pertinente y completa. 249. Seguridades con la informacin en los archivos personales para restringir su uso Poltica: La Universidad Distrital precisa que la Rectora deber realizar esfuerzos razonables para asegurar la informacin contenida en los archivos personales solo sea usada por las personas autorizadas para tal fin previniendo el uso inapropiado de la misma. 250. Uso de de la informacin del personal para nuevos propsitos Poltica: La Universidad Distrital precisa que la informacin personal sobre los funcionarios, consultores o contratistas que se haya recogido para un propsito especfico no puede ser usada para propsitos diferentes sin el previo consentimiento de los directamente involucrados. 251. Revisin del impacto del proyecto en la privacidad de las personas
Pgina 36
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 37 de 104
Poltica: La Universidad Distrital precisa que todo proyecto de desarrollo o mejora de los sistemas que pudiera afectar la privacidad de los individuos debe ser revisado con anterioridad por un comit independiente. Este comit debe: a. Determinar si los individuos sern puestos en riesgos o en desventaja como resultado del proyecto. b. Cuando sea necesario recomendar las medidas correctivas y c. Si es necesario recomendar la cancelacin del proyecto. 1.3.3. CONFIDENCIALIDAD DE LOS DATOS 1.3.3.1. POLTICAS GENERALES PARA LA CONFIDENCIALIDAD DE LOS DATOS 252. Acuerdo de confidencialidad para todos los funcionarios de la entidad Poltica: La Universidad Distrital precisa que todos los empleados, consultores, contratistas y personal temporal deben firmar un acuerdo de confidencialidad de la informacin al iniciar su trabajo con la entidad. 253. Falta de restricciones sobre la diseminacin de la informacin en la entidad Poltica: La Universidad Distrital precisa que toda la informacin interna de la compaa debe ser protegida contra revelaciones a terceros. Solo puede darse acceso a la informacin de la compaa a terceros personas cuando sea demostrable la necesidad o se sepa que existe y cuando esta se de a conocer debe haber sido autorizado expresamente por la rectora. 254. Notificacin de una posible prdida o revelacin de informacin confidencial Poltica: La Universidad Distrital precisa que si se pierde informacin secreta, confidencial o privada o es revelada a personas no autorizadas o se sospecha de haberse perdido o revelado a personas no autorizadas sus dueos y el director del departamento de seguridad de la informacin deben ser notificados inmediatamente. 255. Revelacin de los controles del sistema de informacin a terceras personas Poltica: La Universidad Distrital precisa que los funcionarios no deben revelar a ninguna persona fuera de la compaa ni los controles del sistema de informacin que son usados ni la forma en que estn implementados. Las excepciones sern hechas nicamente si se obtiene primero un permiso del director del departamento de seguridad de la informacin. 256. Revelacin de informacin acerca de las vulnerabilidades de los sistemas de informacin Poltica: La Universidad Distrital precisa que la informacin especfica de las vulnerabilidades de los sistemas de informacin tales como los detalles de una reciente entrada ilegal al sistema no se entregar a personas no autorizadas. 257. Divulgacin de las vulnerabilidades del sistema o violaciones al mismo Poltica: La Universidad Distrital precisa que los funcionarios no deben revelar pblicamente informacin acerca de los individuos, organizaciones o sistemas especficos que han sido daados por fraudes informticos y abusos de computadores. As mismo, los mtodos especficos usados para detectar las vulnerabilidades del sistema no se deben revelar pblicamente.
Pgina 37
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 38 de 104
258. Custodia y administracin del software utilizado para probar el software de seguridad Poltica: La Universidad Distrital precisa que todo software que comprometa la seguridad del sistema (tal como virus de computador, caballos de Troya y otras rutinas) se custodiar y administrar nicamente por personal autorizado. As mismo, los anlisis tcnicos de dichas rutinas de software nicamente se revelarn a personas autorizadas. 259. Presentacin de una imagen segura y de perfil bajo (low-profile) Poltica: La Universidad Distrital precisa que la entidad en todo momento se presentar segura ante los clientes y terceras partes. La existencia y naturaleza de los activos importantes de la entidad nicamente debe ser accesible a personas autorizadas. 260. Control de acceso a la informacin Poltica: La Universidad Distrital precisa que el sistema de control de acceso se debe disear de tal forma que si la seguridad de alguno de sus componentes se ve comprometida la seguridad integral del sistema no lo sea. 261. Elegir clasificacin de los medios de almacenamiento de datos en computador Poltica: La Universidad Distrital precisa que si la informacin que est grabada en medio de almacenamiento clasificado como de alta sensibilidad es movida a un medio con una clasificacin inferior estos medios se deben mejorar y reclasificar como medios de alta sensibilidad. 1.3.3.2. CATEGORAS DE CLASIFICACIN DE DATOS 262. Esquema de clasificacin de datos en cuatro categoras Poltica: La Universidad Distrital precisa que los datos se deben clasificar en cuatro categoras de sensibilidad segn los requerimientos de manejo as: SECRETO, CONFIDENCIAL, PRIVADO y SIN CLASIFICAR. Estas clasificaciones se definen como se indica a continuacin: SECRETO: Aplica a la informacin de la mas alta sensibilidad del negocio que por ninguna razn debe salir de la entidad, es decir que su uso es estrictamente dentro de la entidad. Su divulgacin no autorizada podra incidir sera y adversamente en la entidad, sus actividades y/o socios. CONFIDENCIAL: Aplica a la informacin menos sensible del negocio que es destinada al uso dentro de la entidad. Su divulgacin no autorizada podra incidir adversamente en la entidad. PRIVADO: Aplica a la informacin personal tanto de la historia de la empresa como de sus empleados destinada al uso dentro de la entidad. Su divulgacin no autorizada podra incidir seria y adversamente en la entidad y/o sus empleados. SIN CLASIFICAR: Esta clasificacin aplica a toda la informacin restante que no se adapta claramente en ninguna de las anteriores clasificaciones siempre y cuando su divulgacin no autorizada este en contra de la poltica y no incida seria y adversamente en la entidad y sus empleados.
Pgina 38
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 39 de 104
263. Uso de prefijos que describan las categoras de clasificacin de datos Poltica: La Universidad Distrital precisa que los prefijos como Financiero, Administrativo y Jurdico entre otros se deben usar como parte de la categora de clasificacin de datos aprobada. Estos prefijos se utilizan como indicadores generales para identificar la naturaleza de la informacin y las personas autorizadas a acceder la informacin. 1.3.3.3. MARCACIN DE LOS DATOS CLASIFICADOS 264. Marcado de informacin de acuerdo con los estndares de clasificacin Poltica: La Universidad Distrital precisa que toda informacin secreta, confidencialidad y privada debe etiquetarse (marcarse) segn normas emitidas por el departamento de seguridad informtica. La informacin que no se encuentra dentro de alguna de las categoras no necesita ser marcada como sin clasificar. Estas marcas deben mantenerse para cualquier tecnologa usada ya sea en captura, almacenamiento o procesamiento de la informacin. 265. Responsabilidad para asignar las etiquetas en los sistemas de clasificacin de datos Poltica: La Universidad Distrital precisa que los funcionarios que crean o actualizan la informacin son los responsables de escoger la clasificacin apropiada de la informacin y etiquetarla. Esta etiqueta debe ser consistente con las decisiones tomadas por los dueos de la informacin. La etiqueta debe tambin ser consistente con los estndares de clasificacin de datos de la entidad. 266. Responsabilidad para marcar la informacin suministrada externamente Poltica: La Universidad Distrital precisa que con excepcin de la correspondencia general de negocio y los registros del software, toda la informacin suministrada externamente que no es claramente del dominio pblico debe ser clasificada y etiquetada. El funcionario que recibe esta informacin es el responsable de asignar una clasificacin apropiada. Cuando se asigne una etiqueta de clasificacin de la entidad este funcionario debe conservar las notas de propiedad, crditos del autor, directrices para la interpretacin, as como tambin la informacin sobre la distribucin restringida. 267. Requerimientos de marcacin externa para los medios magnticos Poltica: La Universidad Distrital precisa que todas las cintas, disquetes y otros medios de almacenamiento de computador que contengan informacin secreta, confidencial o privada se deben marcar externamente con la respectiva clasificacin de sensibilidad. 268. Ubicacin de la marca de sensibilidad sobre los documentos Poltica: La Universidad Distrital precisa que toda impresin, escritura a mano, documentos manuscritos o similares de informacin secreta, confidencial o privada deben tener una marca de sensibilidad apropiada puesta en la esquina superior derecha de cada pgina. 269. Marcacin de sensibilidad para los documentos empastados o encuadernados Poltica: La Universidad Distrital precisa que todas las impresiones, escrituras a mano u otras manifestaciones tangibles de informacin secreta, confidencial o privada deben tener una marca apropiada de sensibilidad sobre la portada anterior, la pagina de ttulo y la portada trasera.
Pgina 39
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 40 de 104
270. Marcacin y presentacin de informacin sensible a usuarios de computador Poltica: La Universidad Distrital precisa que si la informacin es secreta, confidencial o privada siempre que se muestre en la pantalla o de cualquier manera se presente al usuario del computador debe mostrar la clasificacin de sensibilidad de la informacin. 271. Uso de etiquetas durante el ciclo de vida de la informacin sensible Poltica: La Universidad Distrital precisa que desde que la informacin se crea hasta que se destruye o reclasifica se debe identificar con una marca de sensibilidad ya sea secreta, confidencial o privada. 272. Etiquetas para archivos de informacin con diversas sensibilidades Poltica: La Universidad Distrital precisa que cuando se combina informacin de varias clasificaciones de sensibilidad el archivo resultante se debe clasificar en el nivel mas restringido que se haya encontrado. 1.3.3.4. IMPLEMENTACIN DEL SISTEMA DE CLASIFICACIN 1.3.3.4.1. COPIAS E IMPRESIONES 273. Permisos requeridos cuando se elaboran copias de informacin sensible Poltica: La Universidad Distrital precisa que la elaboracin de copias adicionales o la impresin de copias extras de la informacin secreta, confidencial o privada no se debe realizar sin el permiso anticipado del propietario de la informacin. 274. Seguimiento a las copias de informacin sensible Poltica: La Universidad Distrital precisa que cada vez que se hacen copias adicionales de informacin sensible se debe llevar un registro en un log donde se indique el nmero de copias y cantidad de receptores de stas. Se debe informar a cada uno de los receptores sobre la distribucin o copia adicional que se realice despus que se ha obtenido el permiso del propietario de la informacin. 275. Destruccin de productos intermedios que contienen informacin sensible Poltica: La Universidad Distrital precisa que si una fotocopiadora o impresora se atasca o sufre desperfectos cuando los funcionarios estn sacando las copias de informacin secreta, ellos no deben abandonar la mquina hasta que todas las copias de la informacin sean removidas o destruidas. 276. Destruccin del material de desecho de informacin sensible Poltica: La Universidad Distrital precisa que todas las copias de desecho de informacin secreta que se generan en el copiado, impresin o cualquier otra forma similar se deben destruir de acuerdo con los procedimientos aprobados. 277. Presencia de funcionarios autorizados en el proceso de impresin de la informacin sensible Poltica: La Universidad Distrital precisa que las impresoras no se deben descuidar cuando la informacin sensible est siendo impresa o pronto se imprimir. Cuando el proceso de impresin
Pgina 40
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 41 de 104
se realiza sin la debida atencin de algn funcionario autorizado deben existir controles de acceso fsico para impedir que personas no autorizadas estn alrededor de la impresora y visualicen el material que esta siendo impreso. 278. Responsabilidad y numeracin de pginas para la informacin sensible Poltica: La Universidad Distrital precisa que todo papel con informacin sensible de la entidad debe indicar la primera y la ltima pgina (por ejemplo, pgina X de Y). 1.3.3.4.2. ENVI Y MANIPULACIN MANUAL DE LA INFORMACIN
279. Acuerdos con terceros para no divulgar la informacin sensible Poltica: La Universidad Distrital precisa que con anterioridad a enviar cualquier informacin secreta, confidencial o privada a terceros para copiar, imprimir, formatear o cualquier otro manejo, los terceros deben firmar con la entidad acuerdo de no divulgacin. 280. Envi de informacin privada y confidencial por el correo interno o externo Poltica: La Universidad Distrital precisa que la informacin privada y confidencial enviada por el correo interno o externo se debe remitir en un sobre opaco sellado y marcado con el mensaje: Para ser abierta nicamente por el destinatario. 281. Requerimientos de dos sobres para enviar la informacin sensible por correo Poltica: La Universidad Distrital precisa que la informacin privada o confidencial enviada mediante correo interno o externo o por mensajera se debe guardar en dos sobres (envueltos doblemente). El sobre de afuera no debe indicar la clasificacin de la informacin y el sobre opaco de adentro debe marcarse Privado, Confidencial o Secreto segn corresponda. 282. Mtodos permitidos para trasmitir documentos con informacin secreta Poltica: La Universidad Distrital precisa que el documento con informacin secreta se debe enviar por correo certificado o por mensajera de confianza. Se prohben otros mtodos tales como correo regular. 283. Papel especial para prevenir el copiado de documentos sensibles Poltica: La Universidad Distrital precisa que la informacin privada, confidencial o secreta de la entidad que es liberada a terceras partes en forma de documento escrito, debe ser distribuida exclusivamente en papel especial que no pueda ser copiado usando fotocopiadoras normales. Toda excepcin requiere la aprobacin previa del vicerrector. 284. Envi de informacin sensible por medios computarizados Poltica: La Universidad Distrital precisa que la informacin privada, confidencial o secreta generada por sistemas de computacin debe entregarse personalmente a los destinatarios. Esta informacin nunca debe enviarse a un escritorio no atendido o dejada en una oficina abierta o desocupada, como alternativa la informacin puede ser dejada nicamente a los destinatarios a travs de armarios cerrados u otros mtodos de seguridad fsica. 285. Acuse de recibo cuando se enva informacin secreta
Pgina 41
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 42 de 104
Poltica: La Universidad Distrital precisa que todos los envos de informacin secreta se deben realizar de tal forma que el receptor indique formalmente que la informacin ha sido recibida (acuse de recibo). 286. Acuse de recibo escrito para la informacin secreta Poltica: La Universidad Distrital precisa que los receptores de informacin secreta deben enviar acuse de recibo formalmente y por escrito en el mismo momento en que se recibe. Se prohbe la distribucin de informacin secreta con intermediarios. 287. Libro de log o registro que refleje el movimiento de documentos secretos Poltica: La Universidad Distrital precisa que cuando informacin secreta es involucrada un log debe mantener el reflejo de las copias hechas, la localizacin de las copias, los nombres de los receptores, la direccin de los receptores y de cualquier persona que vea las copias. Estos logs se deben clasificar como informacin secreta y se debe guardar tanto tiempo como la informacin se mantenga clasificada como secreta. 288. Nmero de secuencia para documentos secretos Poltica: La Universidad Distrital precisa que todas las copias de documentos secretos deben ser numeradas individualmente con un nmero secuencial para que las personas responsables puedan localizar rpidamente los documentos e identificar algn faltante de la misma. 289. La informacin sensible debe permanecer en lugares con acceso restringido Poltica: La Universidad Distrital precisa que los funcionarios que custodian la informacin sensible de la entidad deben asegurar que esos materiales no estn disponibles para personas no autorizadas. La informacin sensible debe ser rotulada como Confidencial o Secreta. 1.3.3.4.3. TRANSACCIONES POR FAX Y TELFONO
290. Cuidados previos y operacin para atender el envi de informacin sensible por fax Poltica: La Universidad Distrital precisa que cuando la informacin secreta se enva por fax el receptor debe haber sido notificado del momento en el cual se har la transmisin y adems estar de acuerdo en que una persona autorizada estar presente en la mquina de destino cuando el material sea enviado. Excepto cuando el rea que se encuentra alrededor del fax est restringida fsicamente de tal forma que no puedan entrar personas que no estn autorizadas para ver el terminal. 291. Requerimientos de presencia humana para el envi de informacin sensible por fax Poltica: La Universidad Distrital precisa que los Documentos sensibles no se deben enviar por fax a menos que una de las siguientes condiciones prevalezca en ambas partes, el sitio de origen y en el de destino: a. Un miembro del personal autorizado est listo para manipular apropiadamente los documentos, o b. Una clave que protege la mquina de fax es usada para restringir la liberacin no autorizada de los documentos. 292. Envi de informacin sensible por fax por medio de terceros no confiables
Pgina 42
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 43 de 104
Poltica: La Universidad Distrital precisa que la informacin sensible de la entidad no se debe enviar por fax con intermediarios no confiables (personal de hoteles, personal de almacenes que arriendan fax, etc). 293. Confirmacin de recepcin de la portada o pgina inicial antes de enviar informacin sensible por fax Poltica: La Universidad Distrital precisa que cuando se enve informacin sensible por fax se debe enviar primero una portada o pgina inicial la cual debe ser reconocida por el receptor. Despus se puede enviar la informacin sensible por medio de otra llamada realizada inmediatamente el reconocimiento. 294. Situaciones permitidas para enviar informacin sensible por fax Poltica: La Universidad Distrital precisa que la informacin sensible puede ser enviada por fax sobre lneas no encriptadas solo cuando: a. El tiempo es lo esencial y primordial. b. No hay alternativa, ni los mtodos de transmisin de alta seguridad estn disponibles. Para asegurar que la informacin sensible no se divulgue a otros se requiere de una comunicacin telefnica con el receptor antes de realizar la transmisin. 295. Seguridad fsica en el destino de la informacin sensible que se enva por fax Poltica: La Universidad Distrital precisa que la informacin confidencial o secreta no se debe enviar a una mquina de fax desatendida a menos que la mquina destino est en un cuarto cerrado y las llaves estn nicamente en manos de personal autorizado para recibir la informacin. 296. Requerimientos de encripcin para enviar informacin secreta por fax Poltica: La Universidad Distrital precisa que la informacin secreta NO debe enviarse por fax a menos que viaje encriptada o se utilicen mtodos aprobados por el departamento de seguridad informtica de la entidad. 297. Requerimientos de clave para enviar informacin secreta por fax Poltica: La Universidad Distrital precisa que la informacin secreta no se debe enviar por fax a menos que se enve exitosamente una contrasea con anterioridad a la iniciacin de la transmisin. 298. La hoja de portada del fax debe contener aviso de restriccin de difusin Poltica: La Universidad Distrital precisa que todo fax que se enve debe incluir una hoja de portada previamente aprobada por el departamento de sistemas de informacin. 299. Las firmas obligatorias deben ser enviadas por medios tradicionales de papel Poltica: La Universidad Distrital precisa que todas las firmas de un contrato, orden de compra y otros documentos igualmente importantes obligatoriamente se deben enviar en papel original. Legalmente las cortes pueden no reconocen las formas que se comprometen cuando son enviadas por fax.
Pgina 43
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 300. Difusin de informacin secreta y el uso de los altavoces
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 44 de 104
Poltica: La Universidad Distrital precisa que la informacin no se debe discutir por altavoz telefnico a menos que los participantes confirmen que alrededor no hay personas no autorizadas que podran escuchar la conversacin. 301. Uso de vocabulario prudente en las conversaciones telefnicas que involucre informacin sensible Poltica: La Universidad Distrital precisa que debido a que las lneas telefnicas pueden ser interceptadas por personas no autorizadas los funcionarios deben tomar medidas para evitar hablar de informacin sensible por telfono. En caso de ser absolutamente necesario los funcionarios deben ser cautos en los trminos y abstenerse de mencionar detalles sensibles ms all de aquellos necesarios para realizar el trabajo. 302. Uso de telfonos inalmbricos o celulares anlogos en conversaciones secretas Poltica: La Universidad Distrital precisa que asuntos que involucren informacin secreta de la entidad nunca se deben discutir en telfonos inalmbricos o celulares anlogos a menos que el departamento de seguridad informtica apruebe alguna lnea de comunicacin encriptada. 1.3.3.4.4. MOVIMIENTO DE INFORMACIN CONFIDENCIAL
303. Diseminacin de informacin secreta Poltica: La Universidad Distrital precisa que la informacin secreta nicamente se debe revelar despus que se ha obtenido la autorizacin explicita por parte del propietario. Si un individuo ha obtenido acceso a la informacin secreta no implica que ste este autorizado para revelarla a otras personas. 304. Traslado de informacin secreta transporte pblico Poltica: La Universidad Distrital precisa que a menos que exista una aprobacin especfica de la administracin los funcionarios deben evitar llevar informacin secreta de la entidad en transporte pblico. 305. Exposicin de informacin sensible en lugares pblicos Poltica: La Universidad Distrital precisa que la informacin secreta, confidencial o privada de la entidad no se debe leer, discutir o exponer en restaurantes, transporte pblico o en cualquier otro lugar pblico. 306. Almacenamiento de informacin secreta en computadores porttiles Poltica: La Universidad Distrital precisa que los funcionarios no deben abandonar o dejar sin atencin los computadores porttiles a su cargo que contengan informacin secreta de la entidad a menos que la informacin est encriptada. Se conocen como computadores porttiles los laptop, notebook, palmtop y handbook entre otros. 307. Controles para computadores porttiles con informacin sensible Poltica: La Universidad Distrital precisa que todos los computadores porttiles (laptop, notebook, palmtop y handbook entre otros) de la compaa que contengan informacin sensible
Pgina 44
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 45 de 104
deben emplear encripcin en el disco duro para sus archivos y proteccin para el arranque del sistema. 308. Premisas para la remocin de informacin sensible de la entidad Poltica: La Universidad Distrital precisa que la informacin sensible de la entidad no debe ser removida a menos que haya sido aprobada por el propietario de la informacin. Esta poltica incluye computadores, servidores, disquetes, documentos escritos, memos en papel y similares. Una excepcin se hace para backups externos autorizados. 309. Premisas de log para remover la informacin sensible de la entidad Poltica: La Universidad Distrital precisa que siempre que la informacin sensible de la entidad vaya a ser removida se debe dejar un registro de la fecha, informacin involucrada y personas que poseen dicha informacin. 310. Premisas para la manipulacin de copias de informacin sensible fuera de la entidad Poltica: La Universidad Distrital precisa que las copias de informacin sensible que no se encuentre en la entidad y no se est usando se deben llevar en un maletn o caja cerrada con llave. Dicha informacin no se debe dejar en vehculos, salones, oficinas u otras ubicaciones an si el lugar se encuentra cerrado. 311. Medios magnticos requeridos para enviar informacin a terceros Poltica: La Universidad Distrital precisa que todos los medios magnticos de computador que se envan a terceras personas se deben formatear antes de grabar la informacin que va a ser transferida. 312. Certificacin de destruccin antes que el medio de almacenamiento sea devuelto Poltica: La Universidad Distrital precisa que cuando una entidad externa requiere que los medios magnticos (cintas, discos, CD-ROMs, etc) en los que se envi la informacin sean devueltos la gerencia de la entidad debe enviar a la entidad externa una comunicacin escrita asegurando que la informacin suministrada ha sido destruida. 313. Confidencialidad de la documentacin relacionada con el computador de la entidad Poltica: La Universidad Distrital precisa que toda la documentacin relacionada con el computador es confidencial por lo tanto los empleados, consultores o contratistas no deben tomar esta informacin al retirarse de la entidad. 314. Envo de informacin secreta por correo electrnico Poltica: La Universidad Distrital precisa que si la informacin secreta puede leerse directamente no se debe enviar por correo electrnico a menos que lo autorice la oficina de seguridad informtica. Si se cuenta con un mtodo de encripcin aprobado y adicionalmente se encripta la informacin al enviar y se desencripta nicamente en el destino entonces la informacin secreta se puede enviar por el sistema de correo electrnico. 1.3.3.4.5. ALMACENAMIENTO Y DISPOSICIN
Pgina 45
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 46 de 104
315. Sistemas de informacin inadecuados por manejo de informacin sensible en el tiempo (time-sensitive) Poltica: La Universidad Distrital precisa que para evitar que la informacin sensible en un rango de tiempo pueda ser conocida por personas no autorizadas no se debe manejar por correo electrnico, correo de voz, llamadas telefnicas u otros sistemas computarizados hasta que se vuelva pblica. 316. Limpieza de escritorios y reas de trabajo Poltica: La Universidad Distrital precisa que fuera de las horas de trabajo todos los funcionarios deben dejar limpios sus propios escritorios y reas de trabajo de tal forma que todos los datos sensibles o valiosos queden asegurados adecuadamente. 317. Poltica tradicional de escritorio limpio Poltica: La Universidad Distrital precisa que durante horas no laborales los empleados de reas que manejan informacin sensible deben dejar bajo llave toda la informacin. A menos que la informacin la est usando personal autorizado, los escritorios deben estar absolutamente cerrados y limpios durante horas no laborales. 318. Aseguramiento de informacin sensible en lugares desatendidos Poltica: La Universidad Distrital precisa que la informacin sensible que no se est usando siempre debe protegerse para que no sea divulgada sin autorizacin. Cuando la informacin se encuentre en una sala desatendida se debe guardar bajo llave en lugares de almacenamiento apropiados. Si la persona que custodia la informacin necesita retirarse por menos de treinta minutos la informacin se debe dejar sobre un escritorio o en algn otro sitio visible, siempre y cuando todas las puertas y ventanas de la sala desatendida estn cerradas y/o bajo llave. 319. Almacenamiento de informacin sensible en computadores personales Poltica: La Universidad Distrital precisa que si la informacin sensible est almacenada en la unidad de disco duro u otros componentes internos de un computador personal sta debe estar protegida por un control de acceso de contrasea o estar encriptada. Cuando la informacin sensible se graba en disquetes cintas magnticas, tarjetas inteligentes u otros medios de almacenamiento stos se deben clasificar en el nivel ms alto de sensibilidad. A menos que dicha informacin est encriptada estos medios se deben guardas en muebles cerrados cuando la informacin no se encuentre en uso. 320. Almacenamiento de informacin sensible cuando no esta en uso Poltica: La Universidad Distrital precisa que cuando la informacin sensible no se est utilizando se debe guardar en archivadores, escritorios, cajas fuertes u otros muebles. En estas mismas condiciones todos los medios de almacenamiento magntico (disquetes, cintas, CDROMs, etc) que contienen informacin sensible se debe guardar en medios similares a los citados anteriormente. 321. Especificar la fecha para reclasificar la informacin Poltica: La Universidad Distrital precisa que como parte de la informacin de clasificacin de la informacin secreta, confidencial o privada se debe indicar la fecha en que deja de ser sensible.
Pgina 46
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 47 de 104
Esta Poltica tambin aplica para esas circunstancias donde la informacin se degrada a una clasificacin menos sensible. 322. Acelerar la reclasificacin de la informacin sensible Poltica: La Universidad Distrital precisa que en cualquier momento el propietario de la informacin puede reclasificar el nivel de sensibilidad inicialmente aplicado a la informacin. Para lograr esto el propietario debe: a. Cambiar la etiqueta de clasificacin que aparece sobre el documento original. b. Notificar a los receptores de la informacin, y c. Notificar a los funcionarios que custodian esta informacin. 323. Extensin de la fecha de reclasificacin de la informacin Poltica: La Universidad Distrital precisa que en cualquier momento y con anterioridad a la programacin de reclasificacin a un nivel inferior el propietario de la informacin puede extender el periodo para que sta permanezca en un nivel seguro de clasificacin. Para lograr esto el propietario debe: a. Cambiar la fecha de reclasificacin o degradacin que aparece sobre el documento original. b. Notificar a todos los receptores de la informacin. c. Evaluar el costo-beneficio de buscar receptores adicionales. Y d. Notificar a los funcionarios que custodian la informacin. 324. Programacin automtica para reclasificar la informacin a un nivel inferior de clasificacin Poltica: La Universidad Distrital precisa que la clasificacin de sensibilidad de todos los documentos de la entidad se debe reclasificar con la periodicidad descrita en la siguiente tabla. Existen excepciones cuando hay documentos que hacen parte de listas especiales y cuando el propietario de la informacin ha dado otras instrucciones para reclasificar o degradar la informacin. Clasificacin Existente Secreto Confidencial Privado Nueva Clasificacin Confidencial Privado Pblico Despus de X Aos 10 5 20
325. Revisin peridica o anual para reclasificar la informacin sensible Poltica: La Universidad Distrital precisa que para determinar si la informacin sensible se puede reclasificar en un nivel inferior al menos una vez al ao (o con una periodicidad determinada), los propietarios de la informacin deben revisar las clasificaciones de sensibilidad asignada a la informacin de la cual ellos son responsables. 326. Reclasificacin de la informacin sensible tan pronto como sea posible Poltica: La Universidad Distrital precisa que desde el punto de vistan de sensibilidad se puede reclasificar en un nivel inferior tan pronto como sea posible como sea posible ya que mantener la informacin clasificada en altos niveles de seguridad genera altos costos en seguridad. 327. Periodo de retencin requerido para toda la informacin sensible
Pgina 47
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 48 de 104
Poltica: La Universidad Distrital precisa que a toda la informacin secreta se le debe asignar un periodo de retencin sin importar el medio en el cual se encuentre almacenada (documentos, archivos de computador, etc). 328. Destruccin de informacin sensible antes de ser divulgada pblicamente Poltica: La Universidad Distrital precisa que antes de enviar medios de almacenamiento magntico a vendedores o terceros la informacin sensible se debe destruir u ocultar segn mtodos aprobados por el departamento de seguridad informtica. 329. El uso de discos duros para el almacenamiento de informacin sensible Poltica: La Universidad Distrital precisa que los funcionarios no deben almacenar informacin privada, confidencial o secreta en los discos duros del microcomputador o estacin de trabajo a menos que el administrador de seguridad informtica haya determinado las medidas de seguridad adecuadas que se emplearn para su proteccin. 330. Mezcla de informacin sensible u no sensible en el mismo disco Poltica: La Universidad Distrital precisa que los funcionarios no deben almacenar informacin confidencial, secreta o privada junto con informacin no sensible en medios de almacenamiento como disquetes u otros medios de almacenamiento removibles. 331. Destruccin de informacin sensible almacenada en medios de computacin Poltica: La Universidad Distrital precisa que cuando se requiera eliminar informacin secreta, confidencial o privada los medios magnticos que almacenan dicha informacin se deben formatear, defragmentar o destruir en cualquier otra forma aprobada por el departamento de seguridad informtica de la entidad. 332. Reescritura con un patrn definido para borrar informacin sensible Poltica: La Universidad Distrital precisa que cuando la informacin sensible de la entidad es borrada de un disco duro, cinta u otro medio de almacenamiento magntico esto se debe complementar con una operacin de repeticin de sobreescritura la cual impide que mas tarde los datos sean recuperados. 333. Mtodos aprobados para eliminar una copia de la informacin sensible Poltica: La Universidad Distrital precisa que las copias de informacin secreta, confidencial o privada que se encuentra en medios como papel, microfilm, microfichas u otros similares se debe picar o incinerar. 334. Instrucciones de destruccin de informacin para el personal de seguridad Poltica: La Universidad Distrital precisa que los desechos de informacin sensible que se separan para una destruccin especial no se deben clasificar en categoras para destruir y no destruir. Todos los materiales de desecho de informacin sensible se deben destruir de acuerdo con los procedimientos aprobados sin importar las consecuencias de reciclamiento. 335. La destruccin de informacin sensible debe seguir procedimientos especficos
Pgina 48
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 49 de 104
Poltica: La Universidad Distrital precisa que toda la informacin sensible o de valor para la entidad que no se ha necesitado por largos periodos de tiempo se debe destruir en forma segura usando procedimientos aprobados por el departamento de seguridad informtica. 336. Personas autorizadas para destruir la informacin sensible de la entidad Poltica: La Universidad Distrital precisa que para el proceso de destruccin de informacin sensible sea ms seguro lo debe realizar personal de la entidad o contratando un servicio de destruccin. 337. Uso de cajas o lockers metlicos para retener informacin sensible que va a ser destruida Poltica: La Universidad Distrital precisa que toda la informacin secreta, confidencial y privada que no se ha usado o no se ha necesitado por mucho tiempo (no importa en que medio se encuentre discos, documentos, etc) se debe guardar en cajas metlicas con llave hasta cuando personal autorizado de la entidad o de la empresa de servicio contratada la recoja. 338. Aprobacin de la Vicerrectora para destruir registros de informacin Poltica: La Universidad Distrital precisa que los funcionarios no deben destruir o disponer de la informacin que es potencialmente importante para la entidad sin tener una aprobacin especfica. El individuo que realice una destruccin no autorizada de los registros o informacin de la entidad estar sujeto a acciones disciplinarias incluyendo la terminacin del contrato y procesos legares. Los registros y la informacin de debe conservar s: a. Son necesarios en el futuro, b. Las leyes o los estatutos requieren su conservacin y c. En caso de que puedan ser necesitados como pruebas en investigaciones de actos ilcitos, no autorizados o abusos. 339. Prohibicin para destruccin de registros a menos que se est autorizado en una lista o en una planilla de programacin. Poltica: La Universidad Distrital precisa que los funcionarios no deben destruir los archivos de la entidad a menos que estos registros: a. Aparezcan en una lista de registros autorizados para su destruccin y b. Puedan ser destruidos de acuerdo con las instrucciones que aparezcan en la lista o programacin de retencin y disposicin de registros. La destruccin se define como un accin que previene la recuperacin de la informacin desde el medio de almacenamiento donde se encuentra grabada (incluye encripcin, borrado y disponibilidad del hardware necesario para la recuperacin de la informacin). 340. Destruccin de materiales usados en la manipulacin de informacin sensible Poltica: La Universidad Distrital precisa que todos los materiales usados en la manipulacin de la informacin sensible que puedan ser analizados para recuperar la informacin se deben destruir de una manera similar a la utilizada para destruir informacin sensible. Esta Poltica cubre cintas de mquina de escribir, papeles carbn, papel para mimegrafos o estnciles, negativos de fotografa, fotocopias desechas o impresiones abortadas o no necesitadas, etc. 1.3.3.5. PERMISOS DE ACCESO A DATOS CONFIDENCIALES
Pgina 49
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 50 de 104
341. Autorizacin previa de acceso a informacin sensible y valiosa Poltica: La Universidad Distrital precisa que el acceso a la informacin sensible o valiosa se debe permitir nicamente cuando se tenga una autorizacin formal de la administracin. 342. Otorgar permisos individuales de acceso a la informacin secreta (no a grupos de personas) Poltica: La Universidad Distrital precisa que el acceso a la informacin secreta se debe otorgar nicamente a personas especficas y no a un grupo de ellas. 343. Otorgar privilegios de sistema de acuerdo con la jerarqua de la autoridad Poltica: La Universidad Distrital precisa que los privilegios del sistema de computacin y comunicacin se deben otorgar nicamente por una jerarqua clara de delegacin de autoridad. 344. Acuerdos de confidencialidad y divulgacin de informacin sensible Poltica: La Universidad Distrital precisa que toda divulgacin de informacin secreta, confidencial o privada a terceros se debe realizar por medio de un acuerdo de confidencialidad debidamente firmado el cual incluye restricciones sobre el uso y la propagacin de la informacin. 345. Instrucciones especficas de manipulacin de informacin sensible Poltica: La Universidad Distrital precisa que toda divulgacin de informacin secreta, confidencial o privada a terceras personas debe estar acompaada por un contrato que describa explcitamente qu informacin es restringida y cmo puede o no ser usada. 346. La informacin que se publica debe tener una fuente oficial y nica Poltica: La Universidad Distrital precisa que la informacin generada por la entidad y divulgada al pblico debe estar acompaada por el nombre del funcionario asignado para tal fin actuando como nica fuente oficial y de contacto. Todas las actualizaciones y correcciones a esta informacin que se libera al pblico deben fluir mediante esta fuente oficial. 347. Requerimiento de aprobacin previa para publicar la informacin de la entidad Poltica: La Universidad Distrital precisa que para revelar cualquier informacin interna de la entidad a los medios de comunicacin o a terceros se debe obtener un permiso por escrito de un alto dirigente de la entidad. 348. Periodo de espera para analizar la divulgacin o el requerimiento de informacin externa Poltica: La Universidad Distrital precisa que si un ente externo solicita informacin interna a la entidad se debe realizar el siguiente procedimiento, el propietario de la informacin y el departamento de seguridad informtica deben evaluar los mritos en un lapso de cinco das hbiles si no hay una objecin por parte de este grupo de evaluacin la informacin puede ser liberada. 349. Procedimientos establecidos para revisar la informacin que se divulga al pblico
Pgina 50
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 51 de 104
Poltica: La Universidad Distrital precisa que toda la informacin pblica debe ser revisada primero por la administracin con un proceso establecido y documentado. 350. Condiciones para aceptar informacin sensible de terceras partes Poltica: La Universidad Distrital precisa que si un empleado, consultor, o contratista recibe informacin secreta o confidencial de una tercera parte en nombre de la entidad, su divulgacin se debe autorizar con la firma del tercero en un documento aprobado por la oficina jurdica de la entidad. 351. Acuerdos de confidencialidad firmados por una tercera parte sin la debida aprobacin Poltica: La Universidad Distrital precisa que los funcionarios no deben firmar acuerdos de confidencialidad que provienen de una tercera parte sin la autorizacin de la oficina jurdica de la entidad la cual ha sido designada para manejar los derechos de propiedad intelectual. 352. Acceso a informacin sensible por empleados o consultores temporales Poltica: La Universidad Distrital precisa que el acceso a informacin sensible de la entidad debe permitirse nicamente a empleados a trmino indefinido a menos que una de las siguientes condiciones prevalezca: a. Ningn empleado a trmino indefinido tiene el conocimiento o la habilidad correspondiente. b. Cuando se requiere empleados adicionales en caso de desastre o emergencia. c. Con el permiso directo del director de Recursos Humanos. 1.3.3.6. DERECHO A CONOCER 353. Derecho de los funcionarios a conocer todos los riesgos del lugar de trabajo Poltica: La Universidad Distrital precisa que los funcionarios tienen derecho a conocer la naturaleza de todos los riesgos a que se pueden enfrentar en el lugar de trabajo. La administracin debe informarles acerca de la existencia de estos riesgos, proveer protecciones para disminuir el riesgo y entrenarlos en el apropiado uso de las protecciones. 354. Divulgacin de las polticas de seguridad y procedimientos Poltica: La Universidad Distrital precisa que como regla general la informacin de polticas de seguridad y procedimientos se deben revelar nicamente a funcionarios de la entidad y a entes externos seleccionados (por ejemplo auditores). Una excepcin se hace cuando se involucran datos privados de las personas; en este caso la entidad tiene el deber de comunicar las polticas de seguridad de informacin y procedimientos empleados. Adicionalmente la entidad tiene el deber de divulgar la existencia de sistemas que contienen informacin y la manera que esta informacin debe ser usada. 1.3.3.7. MANEJO DE DATOS CONFIDENCIALES EN REUNIONES 355. Asistencia de personas no invitadas a reuniones donde se discute informacin secreta Poltica: La Universidad Distrital precisa que personas que no estn especficamente invitadas a reuniones no deben asistir a las mismas cuando se va a discutir informacin secreta. Existe una excepcin nicamente cuando se obtiene el permiso y aprobacin de la direccin.
Pgina 51
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 52 de 104
356. Reuniones con visitantes en lugares o salas cerradas Poltica: La Universidad Distrital precisa que las reuniones de trabajo donde se discute y maneja informacin sensible se deben realizar en salas totalmente cerradas para que los visitantes que se encuentren cerca al lugar no puedan escuchar o tener acceso a la informacin. 357. Divulgacin oral de informacin confidencial en reuniones Poltica: La Universidad Distrital precisa que si una informacin confidencial se da a conocer oralmente en una reunin, seminario, lectura o presentacin el conferencista debe comunicar claramente que la informacin es sensible y advertir a la audiencia sobre la discrecin que se ha de tener para divulgar esta informacin a otros entes. Las asistencias visuales tales como diapositivas o filminas deben incluir marcas apropiadas de confidencialidad. 1.3.3.8. DIVERSAS POLTICAS DE CONFIDENCIALIDAD 358. Ubicacin y naturaleza de informacin confidencial de la entidad Poltica: La Universidad Distrital precisa que la informacin acerca de la naturaleza y localizacin de la informacin tal como la ubicacin en el diccionario de datos, es confidencial y nicamente debe ser divulgada por quienes estn autorizados. 359. Prohibiciones para examinar los sistemas y redes de la entidad Poltica: La Universidad Distrital precisa que los funcionarios no deben examinar los sistemas de computador o redes de la entidad. Por ejemplo, se prohbe que individuos curiosos busquen archivos o programas en los directorios de otros usuarios. Se autoriza la bsqueda cuando se necesita ubicar informacin para realizar un trabajo. 360. Autorizacin a los administradores del sistema para examinar archivos privados de los usuarios Poltica: La Universidad Distrital precisa que los administradores de sistemas estn autorizados para examinar archivos privados de los usuarios para manejar emergencias como infeccin de virus y cadas del sistema. Sin embargo a los usuarios involucrados se les debe notificar cuando los archivos de usuarios son examinados de esta manera. Despus que el problema se ha resuelto todas las copias de los archivos realizadas por el administrador se deben destruir. 361. Requerimientos de apagado de equipos para los sistemas que procesan informacin sensible Poltica: La Universidad Distrital precisa que todos los computadores que han sido usados para el procesamiento de informacin sensible se deben apagar al final del da o al finalizar la sesin. Esta accin borra el residuo de la informacin que queda en la memoria del computador previniendo que sea revelada a personal no autorizado. Una excepcin puede hacerse para computadores independientes (stand-alone) localizados en reas con un estricto control de acceso fsico el cual previene el acceso a personas no autorizadas al sistema. 362. Cubriendo informacin sensible cuando se interrumpe el trabajo Poltica: La Universidad Distrital precisa que cuando un funcionario est manipulando informacin secreta, confidencial o privada de la entidad y otra persona entra o se acerca al sitio
Pgina 52
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 53 de 104
de trabajo el funcionario debe tomar medidas preventivas para ocultar la informacin. Si est en forma fsica debe ser cubierta con otro material o si la informacin est desplegada en la pantalla del computador se debe cerrar la pantalla, dar log-off o invocar un protector de pantalla. 363. Uso de grabadoras o dispositivos similares para registrar informacin sensible Poltica: La Universidad Distrital precisa que para reducir la posibilidad de una divulgacin no autorizada de informacin, los empleados no deben grabar informacin sensible con mquinas grabadoras o dispositivos similares. Si el uso de estos dispositivos es una necesidad operacional la clasificacin de esta informacin debe especificarse al comienzo y al final de cada segmento de la informacin y el medio de grabacin debe ser marcado con la ms estricta clasificacin que exista. Adicionalmente, esta informacin debe ser borrada del medio tan pronto como sea posible. 1.3.4. CRITICIDAD DE LOS DATOS 1.3.4.1. DISEO DE LOS SISTEMAS 364. Establecer una meta cuantificable en cuanto a la disponibilidad del sistema Poltica: La Universidad Distrital precisa que los sistemas de computacin crticos deben ser evaluados frecuentemente en cuanto a su disponibilidad, los usuarios deben poder acceder a los sistemas de computacin compartidos al menos en un 95% del tiempo en horas normales de trabajo tomando como base el tiempo de uso del sistema en un mes de trabajo. 365. Existencia de lmites a los usuarios para demorar o interrumpir el servicio Poltica: La Universidad Distrital precisa que las actividades que realizan los usuarios de sistemas de tiempo compartido deben ser causa para que estos sistemas demoren o interrumpan excesivamente la prestacin del servicio a otros usuarios. Una excepcin debe hacerse para los administradores de la seguridad de los sistemas, los administradores del sistema y los operadores del computador quienes tienen privilegios para realizar sus trabajos. 366. Establecimiento y uso de los controles para los utilitarios del sistema Poltica: La Universidad Distrital precisa que se debe establecer que los utilitarios del sistema solo se usen en circunstancias excepcionales y que los controles a utilizar los controles a utilizar se diseen que manera que se garantice la continuidad de las operaciones del negocio. El manejo de estos utilitarios del sistema debe estar severamente restringido y se deben usar nicamente cuando sea absolutamente necesario. 367. Generacin y revisin de logs que reflejan el uso de utilitarios del sistema Poltica: La Universidad Distrital precisa que cuando los controles del sistema han sido modificados se debe generar un log que registre los cambios hechos y los comando privilegiados que fueron usados. Un administrador de seguridad debe revisar oportuna y peridicamente estos logs y hacer un informe que contemple entre otros los siguientes aspectos: - El uso de dichos utilitarios fue garantizado. - Los utilitarios fueron usados correctamente. 368. Equipo requerido para soportar el medio ambiente donde se encuentran los equipos de computo
Pgina 53
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 54 de 104
Poltica: La Universidad Distrital precisa que la administracin debe proveer y mantener los sistemas de proteccin necesarios para asegurar la continuidad del servicio en los sistemas de computacin crticos (sistemas de deteccin y eliminacin de fuego, de potencia elctrica suplementaria, de aire acondicionado u otros equipos de proteccin de sistemas de computo). 369. Equipos de proteccin elctrica para microcomputadores Poltica: La Universidad Distrital precisa que todos los microcomputadores (Pcs) u estaciones de trabajo se deben equipar con unidades suplementarias de corriente (UPS), filtros elctricos o supresores de picos de corriendo aprobados por la red de datos UDNET. 370. Equipos de proteccin contra electricidad esttica y condiciones locales Poltica: La Universidad Distrital precisa que si las condiciones ambientales y de construccin presentan alto riesgo de descargas de electricidad esttica todos los microcomputadores y estaciones de trabajo deben tener equipos de proteccin apropiados y debidamente aprobados por la red de datos UDNET. Estos equipos asegurarn que las descargas elctricas no daen los equipos o la informacin. 1.3.4.2. PLANES DE CONTINGENCIA 371. Organizar recursos de informacin en segmentos de acuerdo a su prioridad de recuperacin o disponibilidad Poltica: La Universidad Distrital precisa que la parte administrativa del rea de operaciones tecnolgicas debe establecer un esquema lgico para segmentar los recursos de informacin de acuerdo a su prioridad de recuperacin o disponibilidad, esto permitir recuperar primero los recursos ms crticos. Todas las reas de la organizacin debern usar este mismo esquema en los planes de recuperacin de sus sistemas de informacin. 372. Clasificar en forma anual las aplicaciones multi-usuario de acuerdo con su nivel de criticidad Poltica: La Universidad Distrital precisa que en conjunto con los usuarios mas experimentados el departamento de sistemas de informacin deber realizar peridicamente una revisin del grado de criticidad de las aplicaciones multi-usuario en produccin. Este proceso de clasificacin permitir llevar acabo un plan de contingencia coordinado y organizado. 373. Cinco categoras para clasificar aplicaciones en produccin por criticidad Poltica: La Universidad Distrital precisa que todas las aplicaciones deben ser clasificadas en una de las siguientes cinco categoras, cada una con requerimientos de manejo diferentes: Misin Critica, Critica, Prioritaria, Requerida, Aplazable. 374. Preparacin y mantenimiento de un plan de respuesta a emergencias de sistemas de informacin (sistemas alternos) Poltica: La Universidad Distrital precisa que para los sistemas de computo y comunicaciones la administracin de la entidad debe preparar y actualizar peridicamente el plan de emergencia as como probarlo regularmente. Estos planes deben asegurar la continuidad de las operaciones crticas del negocio en el evento de una interrupcin de las operaciones crticas del negocio en el evento de una interrupcin o degradacin del servicio.
Pgina 54
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 55 de 104
375. Organizacin y mantenimiento de un equipo de respuesta a emergencias de computador (CERT: Computer Emergency Response Team) Poltica: La Universidad Distrital precisa que la administracin de la entidad debe organizar y mantener un equipo interno de respuesta a emergencias de computador que provea una gil notificacin de problemas, fallas de control y servicios de correccin de errores de problemas como en los eventos de virus, intromisin no autoriza por parte de hackers y otros. 376. Acciones requeridas ante la sospecha de intromisin a los sistemas Poltica: La Universidad Distrital precisa que cuando un administrador del sistema tenga una buena razn para creer que el sistema de seguridad de un ambiente cualquiera est comprometido el computador debe ser inmediatamente removido de la red. El administrador del sistema debe ejecutar un utilitario de comparacin de archivos para identificar todos los cambios al software del sistema y luego recuperar el software ambiental (sistema operacional, redes y aplicativos de una fuente confiable entre otros). Antes de volverlo a conectar a la red los sistemas de control de acceso deben ser reiniciados (por ejemplo todas las contraseas fijas deben ser cambiadas). La bitcora del sistema o log debe ser copiada y almacenada en un lugar seguro. 377. Sistema de alertas para seguridad de informacin y sistemas Poltica: La Universidad Distrital precisa que el rea administrativa del departamento de sistemas de informacin debe establecer, mantener y probar peridicamente el sistema de comunicacin que permita a los usuarios notificar al staff apropiado acerca de posibles intromisiones en los sistemas de seguridad. Estos problemas incluyen posibles infecciones por virus, intromisin de jackers, divulgacin de informacin confidencial a entes externos, interrupcin de servicio y otros eventos con serias implicaciones al sistema de seguridad. 378. Los usuarios no deben distribuir informacin acerca de las vulnerabilidades del sistema Poltica: La Universidad Distrital precisa que todos los funcionarios deben informar en forma inmediata al Help Desk de seguridad las alertas de sistemas de seguridad, advertencias, posibles vulnerabilidades y todo lo pertinente a intentos sospechosos de intromisin. Queda terminantemente prohibido a los usuarios distribuir este tipo de informacin entre personal interno o externo de la entidad. 379. Notificar a la administracin cualquier condicin que pueda alterar la operacin del negocio Poltica: La Universidad Distrital precisa que todos los trabajadores (empleados, contratistas, consultores, temporales, etc.) estn obligados a informar a la administracin sobre cualquier condicin que pueda afectar la operacin de la entidad. 380. Compromiso de asistencia del usuario durante el plan de recuperacin del negocio Poltica: La Universidad Distrital precisa que se espera que los usuarios estn presentes y colaboren con lo mejor de sus habilidades con la recuperacin de la actividad normal del negocio despus de una emergencia o desastre en la entidad. Despus que los empleados salvaguarden sus recursos familiares y personales se espera que ellos trabajen horas extras, trabajen bajo altas condiciones de stress y hagan lo que se tenga que hacer para mantener la operatividad de la entidad.
Pgina 55
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 56 de 104
381. Localizacin inmediata de funcionarios del departamento de sistemas de informacin en caso de emergencia Poltica: La Universidad Distrital precisa que todos los miembros del departamento de sistemas de informacin que viajen fuera de la ciudad, deben informar a su jefe directo y secretaria los telfonos y direcciones donde puedan ser localizados, esta informacin debe darse antes del viaje sin importar el motivo de este. Esta poltica asegura que todos los miembros de este departamento estn disponibles en caso de una emergencia o desastre. 382. Inventario de cargos tcnicos claves y empleados que los realizan Poltica: La Universidad Distrital precisa que la administracin de la entidad debe contar con un inventario anual de los cargos tcnicos claves de sta y los nombres de los empleados que normalmente desempean estas funciones. 383. Entrenamiento cruzado para staff tcnico crtico Poltica: La Universidad Distrital precisa que en todo momento debe existir por lo menos dos miembros del staff tcnico en capacidad de cumplir con las tareas de un cargo tcnico crtico, si menos de dos personas en la entidad pueden cumplir con esta poltica se debe en forma inmediata elaborar un plan de capacitacin o contratacin de outsourcing o cualquier otra alternativa para logar tener dos personas tcnicas capacitadas en cargos crticos. 384. Preparacin y mantenimiento de un plan de recuperacin de desastres en sistemas de computo e informacin Poltica: La Universidad Distrital precisa que la administracin de la entidad debe preparar, actualizar y probar peridicamente un plan de contingencia que permita a las aplicaciones crticas y sistemas de cmputo y comunicacin estar disponibles en el evento de un desastre de grandes proporciones como terremoto, explosin, huracn, terrorismo o inundacin. 385. Preparacin y mantenimiento del plan de contingencia del negocio Poltica: La Universidad Distrital precisa que la administracin de la entidad debe preparar, actualizar y probar peridicamente un plan de recuperacin del negocio. Este plan debe especificar claramente a los empleados, la operacin de oficinas, muebles y enseres, telfonos, fotocopiadoras, PCs, etc. En el evento de una emergencia o desastre. 386. Proceso del plan de continuidad de computadores y del negocio Poltica: La Universidad Distrital precisa que el departamento de sistemas de informacin debe documentar y mantener para toda la entidad un proceso estndar para el desarrollo y mantenimiento del plan de contingencia para computadores y plan de contingencia para el negocio. 387. Regreso a procedimientos manuales cuando sea factible desde el punto de vista de costo Poltica: La Universidad Distrital precisa que si las actividades crticas del negocio de la entidad pueden ser realizadas (an para un corto tiempo) con procedimientos manuales en lugar de sistematizados, un plan de contingencia debe ser desarrollado, probado y peridicamente actualizado. En la mayora de los casos este plan debe estar integrado a los planes de contingencia para computadores y comunicaciones.
Pgina 56
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 57 de 104
388. Inventario anual de recursos de computacin, hardware, software, etc. Poltica: La Universidad Distrital precisa que el departamento de sistemas de informacin debe preparar un inventario anual de los sistemas de informacin en produccin, de tal forma que puedan ser rpidamente restablecidos en el caso de un desastre. El inventario debe incluir todo el hardware, software y canales de comunicacin de datos existente. 389. Determinacin anual de los niveles de soporte en caso de desastre o emergencia Poltica: La Universidad Distrital precisa que las reas administrativas y el departamento de sistemas de informacin deben acordar los niveles de soporte requeridos en el evento de un desastre y/o emergencia. Estos niveles deben estar especificados en el documento de plan de contingencia o compromisos de servicio. 390. Pruebas del plan de contingencia de computadores y comunicaciones Poltica: La Universidad Distrital precisa que los planes de contingencia de computadores y comunicacin deben ser probados a intervalos regulares con el fin de asegurar que el plan sea relevante, efectivo, prctico, y fiable de realizar. Cada prueba debe estar documentada y los resultados y las acciones de correccin a ser tomadas deben ser enviadas a la alta direccin de la entidad. 391. Mantenimiento preventivo en los sistemas de comunicacin y computadores Poltica: La Universidad Distrital precisa que se debe realizar en forma regular un mantenimiento preventivo a los sistemas de comunicacin y computadores de tal forma que el riesgo de fallas sea mantenido en una probabilidad baja. La direccin de la red UDNET debe estipular este plan de mantenimiento a todos los equipos y su periodicidad. 392. Nmeros telefnicos de los funcionarios del departamento de sistemas de informacin Poltica. La Universidad Distrital precisa que todos los miembros del departamento de sistemas de informacin deben mantener informados a sus jefes inmediatos y personal de secretarias con los nmeros de telfono y direccin donde puedan ser localizados en caso de ausencias sin importar su causa. Esta poltica garantiza que todos los miembros del departamento de sistemas de informacin estn siempre disponibles en caso de emergencia y/o desastres. Esta informacin debe clasificarse como confidencial y accesarlo nicamente al nivel directo del plan de contingencia. 1.3.4.3. BACK-UP, ALMACENAMIENTO DE ARCHIVOS Y DISPOSICIN DE LOS DATOS 393. Control de acceso a usuarios finales en el proceso de restauracin de la informacin Poltica: La Universidad Distrital precisa que si a los usuarios finales les est permitido restaurar sus propios archivos de informacin se les debe restringir la capacidad para restaurar la informacin de otros usuarios o inclusive mirar que archivos o inclusive mirar que archivos de otros usuarios han sido respaldados. 394. Qu datos se deben respaldar y con que frecuencia
Pgina 57
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 58 de 104
Poltica: La Universidad Distrital precisa que toda la informacin de valor confidencial y crtica de la entidad debe ser peridicamente respaldada en medio magntico. Este proceso de respaldo debe ser realizado al menos mensualmente. 395. Respaldos peridicos y complementos requeridos para computadores porttiles Poltica: La Universidad Distrital precisa que los usuarios que usen computadores porttiles deben hacer respaldo de su informacin crtica antes de ser llevados fuera del lugar de trabajo debido a que el robo y prdida de computadores porttiles se ha vuelto algo muy comn. Estos respaldos deben permanecer en el sitio de trabajo y deben ser hechos en forma adicional a los procedimientos de respaldo preestablecidos. 396. Encripcin de los datos de respaldo que se archiven en sitios fuera de la entidad Poltica: La Universidad Distrital precisa que toda informacin de valor, confidencial o crtica que sea respaldada y almacenada en un lugar externo a la entidad debe ser respaldada en forma encriptada para prevenir que esta sea divulgada o usada en forma no autorizada por otras entidades o personas. 397. Deben existir por lo menos dos copias de respaldo de la informacin de valor, confidencial o crtica de la entidad Poltica: La Universidad Distrital precisa que todos los usuarios son responsables por realizar una copia de respaldo del original de la informacin de valor, confidencial o crtica a su cargo. Estas copias separadas deben ser hechas cada vez que un nmero significativo de cambios sean hechos a la informacin. 398. Las copias de respaldo de la informacin crtica de la entidad deben ser custodiadas en forma externa Poltica: La Universidad Distrital precisa que al menos dos copias recientes completas (no incrementales) de la informacin crtica de la entidad deben ser almacenadas en forma externa. 399. Proceso de revisin de los backups de usuario final por parte de las reas administrativas Poltica: La Universidad Distrital precisa que las direcciones de cada departamento o sus delegados deben asegurar que se haga un backup de la informacin de valor, sensible y crtica contenida en los microcomputadores (PCs), estaciones de trabajo u otros sistemas menores. 400. Especificaciones y frecuencia del proceso de backup Poltica: La Universidad Distrital precisa que se deben llevar a cabo backups incrementales de toda la informacin de los usuarios finales diariamente de los das laborales por parte del administrador de backups. Un backup total de toda la informacin con una periodicidad mensual. 401. Hacer como mnimo una copia de la informacin crtica o a la que se le ha hecho backup antes de volverla a usar Poltica: La Universidad Distrital precisa que los backups de informacin crtica no se deben usar para efectos de restauracin a menos que otro copia de la misma informacin exista en otro medio magntico. Si se sospecha de un virus o cualquier otro problema la copia adicional debe
Pgina 58
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 59 de 104
ser realizada en otro computador. Esta poltica previene que la nica copia de la informacin crtica sea destruida en un proceso de restauracin. 402. Almacenamiento de backups en un sitio externo Poltica: La Universidad Distrital precisa que los backups de informacin de alto valor, sensitiva y crtica deben ser almacenados en un sitio a por lo menos cinco (5) Kilmetros de distancia de donde reside la informacin original. El sitio de respaldo debe tener las protecciones ambientales adecuadas y su acceso debe ser controlado. 403. La informacin de respaldo no se debe almacenar en la misma zona de riesgo de incendio donde reside la informacin original Poltica: La Universidad Distrital precisa que los backups de los computadores y redes deben ser almacenados en una zona de fuero diferente de donde reside la informacin original, las zonas de fuego varan de edificio a edificio y son definidas por el departamento de seguridad. 404. Periodo mnimo de retencin de informacin Poltica: La Universidad Distrital precisa que a menos que est explcitamente definido el periodo de retencin de informacin, sta debe ser retenida por el periodo de tiempo necesario pero no indefinidamente. Si no se especifica el periodo de retencin el tiempo mnimo debe ser de dos (2) aos. 405. Borrado regular de informacin que no es necesaria Poltica: La Universidad Distrital precisa que toda la informacin de la entidad debe ser destruida o borrada despus de que no se necesite. Para soportar esta poltica la administracin debe velar porque los periodos de retencin se cumplan en forma estricta. 406. Destruccin de informacin Poltica: La Universidad Distrital precisa que la administracin es responsable por la destruccin de la informacin en forma rpida y apropiada cuando est ya no sea relevante ni til para las actividades del negocio. 407. Definicin del programa de retencin de informacin Poltica: La Universidad Distrital precisa que toda la informacin contable, de impuestos y de tipo legal debe ser conservada de acuerdo con las normas de ley vigentes, el resto de informacin debe ser almacenada por lo menos cinco (5) aos. 408. Responsabilidad de la definicin del programa de retencin de informacin Poltica: La Universidad Distrital precisa que toda la informacin de la entidad debe ser almacenada en una forma segura de acuerdo con los programas de retencin establecidos por la oficina jurdica. 409. Los funcionarios de tipo administrativo Poltica: La Universidad Distrital precisa que los funcionarios responsables de cada rea administrativa deben identificar y mantener una lista completa de los registros vitales de su rea en caso de un proceso de restauracin despus de desastre.
Pgina 59
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 60 de 104
410. Directorio de informacin residente en archivadores de almacenamiento Poltica: La Universidad Distrital precisa que toda informacin almacenada en un sitio externo debe estar relacionada en un directorio actualizado que muestre la fecha de la ltima modificacin y su naturaleza. 411. Medios de almacenamiento de informacin aceptados Poltica: La Universidad Distrital precisa que todos los medios fsicos donde la informacin de valor, sensitiva y crtica sea almacenada por periodos mayores a seis (6) meses, no deben estar sujetos a una rpida degradacin o deterioro. Por ejemplo el papel trmico usado en el fax no es un medio de almacenamiento recomendado o el papel qumico usado en documentos. 412. Prueba regular de la calidad de los backup Poltica: La Universidad Distrital precisa que el backup de informacin de valor, sensible o crtica que est almacenada por algunos periodos de tiempo debe ser validada en forma anual de tal forma que se pueda garantizar que no ha sufrido ningn deterioro. 413. Prueba regular de los dispositivos para hacer backup de la informacin Poltica: La Universidad Distrital precisa que los dispositivos electrnicos usados para hacer backup de informacin de valor, sensible o crtica debe ser de alta calidad y probados regularmente para garantizar que cumplan su objetivo de respaldo de la informacin establecida. Dispositivos que no garanticen esta calidad no deben ser usados para hacer copias de informacin para recuperacin. 414. Conservacin de informacin almacenada en archivadores fsicos Poltica: La Universidad Distrital precisa que los procedimientos de backup de informacin de valor, sensible o crtica deben garantizar que la informacin no se deteriore. Es responsabilidad de la administracin llevar a cabo diferentes copias en caso que se detecten signos de deterioro. 1.3.5. INTEGRIDAD DE LOS DATOS 1.3.5.1. CONOCIMIENTO Y STATUS DE INTEGRIDAD 415. Las reas responsables deben definir los atributos de integridad de informacin Poltica: La Universidad Distrital precisa que en forma peridica las reas responsables deben definir los atributos de integridad de la informacin tales como vigencia, autenticidad y veracidad. 416. Informar a la administracin en caso de falla de los controles de integridad Poltica: La Universidad Distrital precisa que si los controles de integridad fallan o se sospecha de alguna anomala con estos la administracin debe ser informada inmediatamente y anexar un informe completo del caso. 417. Divulgacin de cambios realizados a la informacin de uso operativo de la entidad Poltica: La Universidad Distrital precisa que si la informacin que usa la entidad para su operacin es modificada por alguna razn (cambio de precios, tarifas u otros) los destinatarios
Pgina 60
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 61 de 104
afectados con este cambio deben ser informados antes de efectuar el cambio para poder trabajar con la informacin real. 418. La informacin usada para tomar decisiones importantes debe ser marcada con la fecha y la fuente de informacin Poltica: La Universidad Distrital precisa que toda la informacin usada para la toma de decisiones que involucren cantidades superiores a $10.000.000 debe ser marcada con el origen de la informacin y la fecha correspondiente. El marcado debe ser conservado sin importar la tecnologa que se use para registrar, almacenar y procesar la informacin. 419. Manejo de informacin en desuso e incompleta Poltica: La Universidad Distrital precisa que toda informacin incompleta, obsoleta o en desuso debe ser suprimida y no distribuida al usuario a menos que este acompaada de una explicacin que describa la naturaleza de dicha informacin como informes preliminares, resultados sujetos a validacin, etc. 420. Toda la informacin que ingresen a un sistema de produccin computarizado deben tener un nmero de secuencia nico Poltica: La Universidad Distrital precisa que para facilitar el seguimiento y solucin de problemas en el proceso toda transaccin que ingrese a un sistema de produccin computarizado debe tener un nmero de secuencia nico que lo identifique. 1.3.5.2. INTEGRIDAD DE LAS FUENTES DE INFORMACIN 421. Todas las transacciones que ingresen a un sistema de produccin computarizado deben estar debidamente autorizadas Poltica: La Universidad Distrital precisa que debe existir procedimientos para garantizar que toda entrada de datos a un sistema de produccin computarizado haya sido debidamente autorizado. 422. Requerimientos para modificar informacin de valor, sensible o crtica Poltica: La Universidad Distrital precisa que toda transaccin que afecte informacin de valor, sensible o crtica debe ser procesada nicamente cuando se valide la autenticidad del origen (usuario o sistema) y se compruebe su autorizacin mediante un mecanismo de control de acceso o perfiles. Los procesos de autenticacin pueden ser realizados a travs de contraseas, tarjetas inteligentes, lectores biomtricos, firmas digitales o validacin de autenticacin de mensajes (MAC) 423. Validacin de datos de entrada y procedimiento para el manejo de datos errneos Poltica: La Universidad Distrital precisa que todas las transacciones que ingresen a un sistema de produccin computarizado deben ser sujetas a un chequeo razonable de edicin y/o validacin de control. Las transacciones que no pasen estos controles deben ser: a. Rechazadas y enviar una explicacin al usuario. b. Corregidas e ingresadas de nuevo. c. Pendientes hasta hacer una investigacin apropiada.
Pgina 61
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 424. Ingresar dos veces datos de alta sensibilidad para el sistema
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 62 de 104
Poltica: La Universidad Distrital precisa que para reducir la probabilidad de ingreso errneo de datos de alta sensibilidad todos los procedimientos de ingreso de informacin deben forzar que estos sean ingresados dos veces, por ejemplo el cambio de contraseas. 425. Numeracin de las lneas de una pagina cuando se manipula informacin crtica, de valor o sensible en forma libre Poltica: La Universidad Distrital precisa que en mensajes de texto en formato libre (cartas, memorandos, etc.) enviados por correo electrnico o fax y que impliquen informacin crtica o de alta importancia para el negocio cada lnea no debe ser numerada. Este procedimiento evitar la omisin o remocin deliberada de ciertas partes del texto. 426. El origen de la transaccin debe estar claramente identificado Poltica: La Universidad Distrital precisa que las transacciones que afecten informacin de valor, crtica o sensible deben ser originadas nicamente desde documentos y mensajes electrnicos en los que el individuo o sistema que origine la transaccin este explcitamente definido. 427. La entrada de datos a bodegas de informacin requiere del origen y clasificacin de seguridad y otras marcas especiales Poltica: La Universidad Distrital precisa que todos los datos de entrada a las bodegas de informacin de la entidad deben estar acompaados de informacin acerca de su origen, clasificacin de sensibilidad, veracidad (firmas, sello) y la fecha de su ms reciente revisin. 428. Los documentos oficiales preparados a mano se deben escribir con tinta Poltica: La Universidad Distrital precisa que todos los documentos oficiales de la entidad preparados a mano deben ser escritos con tinta. Si una parte requiere correccin se debe sealizar, colocar las iniciales, firma de la persona y la fecha en que se realizo el cambio. Los correctores lquidos para hacer estas correcciones estn prohibidos. 1.3.5.3. CONTROL DE MODIFICACIONES 429. Controles para minimizar los riesgos de alteracin de la informacin Poltica: La Universidad Distrital precisa que la administracin debe establecer y mantener un nmero aceptable de controles como firmas digitales, encripcin de mensajes, autenticacin de mensajes y logs de auditoria para asegurar que la informacin de la entidad este libre de un significativo riesgo de alteracin que no se pueda detectar. 430. Las fotografas alteradas deben estar preferiblemente marcadas Poltica: La Universidad Distrital precisa que las fotografas presentadas como una reflexin de la realidad no deben estar alteradas. Si son alteradas el espectador debe poder determinar prontamente los cambios efectuados. 431. Proceso de autorizacin para cambios a datos y programas
Pgina 62
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 63 de 104
Poltica: La Universidad Distrital precisa que los datos y programas de produccin de la entidad deben ser modificados nicamente por personal autorizado de acuerdo con los procedimientos establecidos. 432. Todas las transacciones en produccin deben ser autorizadas por la direccin del rea responsable Poltica: La Universidad Distrital precisa que todas las transacciones que actualicen o modifiquen los registros de la entidad deben ser autorizadas por la direccin del rea responsable. 433. Revisin razonable y precisa a los cambios en los registros internos de la entidad Poltica: La Universidad Distrital precisa que la direccin del rea responsable mediante procedimientos bien definidos debe revisar en una forma razonable y precisa los cambios hechos a los registros internos de la entidad. Por ejemplo, cuentas de cobro, informacin contable e inventarios entre otros. 1.3.5.4. REPRESENTACIN CONSISTENTE DE LOS DATOS 434. Suplantacin de identidad en mensajes de correo electrnico Poltica: La Universidad Distrital precisa que la suplantacin de identidad en mensajes de correo electrnico esta prohibida. El nombre de usuario, direccin de correo, cargo en la entidad y cualquier otra informacin contenida en los mensajes de correo debe corresponder al empleado originario de la transaccin. 435. Mecanismo consistente para identificar un empleado de la entidad Poltica: La Universidad Distrital precisa que para asegurar la integridad de los registros de informacin de negocios de la entidad todos los empleados deben tener una nica forma de identificacin con su nombre, direccin y otra informacin personal y debe ser usada consistentemente en todas las funciones dentro de la entidad. 436. Validacin cruzada de informacin importante de la entidad Poltica: La Universidad Distrital precisa que la informacin importante de la entidad debe ser comparada con fuentes externas o llevarse a cabo validaciones cruzadas en forma peridica para asegurar que este lo mas actualizada y vigente posible. 437. Toda informacin al pblico debe ser validada por el departamento de relaciones pblicas Poltica: La Universidad Distrital precisa que toda informacin importante al pblico como paginas WEB, propaganda en medios escritos, electrnicos y hablados de la entidad debe ser validada por el departamento de relaciones pblicas. 1.3.5.5. CENSURA DE LOS DATOS 438. Uso de sistemas de comunicacin y computadores para emitir opiniones personales de los empleados. Poltica: La Universidad Distrital precisa que los sistemas de comunicacin y computadores de la entidad no deben ser usados para emitir opiniones personales de los empleados.
Pgina 63
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 64 de 104
439. Censura de informacin divulgada por los medios de comunicacin de la entidad Poltica: La Universidad Distrital precisa que La administracin de la entidad se reserva el derecho de censurar cualquier tipo de informacin a travs de los medios de comunicacin y computadores de la entidad. Las facilidades de comunicacin de la entidad son privadas y no de dominio pblico. 440. Todo tipo de informacin nueva de la entidad debe ser catalogada en los diccionarios de datos de la compaa Poltica: La Universidad Distrital precisa que todo tipo de informacin nueva de la entidad que sea usada en el da a da del negocio debe ser catalogada en los diccionarios de datos de la compaa. 441. Derecho de la administracin de la entidad a remover material de tipo ofensivo o ilegal Poltica: La Universidad Distrital precisa que la administracin de la entidad se reserva el derecho a remover de sus sistemas de informacin cualquier material que pueda ser ofensivo o ilegal. 442. La entidad no se responsabiliza por el monitoreo peridico y continuo del contenido de todos los sistemas de informacin Poltica: La Universidad Distrital precisa que la entidad no se responsabiliza por el monitoreo en forma peridica y continua del contenido de todos los sistemas de informacin. La entidad se reserva el derecho de remover cualquier mensaje, archivo, base de datos, grfico o cualquier otro material de los sistemas de informacin. 443. Acceso restringido a los sistemas de produccin computarizados y facilidades de comunicacin de la entidad Poltica: La Universidad Distrital precisa que los computadores y facilidades de comunicacin de la entidad como correo de voz, boletines electrnicos, sistemas administrativos de base de datos y facilidades de correo electrnico no deben ser usados como foros abiertos para discutir o comentar cambios organizacionales o polticas del negocio. 444. Responsabilidad y obligacin por el contenido de mensajes en las carteleras de anuncios de la entidad Poltica: La Universidad Distrital precisa que la entidad no se hace responsable por el contenido de los mensajes que aparecen en las carteleras de anuncios as como no se genera ninguna responsabilidad por el contenido de estos. Con respecto a stas la entidad acta como una empresa de difusin de informacin y como tal no controla el contenido de los mensajes expuestos all as como no se responsabiliza por la veracidad, exactitud o validez de la informacin contenida en ellos. 445. Los comentarios de los empleados en las carteleras de anuncios u otros medios no reflejan la posicin de la entidad Poltica: La Universidad Distrital precisa que los comentarios que los empleados hagan a travs de sistemas de correo electrnico, carteleras de anuncios u otros sistemas electrnicos no son necesariamente declaraciones formales o posiciones oficiales de la entidad.
Pgina 64
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 65 de 104
446. Avisos de advertencia en los sistemas de difusin de informacin de la entidad cuando los destinatarios se puedan sentir ofendidos o molestos Poltica: La Universidad Distrital precisa que si existe la posibilidad de que el contenido de una grabacin en el contestador automtico, correo de voz, carta o cualquier otro medio de difusin de informacin de la entidad ofenda o moleste a algn segmento de la poblacin a que este dirigido el mensaje se debe incluir en la portada, introduccin o cualquier otro lugar un mensaje de advertencia para que el usuario su criterio reciba o no la informacin. 447. La entidad no provee servicios de proteccin de mensajes a nivel de red Poltica: La Universidad Distrital precisa que cuando la entidad provee servicios de red de comunicaciones est actuando como un proveedor de transporte de informacin y acta como proveedor de servicios de comunicacin y no de servicios de proteccin de informacin. Por lo tanto la entidad no se responsabiliza por la privacidad y envi oportuno de la informacin va red o sistemas de comunicacin de la entidad. 448. Persecucin tnica, sexual y racial Poltica: La Universidad Distrital precisa que la persecucin tnica, racial o sexual incluyendo llamadas telefnicas annimas y mensajes de correo annimo estn estrictamente prohibidas y pueden causar sanciones e incluso la terminacin del contrato de un empleado. La administracin debe hacer que esta poltica sea clara a todos los empleados e investigar en forma inmediata cualquier ocurrencia sospechosa. 1.4. SEGURIDAD EN COMUNICACIONES 1.4.1. ESTABLECIMIENTO DE LOS SISTEMAS Y DE LAS RUTAS DE ACCESO 1.4.1.1. DIAGRAMA DE CONTROL DEL SISTEMA INCLUYENDO FIREWALLS 449. Las direcciones de la red no deben ser divulgadas pblicamente Poltica: Las direcciones internas, configuraciones e informacin relacionada con el diseo de los sistemas de comunicacin y cmputo de la entidad debe ser restringida de tal forma que no sean conocidas no por usuarios internos ni por personas ajenas a la organizacin sin la previa autorizacin del rea responsable. 450. Todos los computadores de la red deben contar con un mecanismo de control de acceso lgico Poltica: Si los empleados dejan en funcionamiento sus computadores y estos estn conectados a la red stos deben estar protegidos con un software de control de acceso aprobado por el departamento de seguridad informtica. 451. Mecanismos de control de acceso para computadores conectados a la red Poltica: Todos los computadores de la entidad que puedan ser accedidos por terceros a travs de mecanismos como lneas conmutadas, redes de valor agregado, Internet y otros deben ser protegidos por mecanismos de control de acceso aprobados por el departamento de seguridad informtica. Esta poltica no aplica para computadores que usen modems para conectarse en forma de terminales de salida a otros sistemas. 452. Las conexiones a lneas conmutadas deben pasar siempre a travs de in firewall
Pgina 65
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 66 de 104
Poltica: Todas las lneas conmutadas que permitan el acceso a la red de comunicaciones o sistemas multi-usuario deben pasar a travs de un punto adicional de control como un firewall, servidor de acceso o gateway. 453. La conexin a Internet requiere de implementar un mecanismo de firewall aprobado y certificado Poltica: Toda conexin entre los sistemas de comunicacin de la entidad e Internet o cualquier red pblica de datos debe incluir un firewall y otros mecanismos adicionales de control de acceso. 454. Conexiones directas entre los computadores de la entidad y otras organizaciones requieren de un mecanismo de tunneling Poltica: La conexin directa entre un computador de la entidad y otras organizaciones va redes pblicas de datos como Internet requieren de la aprobacin del departamento de seguridad informtica quienes estipularan los mecanismos de seguridad apropiados como firewalls y tunneling. 455. Prohibir el uso de comandos entre redes como finger cuando son ejecutados desde computadores externos a la entidad Poltica: Para detener el acceso no autorizado a los sistemas internos de la entidad y otros problemas relacionados todo comando ejecutado desde un computador externo a la red debe ser ejecutado despus de hacer el procedimiento establecido de ingreso al sistema (login). 1.4.1.2. CREACIN DE CONEXIONES EN RED 456. Aislar de la interna de la compaa sistemas que contengan informacin secreta Poltica: Los sistemas de computadores de la entidad que contengan informacin secreta no deben estar conectados a ningn otro computador. 457. Los clientes deben estar de acuerdo en forma explicita sobre los nuevos servicios o mejoras dadas por la entidad. Poltica: Los clientes que reciban servicios de comunicacin o computadores de la entidad deben estar de acuerdo en forma explicita para recibir nuevos servicios o mejoras antes de que sean implementados. En la ausencia de una confirmacin explicita la compaa debe proveer los servicios previamente acordados. 458. Los estndares para transporte de informacin de otros proveedores no aplican para la entidad Poltica: Los servicios de comunicacin de informacin de la entidad deben ser provistos en una forma contractual y no basados en los estndares tradicionales de las empresas transportadoras de datos e informacin tradicionales. 459. Cualquier comunicacin externa va modems o cualquier otro medio de comunicacin debe estar aprobada
Pgina 66
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 67 de 104
Poltica: Los empleados y contratistas no deben llevar a cabo ningn tipo de instalacin de nuevas lneas telefnicas o canales de transmisin de datos sin haber sido formalmente aprobados por el director de la red de datos UDNET. 460. Autorizacin previa para llevar a cabo la configuracin de los sistemas multi-usuario de la entidad Poltica: Los empleados no deben establecer carteleras electrnicas de anuncios, redes locales, conexiones va modem a la red interna de la entidad sin la aprobacin de la direccin de seguridad informtica de la entidad. 461. Autorizacin previa para la intercomunicacin directa entre computadores de la entidad Poltica: La conexin en tiempo real entre dos o ms computadores de la red de la entidad debe ser explcitamente aprobada por el departamento de seguridad informtica con el fin de evitar la omisin de controles de acceso lgico. 462. Criterios de conexin de la red interna de la compaa a otros terceros Poltica: La conexin entre sistemas internos de la entidad y otros de terceros debe ser explcitamente aprobada y certificada por el departamento de seguridad informtica con el fin de no comprometer la seguridad interna de la informacin de la entidad. 463. Requerimientos de seguridad para conectar la red interna de la entidad a la de terceros Poltica: como requisito para interconectar las redes de la entidad con las de terceros los sistemas de comunicacin de terceros deben cumplir con los requerimientos establecidos por la entidad. La entidad se reserva el derecho de monitorear estos sistemas de terceros sin previo aviso para evaluar la seguridad de los mismos, al igual que cancelar y terminar la conexin a sistemas de terceros que no cumplan con los requerimientos internos establecidos por la entidad. 464. Autorizacin previa para conexiones a Internet Poltica: Los empleados no pueden establecer conexiones a sistemas pblicos de acceso a informacin como Internet a menos que hayan sido aprobados por el rea de seguridad informtica de la entidad. Estas conexiones incluyen el establecimiento o puesta en marcha de sistemas de archivos para mltiples computadores como (SUNs NIS), www, servidores FTP y otros similares. 465. Uso de los computadores de los empleados para realizar funciones de la entidad Poltica: El uso de los computadores, software, perifricos e informacin de los empleados para realizar funciones de la entidad debe ser autorizado por la direccin de cada rea administrativa. 466. Requerimientos de seguridad para trabajar desde la casa o sitio de residencia Poltica: El trabajo desde la casa es una decisin del director del rea responsable. Para ello se deben tener en cuenta las siguientes consideraciones: Seguridad fsica e informtica par los recursos de la entidad, un ambiente de trabajo que no distraiga al empleado, procedimientos para evaluar el rendimiento del empleado y mecanismos apropiados para estar en contacto con otros empleados.
Pgina 67
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 68 de 104
467. Intercambio electrnico de datos (EDI) y otros sistemas electrnicos para negociar Poltica: Aunque el uso de sistemas electrnicos de intercambio de informacin (EDI) y otros sistemas electrnicos para negociar deben ser promovidos agresivamente todos los contratos deben ser elaborados en documentos de papel antes de la compra o venta a travs de estos sistemas. Todas las transacciones va EDI, correo electrnico y otros sistemas similares deben estar soportados en un medio fsico como ordenes de compra entre otros. 468. Elaborar contratos de negociacin antes de usar EDI Poltica: Antes de usar los sistemas de la entidad para intercambio electrnico de datos (EDI) con terceros se debe hacer un contrato que establezca los trminos y condiciones de uso de EDI. Este contrato debe ser aprobado por el consejo legal. 469. Criterios para aceptacin y actuacin en sistemas que involucren transacciones electrnicas Poltica: Si las transacciones son enviadas y procesadas en forma automtica (va EDI por ejemplo) se debe tener en cuenta lo siguiente para aceptar un mensaje o transaccin: a. Que se compruebe que el mensaje venga de una fuente autorizada para negociar con la entidad por medio de un archivo de perfiles de negociacin b. Que en forma adicional se valide la exactitud y autenticidad del mensaje 1.4.2. ENCRIPCIN 1.4.2.1. CUANDO USAR LA ENCRIPCIN 470. Todo proceso de encripcin de informacin debe ser previamente autorizado Poltica: La informacin de la entidad no puede ser encriptada a menos que este explcitamente aprobado por el departamento de seguridad informtica. 471. Uso de utilidades de encripcin con contraseas o palabras claves dadas por el usuario Poltica: Para prevenir la perdida de informacin crtica los empleados de la entidad nunca deben utilizar procesos de encripcin que requieran por parte del usuario la entrada de una clave o contrasea. Si la informacin sensible necesita ser protegida se deben usar mecanismos de proteccin especificados por el departamento de seguridad informtica como SMART DISK entre otros. 472. Cualquier informacin secreta enviada por la red de amplia cobertura geogrfica debe ser encriptada por equipos hardware especializados para este tipo Poltica: Si la informacin secreta de la entidad es enviada por la red de amplia cobertura geogrfica esta debe ser encriptada en equipos hardware especializados para este fin. Si la informacin fluye entre sitios del mismo edificio de la entidad se requiere encripcin a nivel se software. 473. Transporte de informacin secreta de la entidad en medios magnticos Poltica: Si la informacin secreta de la entidad es transportada de un lugar a otro en medios magnticos como discos duros removibles, disquetes, cintas, cartuchos y CD-ROMs entre otros esta debe estar en forma encriptada por software.
Pgina 68
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 69 de 104
474. La informacin secreta de la entidad debe permanecer encriptada cuando no se este usando Poltica: Toda informacin secreta de la entidad debe permanecer encriptada cuando no se este usando, por ejemplo cuando no se esta manipulando con la ayuda de un software de oficina o especifico como en utilitarios del sistema. 475. La informacin almacenada en discos duros debe estar encriptada Poltica: Para prevenir la divulgacin no autorizada de informacin cuando los computadores son sacados de la entidad para reparacin, cuando son robados, perdidos o usados por terceros toda la informacin residente en los discos duros debe estar encriptada con un proceso transparente al usuario. 1.4.2.2. ADMINISTRACIN DE LAS LLAVES DE ENCRIPCIN 476. Algoritmos estndares de encripcin Poltica: En caso de uso de encripcin se deben usar algoritmos de encripcin certificados y probados a nivel mundial como DES y TRIPLE-DES. 477. La divulgacin de las llaves de encripcin a la entidad requiere de una aprobacin especial de rectoria Poltica: Las llaves de encripcin son informacin de la ms alta sensibilidad y el acceso a ellas debe ser estrictamente controlado solo a personal autorizado, a menos que lo autorice Rectoria las llaves de encripcin no deben ser dadas a consultores, contratistas u otros terceros. 478. Sistemas de administracin de llaves de encripcin y separacin de llaves Poltica: Los sistemas de encripcin de la entidad no deben estar diseados de tal forma que una nica persona tenga el conocimiento de cualquiera de las llaves de encripcin de la entidad. Se deben establecer claramente separacin de funciones y un control de doble intervencin. Separacin de funciones se refiere a la intervencin de ms de un individuo en ciertas actividades del negocio mientras que doble intervencin se refiere a que dos personas deben estar simultneamente presentes para realizar una actividad especifica. 479. Condiciones para la delegacin de la administracin de llaves Poltica: La responsabilidad de administrar llaves puede ser nicamente delegada a una persona que ha pasado pruebas de conocimiento del tema, una auditoria de seguridad operativa y que ha firmado un contrato de confidencialidad de la informacin a la entidad. 480. Canales separados de comunicacin para datos y llaves de encripcin Poltica: Si se una encripcin la informacin cifrada debe ser enviada por un canal de comunicacin diferente al usado para distribuir las llaves a menos que se tenga un proceso independiente de cifrado para el envi de las llaves de encripcin. 481. Preferencias por sistemas automticos de administracin de llaves de encripcin Poltica: La entidad debe usar sistemas automticos de administracin de llaves en lugar de mtodos manuales siempre y cuando estos sistemas estn disponibles en el pas y para el sector.
Pgina 69
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 70 de 104
482. Vida mxima de las llaves de encripcin Poltica: Cuando se usen mecanismos de encripcin para proteger los datos de la entidad las llaves deben ser cambiadas al menos cada noventa (90) das. 483. Todas las llaves de encripcin debe tener una fecha establecida de vida o expiracin Poltica: Todas las llaves de encripcin deben tener una fecha lmite de expiracin y deben ser establecidas a priori. Esta poltica es para asegurar que la llave se este cambiando con bastante anterioridad. 484. Proceso de generar llaves de encripcin Poltica: Cuando se use mecanismos de encripcin las llaves deben ser generadas con base a un procedimiento que no sea fcilmente duplicado por un adversario de tal forma que le sea imposible adivinar las llaves de encripcin. Un ejemplo es la generacin aleatoria de llaves de encripcin basadas en un generador que toma la semilla de una parte del reloj del computador. 485. Longitud mnima de las llaves de encripcin escogidas por un usuario Poltica: Cuando se usen llaves de encripcin escogidas por el usuario la longitud de la llave no debe ser inferior a ocho (8) caracteres. 486. Proteccin de los elementos usados en la generacin de llaves de encripcin Poltica: En caso de usar llaves de encripcin los materiales usados en la generacin de las llaves deben ser destruidos, as mismo las llaves deben ser guardadas con los procedimientos apropiados para guardar informacin confidencial. Otro material de tipo lgico como llaves maestras, vectores de inicializacin, semillas para la generacin de nmeros aleatorios y otros deben ser borrados o destruidos para evitar que caigan en malas manos que puedan en forma inteligente tratar de reconstruir el proceso de generacin de llaves de encripcin. 487. Manejo de llaves maestras de encripcin de llaves Poltica: Las llaves maestras son llaves para encriptar las llaves de encripcin usadas en el ciframiento de la informacin. Como tal estn en el nivel ms alto de la jerarqua de llaves de encripcin y pueden ser manejadas manualmente con controles de doble intervencin con el conocimiento fraccionado de la llave maestra. En forma alterna pueden ser almacenadas en mdulos especiales a prueba de intrusos. En todo otro evento deben permanecer en forma encriptada. 488. Destruccin de materiales usados en el proceso de generacin de llaves de encripcin Poltica: Todos los elementos usados para la generacin, distribucin y almacenamiento de llaves como copias en carbn, cintas de impresin y otros deben ser protegidos de un acceso indebido. Cuando estos elementos no se necesiten deben ser destruidos con destructores de papel, cinta, incinerados o por cualquier otro mtodo permitido. 489. Rango de tiempo para la destruccin de material involucrado en el intercambio de llaves de encripcin
Pgina 70
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 71 de 104
Poltica: Los funcionarios responsables de la custodia del material usado para el intercambio de llaves de encripcin deben destruir todo el material de acuerdo a los procedimientos establecidos en un periodo razonable de tiempo (no mayor a diez (10) das) seguidos a la verificacin del intercambio existo de las llaves de encripcin. 490. Prevencin de la divulgacin no autorizada de las llaves de encripcin Poltica: Se debe tener precaucin de no permitir la divulgacin no autorizada de las llaves de encripcin, se deben usar controles de tipo tcnico como llaves fsicas y uso de hardware resistente a intrusos (emanacin de radiacin electromagntica) 491. Prohibicin de la transmisin de llaves de encripcin en textos legibles Poltica: Si las llaves de encripcin son transmitidas por lneas de comunicacin, deben ser enviadas en un formato encriptado. Las llaves de encripcin podran ser hechas con un algoritmo ms fuerte del que es usado para encriptar otros datos sensibles protegidos por la encripcin. 492. Almacenamiento de llaves encriptadas en un mismo medio como proteccin de datos prohibidos Poltica: Si la encripcin es utilizada para proteger datos sensibles resientes en el medio de almacenamiento del computador las llaves de encripcin y los materiales de encripcin de llaves relacionadas (vectores de inicializacin, indicadores de hora y fecha, parmetros, etc.) utilizados en el proceso de encripcin no deben ser almacenados en ningn medio de almacenamiento en forma no encriptada. 493. Los sistemas de encripcin para propsitos generales deben incluir custodia de llaves Poltica: Todos los procesos de encripcin de propsito general que estn funcionando en los sistemas de informacin de la entidad deben incluir funciones de custodia de llaves. Estas funciones especiales le permiten al administrador de la entidad recuperar informacin encriptada en caso que existan errores de sistema, humanos u otra clase de problemas. 494. La firma digital y las llaves de autenticacin del usuario no deben estar custodiadas Poltica: Las llaves utilizadas para firmas digitales, certificados digitales y autenticacin del usuario nunca deben ser incluidas en un arreglo de seguridad para custodia de llaves. Al estar estas llaves disponibles a terceras personas les permite la suplantacin de identidad lo cual facilita el fraude y falsedad. 1.4.2.3. TEMAS MISCELNEOS DE ENCRIPCIN 495. Borrado de datos legibles despus que la versin encriptada ha sido hecha Poltica: Cuando se utiliza la encripcin los empleados no pueden borrar solamente la versin legible de datos a menos que ellos hallan demostrado que el proceso de encripcin puede resultar una versin ilegible de los datos originales. 496. Asignacin explicita de funciones de manejo de llaves encriptadas Poltica: Cuando la encripcin es utilizada para proteger datos sensibles el (los) dueo(s) de los datos debe (n) explcitamente asignar responsabilidad para el manejo de la encripcin de llaves.
Pgina 71
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 497. Llaves separadas para encripcin y autenticacin de mensajes
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 72 de 104
Poltica: Si se utilizan los cdigos de encripcin y de autenticacin de mensajes (MACs) se deben usar diferentes llaves para cada una de estas dos medidas de control. 498. Compresin y encripcin de datos sensibles para tener en almacenamiento Poltica: Si informacin secreta va a ser almacenada en un sistema de computadoras multiusuario debe ser comprimida y luego encriptada usando un algoritmo de encripcin aprobado. 499. Mdulos de encripcin por hardware resistentes a alteraciones ilegales Poltica: Todos los procesos relacionados con al encripcin debe ser desarrollados preferiblemente en mdulos de hardware resistentes a alteraciones ilegales en lugar de software. Este sistema minimiza la amenaza de un reverso de ingeniera del software y una revelacin desautorizada de la(s) clave(s). 1.4.3. MARCACIONES TELEFNICAS POR COMPUTADOR
500. Insercin en directorios de nmeros telefnicos de contacto relacionados con el computador Poltica: Informacin relacionada con el acceso de los sistemas de computador y comunicaciones de la entidad tales como nmeros telefnicos de marcaciones de los modems es considerada confidencial. Esta informacin NO debe ser expuesta en boletines electrnicos, escrita en directorio telefnicos, escritos en tarjetas de presentacin o hacerla accesible a terceras personas sin el previo permiso escrito del responsable del rea. Los nmeros telefnicos, nmeros de fax y direcciones de correo electrnico son permitidos a excepcin de esta poltica. 501. Cambios peridicos de los nmeros telefnicos en el computador Poltica: Los nmeros telefnicos de las comunicaciones por computador de la entidad deben ser cambiados peridicamente. 502. Sistemas extendidos de autenticacin de usuarios para lneas de marcacin Poltica: Para identificar positivamente la persona que llama a cualquier conexin de llamada a la red interna de informacin de computacin de la entidad es necesario usar el sistema extendido de autenticacin de usuarios. Estos sistemas incluyen funciones de devolucin de llamadas, tarjetas inteligentes, biomtrica (lector de huella digital, lector de iris e identificar de voz entre otros) y otras tecnologas aprobadas que proveen ms seguridad que los sistemas tradicionales de cdigo de acceso fijos. 503. Modems en estaciones de trabajo conectadas a redes internas Poltica: Los trabajadores tienen prohibido conectar modems a estaciones de trabajo que estn simultneamente conectadas a la red de comunicacin interna. 504. Conexiones de discado directo prohibidas a menos que sea utilizando un modem autorizado Poltica: Con la excepcin de computadores porttiles y computadores de telecomunicaciones se prohbe el uso de modems locales que establecen conexiones de marcado directo. Todas las conexiones de discado directo con los sistemas y debed de la entidad deben ser dirigidas a
Pgina 72
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 73 de 104
travs de un modem autorizado que incluye una aprobacin extendida de la autenticacin al usuario del sistema de seguridad. 505. Se Prohbe en los computadores personales va modem la funcin de contestacin automtica Poltica: Los usuarios no pueden dejar los modems conectados a computadores personales en funcin de contestacin automtica porque estos son capaces de recibir llamadas entrantes de discado directo. 506. Llamadas entrantes de discado directo no deben ser contestadas hasta el cuarto repique Poltica: Todos los modems de discado directo en la entidad no deben contestar llamadas entrantes hasta el cuarto repique. Esto frustrar que la gente busque acceso no autorizado en los computadores de la entidad que tienen programas que identifican lneas de telfono con conexin a computadores, porque los modems no contestan inmediatamente, estos programas concluirn errneamente que las lneas de los modems son lneas de voz. 507. Aprobacin requerida para sistemas que aceptan entrada de llamadas de discado directo Poltica: Los trabajadores de la entidad no deben establecer ningn sistema de comunicacin para que acepte entrada de llamadas de discado directo a menos que estos sistemas hallan sido previamente aprobados por el departamento de seguridad de informacin. 508. Departamento de manejo responsable por la compatibilidad estndar del discado directo Poltica: Las conexiones de discado directo a sistemas internos y las redes deben ser establecidos por personal de desarrollo, administradores de sistemas y otros siempre y cuando estos sean consistentes con los estndares internos publicados. Antes de que las conexiones de discado directo sean activadas el personal del departamento que este efectuando la instalacin debe asegurarse de que estos estndares han sido seguidos. Todas las variaciones de estos estndares deben ser aprobadas con anticipacin por el personal encargado del departamento de seguridad de informacin. 509. Intentos mximos permitidos de cdigos de paso para usuarios de discado directo Poltica: Si un usuario de computador que entra a travs de una lnea de discado directo no da un cdigo de paso correcto luego de tres (3) intentos consecutivos la conexin debe ser inmediatamente terminada. 1.4.4. INFORMACIN TRANSFERIDA
510. Controles necesarios para transferir informacin sensible de la entidad Poltica: Antes de transferir informacin secreta, confidencial o privada de un computador a otro la persona que esta realizando la operacin debe asegurarse que los controles de acceso en el computador de destino son proporcionales con los controles de acceso del computador origen. Si la seguridad comparable no puede ser otorgada con los controles de acceso del sistema de destino entonces la informacin no debe ser enviada. 511. Bajar informacin sensible es prohibido sin obtener permiso
Pgina 73
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 74 de 104
Poltica: La informacin sensible de la entidad puede ser bajada de la estructura principal a un microcomputador o una estacin de trabajo solo despus de que dos condiciones hallan sido completadas. Para que esta transferencia de informacin tome lugar tiene que existir una necesidad clara de trabajo y un permiso anticipado del dueo de la informacin. Esta poltica no intenta cubrir correo electrnico o memos pero si se aplica a bases de datos, archivos principales y otra informacin guardada en las estructuras principales, microcomputadores, servidores y otras mquinas multi-usuarios. 1.4.5. SISTEMAS TELEFNICOS
512. Llamadas por cobrar son prohibidas en lneas de correo de voz Poltica: los administradores a cargo de los sistemas de correo de voz en la entidad deben hacer arreglos con la compaa de telfonos para que las llamadas por cobrar sean prohibidas en las lneas telefnicas con correo de voz. 513. Deshabilitar llamada con cdigo de rea 900 en todos los PBX (conmutadores) de la entidad Poltica: Los administradores a cargo de los conmutadores en la entidad deben programar los sistemas de tal manera que todas las llamadas con cdigos de rea 900 sean prohibidas. Esto evitara que se hagan llamadas no autorizadas a sistemas de informacin (algunos de los cuales son muy costosos) que luego la entidad tendr que pagar. 514. Las zonas a llamar por el conmutador debe ser registradas Poltica: Para reducir la incidencia de fraude los nmeros accesibles utilizando el conmutador de la entidad deben ser restringidos nicamente a aquellos nmeros necesarios para propsitos de negocios. 515. Los empleados no deben devolver llamadas a cdigos de rea 900 o similares Poltica: Los empleados de la entidad no deben devolver llamadas telefnicas regulares o beepers donde nmero a llamar tiene un cdigo de rea 900 donde cargos extras a una llamada personas son aplicados o donde los cargos sern devueltos para que la entidad los pague. 516. Dejar informacin sensible en contestadores automticos Poltica: Los empleados se deben abstener de dejar mensajes que contienen informacin sensible en contestadores automticos o sistemas de correo de voz. Esto ayudara a asegurar que la informacin llegara nicamente a la persona indicada. 517. Utilizar tarjetas de crdito en los sistemas de los telfonos del sistema PBX (Conmutador) Poltica: Los empleados deben evitar hacer llamadas de discado directo usando tarjetas de crdito telefnicas a travs del conmutador como lo hacen algunas organizaciones y hoteles. Estos conmutadores pueden grabar el nmero de la tarjeta de crdito y el nmero de identificacin personal. Esta informacin puede ser usada peridicamente para hacer llamadas fraudulentas. Donde se sabe la existencia de conmutadores los trabajadores deberan hacer sus llamadas desde telfonos pblicos u otras lneas directas. 518. Uso de tarjetas de crdito en telfonos pblicos
Pgina 74
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 75 de 104
Poltica: Cuando se usan telfonos pblicos si las circunstancias lo permiten los empleados deben deslizar las tarjetas de crdito en lugar de oprimir o dictar los nmeros para la informacin de cobro. 519. Permiso de los dos usuarios para todo uso de altavoz o grabadora Poltica: Cuando se use el telfono los trabajadores no deben utilizar el altavoz del telfono, micrfonos, altavoces, grabadoras o tecnologa similar a menos que se halla obtenido el permiso del originado y e receptor de la llamada. 520. Permiso especial necesario para grabar sesiones de videoconferencia Poltica: Las sesiones de videoconferencia no deben ser grabadas a menos que esta grabacin ha sido: a. Previamente aprobada por el directo de registro de archivo y b. Previamente comunicado a todos los participantes de la videoconferencia. 521. Uso de telfonos para uso personal Poltica: Los telfonos de la entidad tienen la funcin de facilitar las actividades propias. Los telfonos no deben ser utilizados para propsitos personales, a menos de que estas llamadas no puedan efectuase fuera de las horas de trabajo. En estos casos las llamadas personales deben ser de una duracin razonable. 522. Reembolso por llamadas telefnicas personales Poltica: Los telfonos de la entidad no deben ser utilizados para hacer llamadas personales especialmente llamadas de larga distancia. Es necesario enfatizar en las llamadas de larga distancia por que es all donde se encuentra el mayor gasto en cuanto a llamadas personales se refiere. Esta poltica permite explcitamente llamadas personales locales sin necesidad de reportarlas o de reembolso. 523. Cdigos de identificacin para soporte de computadores Poltica: A menos que la voz de la persona que llama es definitivamente reconocida la entidad de las personas haciendo llamadas telefnicas pidiendo soporte de computador debe ser autenticado utilizando un cdigo especial de identificacin. Este cdigo de identificacin es y debe ser diferente de un cdigo de acceso de computador y que este intencionado para el conocimiento exclusivo del personal interno autorizado. 1.4.6. SISTEMAS DE CORREO ELECTRNICO
524. Usando la cuenta de correo electrnico asignada a otro individuo Poltica: Los empleados no deben utilizar una cuenta de correo electrnico que ha sido asignada a otro individuo no para enviar ni para recibir informacin. Si hay necesidad de leer el correo de otra persona (por ejemplo cuando estn en vacaciones) la remisin de mensajes a otra direccin u otros mtodos pueden ser usados preferiblemente. 525. Enviando correo electrnico a una direccin de la red externa
Pgina 75
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 76 de 104
Poltica: A menos que el dueo u origen de la informacin este de acuerdo previamente o a menos de que la informacin sea netamente pblica los empleados no podrn enviar mensajes de correo electrnico a ninguna direccin afuera de la red de la entidad. 526. Mensajes de correo electrnico provedos por remitentes externos Poltica: Los empleados no pueden crear o remitir sus propios mensajes de correo electrnico provedos externamente que puedan ser considerados como acoso o que puedan contribuir a un ambiente de trabajo hostil. Un ambiente de trabajo hostil puede ser creado cuando comentarios derrogativos sobre el sexo, raza, religin o preferencias sexuales son circulados. 527. Grabado y retencin de correo electrnico Poltica: Los sistemas de administracin de la entidad deben establecer y mantener un proceso sistemtico para el grabado, retencin y distribucin de mensajes de correo electrnico y sus respectivas notas o marcas (logs). La destruccin de los mensajes y sus notas o marcas (logs) debe ser pospuesto cuando una notificacin legal es recibida. Tal destruccin debe ser tambin pospuesto si el material puede ser necesario para una accin legal inminente. 528. Retencin de mensajes de correo electrnico por parte del usuario para referencia futura Poltica: Si un mensaje de correo electrnico tiene informacin de referencia potencialmente importante o tiene valor como evidencia de una decisin de la gerencia debe ser retenida para una referencia. La mayora de los mensajes de correo electrnico no entran en estas categoras por lo que pueden ser borrados despus de ser recibidos. 529. Usuarios no deben emplear el sistema de correo electrnico como una base de datos Poltica: Los usuarios deben regularmente cambiar informacin importante de archivos de correo electrnico a un documento de procesador de palabra, base de datos y otros archivos. Los sistemas de correo electrnico no estn intencionados para guardar archivos de informacin importante. Los mensajes de correo electrnico pueden ser destruidos peridicamente por el administrador del sistema cuando existan problemas en el sistema. 530. Expectativas de privacidad y correo electrnico Poltica: Los trabajadores deben tratar los archivos y los mensajes de correo electrnico como informacin privada. El correo electrnico se debe manejar como comunicacin directa y privada entre el originador y el receptor. 531. Tratando el correo electrnico como comunicaciones pblicas Poltica: A menos que el material este encriptado los usuarios deben abstenerse de enviar informacin de investigacin y desarrollo, de tarjetas de crdito, cdigos de acceso e informacin confidencial va correo electrnico. 532. Autorizacin para leer correo electrnico de otros empleados Poltica: Cuando el director de la red de datos, el director de recursos humanos y el director de la oficina jurdica estn colectivamente de acuerdo los mensajes de correo electrnico viajando a travs de los sistemas de la entidad pueden ser monitoreados para cumplir con polticas internas por sospechar de actividad criminal y otras razones de sistemas de gerencia. A menos de que
Pgina 76
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 77 de 104
este trabajo sea especficamente asignado por los jefes de dependencia el monitoreo de los mensajes de correo electrnico esta prohibido por cualquier otro trabajador. 533. Anotaciones profanas, obscenas despreciativas en los mensajes de correo electrnico Poltica: Los trabajadores no deben usar apuntes profanos, obscenos o despreciativos en discusiones referentes a empleados, estudiantes o competidores. Estos apuntes aunque no hagan dao directo pueden crear problemas legales como calumnia o difamacin de carcter entre otros. 534. Restringir el contenido del mensaje en el sistema de informacin de la entidad Poltica: Los empleados tienen prohibido enviar o remitir por medio del sistema de informacin de la entidad cualquier mensaje que una persona razonable pueda considerar difamatorio, hostil o explcitamente sexual. Los empleados tambin tienen prohibido enviar o remitir mensajes o imgenes por medio del sistema de la entidad que puedan ofender las creencias de raza, gnero, nacionalidad, orientacin sexual, religin, creencias polticas o discapacidad. 535. Notificar el contenido monitoreado por trasmisiones de correo electrnico Poltica: La entidad utiliza rutinariamente herramientas que examinan el correo electrnico para identificar palabras claves seleccionadas, tipos de archivos y otra informacin. Los usuarios deben restringir sus comunicaciones a asuntos de trabajo en reconocimiento a este monitoreo electrnico. 536. Reportar al originador y a recursos humanos acerca de mensajes ofensivos enviados por correo electrnico Poltica: Los empleados son animados a responder directamente al originador del correo electrnico ofensivo llamadas telefnicas y/o cualquier otro tipo de comunicacin. Si el originador no para de enviar mensajes ofensivos prontamente el trabajador debe reportar la comunicacin a su jefe directo y al departamento de recursos humanos. 537. Los mensajes de correo electrnico son registros de la entidad Poltica: El sistema de correo electrnico de la entidad debe ser usado nicamente para propsitos de trabajo. Todos los mensajes enviados por medio del correo electrnico son registros de la entidad. La entidad se reserva el derecho de acceder y revelar todos los mensajes enviados por medio del sistema de correo electrnico para cualquier propsito. Los supervisores deben revisar las comunicaciones de correo electrnico de los trabajadores supervisados para determinar si han atentado contra la seguridad, violado polticas de la entidad o ejecutando cualquier otra accin no autorizada. La entidad tambin debe revelar los mensajes electrnicos a los oficiales de la ley sin notificacin previa a los trabajadores que hayan enviado o recibido este tipo de mensajes. 538. Remitir copias de correo electrnico oficial al archivo de registros Poltica: Todos los mensajes de correo electrnico que contengan una aprobacin administrativa formal, autorizacin, delegacin o manejo de responsabilidad o cualquier transaccin similar deben ser copiados al departamento de archivo de registros. 539. Uso personal de sistema de correo electrnico
Pgina 77
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 78 de 104
Poltica: El sistema de correo electrnico esta creado con el propsito de ser utilizado principalmente para cuestiones de trabajo. Cualquier uso personal no debe interferir con las actividades normales del trabajo, no debe involucrar solicitud, no debe ser asociado con ningn beneficio fuera de las actividades propias de trabajo y no debe avergonzar a la entidad. 540. Autorizacin para hacer pblico un mensaje a travs de correo electrnico y correo de voz Poltica: La herramienta de envi de mensajes masivos a travs de correo electrnico y correo de voz pueden ser utilizadas o aprobadas por la alta gerencia. 1.4.7. DISPOSICIONES DE TELECOMUNICACIONES
541. Equipos permitidos para telecomunicaciones Poltica: Los empleados que laboren para la entidad en sitios de trabajo alternos deben utilizar equipos de computacin y red provedos por la entidad. Se har una excepcin nicamente si otros equipos han sido aprobados como compatibles con el sistema de informacin y los controles de la entidad. 542. Alternaciones/expansiones hechas a los computadores dotados por la entidad Poltica: Los equipos de cmputo de la entidad no deben ser alterados ni mejorados en ninguna forma sin el consentimiento y autorizacin del responsable del departamento. 543. Reporte de daos de hardware software pertenecientes a la entidad Poltica: Los trabajadores deben reportar a su superior prontamente sobre cualquier dao o prdida del equipo, software o informacin que tengan a su cuidado y sean propiedad de la entidad. 544. Proteccin de la propiedad de la entidad en sitios de trabajo alternos Poltica: La seguridad de la propiedad de la entidad en sitios de trabajo alternos es tan importante como lo es en las oficinas centrales. En sitios de trabajo alterno se deben tomar precauciones razonables que puedan proteger contra robo, dao y/o mal uso a los equipos, el software y la informacin. 545. Derecho a propiedad intelectual desarrollados en sitios de trabajo alternos Poltica: La propiedad intelectual desarrollada o concebida mientras el trabajador se encuentre en sitios de trabajo alternos es propiedad exclusiva de la entidad. Esta poltica incluye patentes, derechos de reproduccin, marca registrada y otros derechos de propiedad intelectual segn lo manifestado en memos, planes, estrategias, productos, programas de computacin, documentacin y otros materiales. 546. Derecho a inspeccionar en ambientes de telecomunicaciones Poltica: La entidad tiene el derecho de llevar a cabo inspecciones en oficinas de telecomunicaciones sin previo aviso. 1.4.8. CONEXIONES DE INTERNET
547. Negacin de responsabilidad institucional para todos los mensajes personales de Internet
Pgina 78
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 79 de 104
Poltica: En cualquier momento que un trabajador publique un mensaje en un grupo de discusin de Internet, en un boletn electrnico o cualquier otro sistema de informacin pblico, este mensaje debe ir acompaado de palabras que indiquen claramente que su contenido no representa la posicin de la entidad. Dichas palabras son requeridas aun cuando el nombre de la entidad no aparezca en el texto del mensaje y/o cuando una afiliacin con la entidad no ha sido establecida explcitamente. 548. Derecho de propiedad intelectual de otras fuentes de Internet Poltica: Aunque el Internet es un ambiente de comunicacin informal aplican las leyes para derechos de reproduccin, patentes, marcas registradas y todo lo relacionado. En este punto los empleados que utilicen sistemas de la entidad deben por ejemplo: a. Publicar material nicamente despus de obtener permiso de la fuente. b. Indicar la fuente si sta es identificada. c. Revelar informacin interna de la entidad en Internet solo si la informacin ha sido aprobada oficialmente en un comunicado pblico. 549. Revelacin de informacin de contacto personal en foros pblicos de Internet Poltica: Los funcionarios que se preocupen por acecho, acoso u otra invasin de su privacidad no deben revelar sus nombres reales, direcciones o nmeros telefnicos en boletines electrnicos, sesiones de charla o cualquier otro foro pblico en Internet. 550. Las pginas Web no oficiales son permitidas solo por contrato Poltica: Las pginas World Wide Web (WWW) no oficiales que tengan que ver con procedimientos o servicios de la entidad son prohibidas a menos que el patrocinador de estas pginas tenga un contrato firmado por el director de relaciones pblicas. Los trabajadores que se den cuenta de una nueva referencia o servicio de la entidad en Internet deben informar tan pronto como sea posible al director de relaciones pblicas. 551. Comit administrativo de la pgina Web de la entidad en Internet Poltica: Todos los cambios que se hagan en la pgina Web de la entidad en Internet deben ser aprobados por un comit especial antes de ser publicados. Dicho comit es establecido por el departamento de relaciones pblicas. Este comit debe asegurarse que todo el material puesto en la pgina Web contenga una apariencia consistente y pulida, est de acuerdo con las metas de la empresa y protegido por las medidas de seguridad adecuadas. 552. Requerimientos de diseo de la pgina Web en Internet Poltica: Todas las pginas Web de la entidad en Internet deben ajustarse a estndares de diseo, navegacin, redaccin legal y requerimientos similares establecidos por el comit de administracin de la pgina Web en Internet. 553. Aceptacin de ideas no solicitadas a travs de Internet Poltica: Si existe un mecanismo que reciba comentarios o sugerencias en el Web de la entidad, este debe contener las siguientes palabras: la recepcin de ideas no solicitadas por la entidad no obliga a la compaa a mantener estas en confidencialidad no obliga a la compaa a pagar a la persona que las presente.
Pgina 79
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 554. Enviar software y otra informacin importante por el Internet
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 80 de 104
Poltica: Informacin secreta, propietaria o privada de la entidad nunca se debe enviar por Internet si primero no ha sido encriptada por medio de mtodos apropiados. A menos que se tenga un conocimiento especfico de estar en el dominio pblico, el cdigo fuente debe estar encriptado siempre antes de ser enviado por Internet. 555. Eliminacin de publicaciones electrnicas inapropiadas puestas en foros pblicos Poltica: El correo electrnico enviado por los empleados de la entidad a grupos de discusin de Internet, boletines electrnicos y cualquier otro foro pblico debe ser revisado y removido en caso que se determinen inconsistencias con los intereses propios de la entidad o la poltica existente en la compaa. Los mensajes de esta categora incluyen: a. b. c. d. Declaraciones polticas. Declaraciones religiosas. Lenguaje mal hablado. Afirmaciones vistas como acoso a creencias de raza, credo, color, edad, sexo, impedimento fsico o inclinaciones sexuales.
La decisin de borrar correo electrnico debe ser tomada por el director de seguridad de informacin, el director de recursos humanos o la persona que se delegue para tal fin. Cuando sea prctico y posible se informar a las personas responsables por el mensaje de la decisin y se les dar la oportunidad de que sean ellos mismos quienes los eliminen. 556. La entidad bloqueara el acceso a ciertas paginas en Internet Poltica: Los sistemas de informacin de la entidad rutinariamente previenen a los usuarios de conectarse a determinadas pginas de Internet. Los empleados que encuentren que se pueden conectar a pginas de Internet que contengan contenidos sexuales, racistas o cualquier otro tipo de material ofensivo deben desconectarse inmediatamente de ese sitio e informar a la direccin de seguridad informtica. La posibilidad de conectarse a una pgina especfica por si mismo no implica que el usuario del sistema de la entidad tenga el permiso para visitar dichos sitios. 557. Manejo de software y archivos bajados de Internet Poltica: Todo el software y archivos bajados desde fuentes diferentes a la entidad a travs de Internet o cualquier otra red pblica deben ser protegidos con software de deteccin de virus. Esto debe realizarse antes de empezar a ejecutar o examinar a travs de cualquier otro programa como por ejemplo un procesador de palabra. 558. Fiabilidad de la informacin bajada de Internet Poltica: Toda la informacin sacada a travs de Internet debe considerarse sospechosa hasta tanto no se confirme con otra fuente. No existe un proceso de control de calidad en Internet y una cantidad considerable de informacin de Internet no esta actualizada, es errnea y deliberadamente falsa. 559. Intercambio de informacin en Internet Poltica: Software, documentacin y cualquier otro tipo de informacin interna de la entidad no debe ser vendida o transferida a ninguna parte que no pertenezca a la entidad para ningn propsito diferente al del negocio. No se debe dar el intercambio de software y/o datos entre la
Pgina 80
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 81 de 104
entidad y una tercera parte a menos que se haya llegado a algn acuerdo escrito y ste haya sido firmado por el vicerrector. Dicho acuerdo debe especificar tanto los trminos como las formas en que el software y/o datos deben ser manejados y protegidos. 560. Las conexiones de Telnet en Internet estn prohibidas Poltica: Las conexiones de Telnet (Tambin conocidas como conexiones de acceso remoto en sistemas Unix) en Internet a travs de los computadores de la entidad estn prohibidas sin ninguna excepcin. 561. La ejecucin del programas Java est prohibido a menos que se haya validado la firma digital Poltica: Los trabajadores tienen prohibido ejecutar applets de Java bajados desde Internet a menos que: a. El applet provengan de una fuente confiable y conocida b. La firma digital haya sido chequeada y no se haya descubierto ningn problema. 562. El acceso a Internet utilizando los computadores de la entidad se debe hacer a travs de un firewall Poltica: El acceso a Internet utilizando computadores en las oficinas de la entidad est permitido cuando el usuario se comunica a travs del firewall de la entidad. Otras formas de acceso a Internet como conexiones dial-up con un proveedor de Internet (ISP) estn prohibidas si se utilizan computadores de la entidad. 1.4.9. CONEXIONES DE INTRANET
563. Todos los contenidos publicados en Intranet son propiedad de la entidad Poltica: A menos que se cuente con una aprobacin por adelantado del director del departamento de servicios de informacin y una nota explicita en la pgina de intranet en cuestin todos los contenidos publicados en intranet de la entidad son propiedad de la misma. 564. Chequeo previo a la publicacin de informacin de intranet Poltica: Antes de publicar material de la entidad en intranet los trabajadores deben chequear a fondo toda la informacin y programas para asegurar que no incluyan virus, caballos de Troya y cualquier otro cdigo malicioso. Antes de publicar la informacin los empleados tambin deben confirmar la actualidad, oportunidad y relevancia de la misma. 565. Revisin mayor de pginas de intranet antes de su publicacin Poltica: Antes de hincar la publicacin en intranet de la entidad todos los usuarios desarrolladores de pginas Web deben evaluar posibles problemas de seguridad y operaciones de acuerdo a un proceso aprobado establecido por el departamento de seguridad en informacin. 566. Toda la informacin publicada en las pginas de intranet deben tener un propietario
Pgina 81
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 82 de 104
Poltica: Toda la informacin publicada en intranet de la entidad debe tener un propietario designado. Toda informacin de contactos para este propietario debe ser claramente indicada en las pginas en que aparece dicha informacin. 567. Informacin secreta no se debe publicar en intranet o Internet Poltica: Debido a que la tecnologa de intranet e Internet presenta altos niveles de ataque la informacin secreta de la entidad no debe quedar residente en los servidores de intranet y/o Internet. 568. El establecimiento de servidores de intranet requiere aprobacin de la red de datos Poltica: Antes de conectarlos a la red interna todos los servidores intranet de la entidad deben ser preautorizados por el administrador de servicios de red en la red de datos. 569. Aprobacin requerida para acceso por parte de terceros a sistemas internos Poltica: Todo acceso de terceros a sistemas de computadora de la entidad que no sean pblicos debe ser aprobado por adelantado por el coordinador de seguridad informtica designado. 570. Redireccionar informacin de intranet de la entidad a terceros Poltica: La intranet de la entidad es para uso exclusivo de personas autorizadas. A diferencia de Internet la informacin de intranet debe ser nicamente para personal autorizado. Los empleados no deben redireccionar informacin que aparezca en intranet a terceros sin pasar por los canales internos aprobatorios. 571. Los desarrolladores de sitios de intranet deben utilizar la gua de estilo de la entidad Poltica: Todos los trabajadores que desarrollen en intranet debe observar consistentemente la gua de estilo de intranet y utilizar los recursos encontrados en el sitio de implementacin de intranet. 2. SEGURIDAD GERENCIAL 2.1. SEGURIDAD ADMINISTRATIVA 2.1.1. ENTRENAMIENTO Y CONOCIMIENTO
572. Entrenamiento sobre seguridad de informacin requerido para todos los trabajadores de informacin Poltica: Todos los empleados, consultores y contratistas deben contar con suficiente entrenamiento y material de referencia de soporte que les permita proteger adecuadamente los recursos de informacin de la entidad. 573. El departamento de seguridad de la informacin es el responsable del entrenamiento relacionado Poltica: El departamento de seguridad de la informacin debe proveer cursos de actualizacin y cualquier otro material para recordar regularmente a los empleados, consultores y temporales acerca de sus obligaciones con respecto a la seguridad de la informacin. 574. Tiempo requerido en el entrenamiento sobre seguridad de la informacin
Pgina 82
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 83 de 104
Poltica: La administracin debe ubicar suficiente tiempo para que los empleados se pongan al corriente de las polticas, procedimientos y forma relacionada con como proteger la informacin de la entidad. 575. Trabajar de acuerdo a los procedimientos y polticas de seguridad de la informacin Poltica: Cada trabajador debe entender las polticas y procedimientos de la entidad con respecto a la seguridad de la informacin y debe estar de acuerdo en escribir para desarrollar su trabajo de acuerdo con dichas polticas y procedimientos. 576. Atencin a la clase de seguridad de la informacin obligatoria Poltica: Cada trabajador debe atender a una clase de conciencia sobre seguridad en la informacin dentro de los tres primeros meses una vez haya iniciado a laborar con la entidad. Para que exista una evidencia de que cada empleado ha atendido a dicha clase, cada uno debe firmar un acuerdo que especifique que ellos han asistido a clase, entendido el material presentado y han tenido la oportunidad de hacer preguntas. 577. Conformidad con el cdigo corporativo de conducta requerido Poltica: Como una condicin de relacin de trabajo continuo continuado con la entidad, todos los trabajadores deben leer, entender y comportarse de acuerdo con el cdigo corporativo de conducta. 578. Reconocimiento de firma para entender el cdigo de conducta Poltica: Todos los trabajadores deben indicar su entendimiento del cdigo de conducta firmando anualmente una forma de reconocimiento que especifique que ellos estn de acuerdo con el cdigo a suscribir el cdigo. 579. Definicin clara de las responsabilidades sobre la seguridad de la informacin de terceros Poltica: Todo aquel que deje informacin a cargo de la entidad debe estar pendiente de sus responsabilidades con la seguridad de su informacin, por medio de un leguaje especfico que aparezca en sus contratos, el cual define sus relaciones con la entidad. 2.1.2. REPORTE DE PROBLEMAS DE SEGURIDAD
580. Reporte de los incidente presentado s en la seguridad de la informacin requerido Poltica: Todos los incidentes que se puedan presentar en la seguridad de la informacin se debe reportar tan pronto como sea posible a travs de los canales correctos. 581. Reporte interno de violaciones y problemas en la seguridad de la informacin Poltica: Los trabajadores de la entidad tienen la tarea de reportar todas las violaciones y problemas con la seguridad de la informacin al departamento de seguridad de informacin en un tiempo prudente para que as se pueda tomar una accin que los solucione prontamente. 582. Centralizacin de los reportes relacionados con problemas en la seguridad de la informacin
Pgina 83
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 84 de 104
Poltica: Todas las vulnerabilidades conocidas adems de todas las violaciones conocidas deben ser comunicadas en forma rpida y confidencial al departamento de seguridad de informacin. Adicionalmente todas las revelaciones de informacin de la entidad no autorizadas deben ser reportadas a los propietarios de la informacin involucrados. Est estrictamente prohibido reportar violaciones de seguridad, problemas o vulnerabilidades a cualquier parte fuera de la entidad (exceptuando auditores externos) sin la previa aprobacin escrita de la oficina jurdica. 583. Interferencia al reporte de problemas en la seguridad de la informacin Poltica: Cualquier intento de interferir, prevenir, obstaculizar o disuadir a un miembro del personal en su esfuerzo por reportar posibles problemas o violaciones en la seguridad de la informacin est estrictamente prohibido y es causal de acciones disciplinarias. Cualquier forma de retaliacin contra reportes individuales o investigaciones acerca de problemas o violaciones en la seguridad de la informacin tambin est prohibida y causa accin disciplinaria. 584. Proteccin de los trabajadores que reporten problemas en la seguridad de la informacin Poltica: La entidad proteger a los trabajadores que reporten de buena fe lo que ellos creen es una violacin de las leyes o regulaciones, o condiciones que pueden poner en peligro la salud o seguridad de otros trabajadores. Esto significa que dichos trabajadores no pueden ser despedidos, amenazados o disciplinados porque ellos reporten lo que perciben que esta errado o puede causar situaciones peligrosas. Antes de tomar cualquier otra accin estros trabajadores deben reportar el problema a su jefe directo o al departamento de auditoria interna y luego dar a la organizacin el tiempo para solucionar la situacin. 585. reporte externo de violaciones en la seguridad de la informacin Poltica: Si es requerido por la ley o regulaciones, la administracin debe informar a las autoridades externas los mas pronto posible acerca de violaciones en la seguridad de la informacin. Si no existe este requerimiento en conjunto con representantes de la oficina jurdica, el departamento de seguridad y el departamento de auditoria interna la administracin debe sopesar las ventajas y desventajas de revelar externamente antes de reportar estas violaciones. 586. Reporte inmediato de computadoras que sospechosamente estn infectados con virus Poltica: Los virus de computador se pueden propagar rpidamente y es necesario erradicarlos tan pronto como sea posible para limitar un dao serio a computadores y datos. En consecuencia si un trabajador reporta al departamento de seguridad de informacin la infeccin con virus en un computador inmediatamente despus de que ste haya notificado, aun si su negligencia fue un factor que contribuyera, no se tomaran acciones disciplinarias. La nica excepcin a ste pronto reporte de amnista ser aquellas circunstancias donde un trabajador en forma cmplice causa un virus en el computador para poder introducirse en el sistema de la entidad. 587. Reporte de mal funcionamiento en el software requerido Poltica: Todo el mal funcionamiento aparente en el software debe ser reportado inmediatamente al personal de soporte o al departamento de seguridad de informacin. 588. Investigacin requerida en los siguientes crmenes de computador Poltica: Cuando se demuestren evidencias claras de que la entidad ha sido victima de un crimen de computador o comunicaciones se debe llevar a cabo una investigacin. Esta
Pgina 84
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 85 de 104
investigacin debe proveer informacin suficiente para que el administrador pueda tomar los pasos que aseguren que: 1. Dichos incidentes no se pueden volver a presentar, y 2. Se haya establecido medidas de seguridad efectivas. 589. Cuando buscar asistencia con problemas de acceso no autorizado Poltica: Cuando se sospeche o conozca de acceso no autorizado al sistema, el personal de la entidad debe tomar accin inmediata para terminar dicho acceso. Si estas acciones no suspenden completamente la actividad no autorizada, se debe buscar inmediatamente asistencia del centro de soporte o el departamento de seguridad de informacin. 590. Retencin de informacin acerca de violaciones en la seguridad e informacin de problemas Poltica: La informacin que describe todos los problemas de seguridad reportados y violaciones debe ser conservada por un periodo de tres aos. 591. Anlisis anual de problemas y violaciones en la seguridad de la informacin Poltica: Un anlisis anual del reporte de problemas de seguridad y violaciones debe ser preparado por el departamento de seguridad de informacin. 592. Reporte de problemas y administracin de procesos Poltica: Normalmente la informacin que muestra los efectos de fallas del sistema, cadas y problemas relacionados con computadores debe estar disponible a los usuarios. Un proceso formal de administracin del sistema debe estar en capacidad de registrar problemas, reducir su incidencia y prevenir su recurrencia. 2.1.3. SELECCIN DE CONTROLES 2.1.3.1. CONTROLES Y DISEO DE SISTEMAS 593. Confianza en nuevos productos de seguridad de informacin Poltica: Los productos de seguridad de sistemas de informacin en el mercado con no menos de un ao no deben ser utilizados como componente integral de cualquier sistema de informacin en produccin de la entidad. 594. Requerimiento de facilidad de uso para la seguridad de computadoras y comunicaciones Poltica: Todas les medidas de seguridad de comunicaciones y computadoras deben ser simples y fciles de utilizar, administrar y auditar. 595. Requerimiento de aceptacin del usuario como medida de seguridad informtica Poltica: Todos los controles de seguridad de la informacin deben ser aceptados y apoyados tanto por las personas a quienes se monitorean como por quienes trabajan con los controles. 596. Incorporacin de seguridad en el ciclo de vida de desarrollo de sistemas
Pgina 85
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 86 de 104
Poltica: Para todos los sistemas aplicativos administrativos, la seguridad debe hacerse por diseadores y desarrolladores del sistema desde el inicio del proceso de diseo de sistemas hasta la conversin a un sistema en produccin. 597. Suministro de hardware y software nicamente a travs de los canales de compra establecidos Poltica: Para garantizar conformidad con los estndares de seguridad de la informacin propios se debe conseguir todo el hardware y software a travs de canales estndares de compra. 598. Proteccin consistente de indiferencia de manifestacin de informacin Poltica: Se debe proteger la informacin de una forma correspondiente a sensibilidad, valor y criticidad. Esto aplica a polticas que no tienen en cuenta el medio en el cual se almacena la informacin, los lugares en los cuales se almacena la misma, los sistemas utilizados para procesar la informacin o los procesos en los cuales se maneja la misma. 599. Minimizacin de confianza en mecanismos comunes para controles Poltica: Dentro de las restricciones de la justificacin de costos, los controles de seguridad de informacin deben ser seleccionados y diseados de tal forma que se minimice la seguridad en mecanismos comunes. 600. Sistemas de seguridad independientes para cada sistema de computadora Poltica: La seguridad de un sistema de computadora nunca debe ser completamente dependiente de la seguridad de otro sistema de computadora. 601. Utilizacin de la versin mas actual del sistema operativo del computador Poltica: Para tomar ventaja de mejoras recientes de seguridad, despus de una demora de algunos meses, la entidad debe utilizar la versin mas reciente de todos los sistemas operativos del computador multiusuario. 602. Mantener aparte la funcionalidad de la seguridad de los aplicativos comerciales Poltica: siempre que sea factible y efectivo en costos, los desarrolladores del sistema deben contar con servicios de sistema para la funcionalidad de la seguridad antes que incorporar tal funcionalidad en los aplicativos. Ejemplos de servicios de sistemas incluyen sistemas operacionales, sistemas operativos de redes, sistemas de administracin de bases de datos, paquetes de control de acceso, procesadores front-end. Firewall, salidas y enrutadores. 2.1.3.2. CONTROLES Y CONSIDERACIONES EN LOS NEGOCIOS 603. Requerimientos de avalo de riesgos para sistemas de informacin en produccin Poltica: Todos los sistemas de informacin de computadoras en produccin deben ser peridicamente evaluados por el departamento de seguridad de informacin para determinar el conjunto mnimo de controles requeridos para reducir el riesgo a un nivel aceptable. 604. Cundo ejecutar una evaluacin de riesgo de seguridad de un sistema de informacin
Pgina 86
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 87 de 104
Poltica: La evaluacin de riesgos de seguridad de sistemas de informacin para sistemas de informacin crticos y aplicativos en produccin crticos se debe ejecutar al menos una vez cada dos aos. Todas las mejoras, actualizaciones, conversiones y cambios relativos asociados con estos sistemas o aplicativos deben ser procedidas por una evaluacin del riesgo, como est definida en el manual de seguridad de la informacin. 605. Comprar en lugar de hacer soluciones de seguridad de seguridad de informacin Poltica: Para mantener los costos bajos y para facilitar el desarrollo de sistemas, la entidad debe comprar soluciones de seguridad de informacin disponibles comercialmente antes que desarrollarlas. Las excepciones a esta poltica solo se deben hacer cuando la relacin costobeneficio de una solucin personalizada ha sido claramente analizada, documentada y aprobada por la administracin del departamento de seguridad informtica. 606. Conformidad con los estndares de seguridad de informacin especficos de la industria Poltica: Los sistemas de informacin de la entidad deben aplicar estndares de seguridad de informacin especficos de la industria. No se aceptan excepciones a menos que se pueda demostrar que el costo de utilizar los estndares supera los beneficios, o que la utilizacin de los estndares impedir claramente la actividad del negocio de la entidad. 607. Polticas de proceso de aceptacin de riesgos y excepciones permisibles Poltica: Se permitirn excepciones a las polticas de seguridad informtica nicamente cuando el rector o vicerrector ha firmado un formato de aceptacin del riesgo. En ausencia de la firma de una aprobacin por un administrador superior reflejada en el formato de aceptacin del riesgo, todos los empleados deben velar consistentemente por todas las polticas de seguridad de informacin de la entidad. 608. Controles mnimos de sistemas de informacin dictados por la practica estndar Poltica: Como mnimo todos los sistemas de informacin de la entidad deben incluir controles estndar encontrados en organizaciones con circunstancias similares. Ms all de esto, los nicos riesgos afrontados sern los orientados con soluciones personalizadas de la entidad. 609. Requerimiento de respuesta para cada riesgo significativo de seguridad de informacin Poltica: Para cada riesgo de seguridad de sistemas de informacin significativo, se debe hacer una decisin especfica del grado en el cual la entidad deber estar as: a. Auto asegurada. b. Mirar seguros externos. c. Ajustar controles para recudir las prdidas esperadas. 610. Se debe mantener un cubrimiento adecuado de seguros en un sistema de informacin Poltica: Se debe obtener un cobro adecuado del seguro y forzar a que se mantenga para cada enfrentamiento con una amenaza mayor en la confidencialidad e integridad y la disponibilidad del manejo de la informacin por parte de los sistemas de computacin y de comunicaciones de la entidad. 611. Distribucin de recursos suficientemente seguros para direccionar la informacin
Pgina 87
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 88 de 104
Poltica: La administracin debe disponer de recursos suficientes y atencin de personal de alto nivel para un direccionamiento adecuado de la seguridad de los sistemas de informacin. 612. Previo a la instalacin, las medidas de seguridad deben ser reforzadas Poltica: Todos los controles de seguridad de sistemas de informacin se deben reforzar antes de ser adoptados como parte de un procedimiento operativo estndar. 2.1.3.3. SELECCIN DE OTROS ASPECTOS DE CONTROL 613. Acuerdos con terceras partes que manejan informacin de la entidad Poltica: Todos los tratos de acuerdo con el manejo de informacin de la entidad por terceras partes deben incluir una clusula especial. Esta clusula debe permitir que la entidad audite los controles utilizados para esa actividad del manejo de la informacin y que especifique la forma en la cual se proteger la informacin de la entidad. 2.2. SEGURIDAD DEL PERSONAL 2.2.1. TERMINACIN Y DISCIPLINA 614. Medidas disciplinarias para la no aceptacin de la seguridad de la informacin Poltica: El no cumplimiento con las polticas, estndares o procedimientos de seguridad informtica es la base para iniciar acciones disciplinarias. 615. Medidas disciplinarias para varias violaciones de la seguridad de la informacin Poltica: Cuando se asume que la primera violacin de las polticas de seguridad e informacin es accidental o inadvertida se debe hacer una amonestacin. Una segunda violacin sobre el mismo tema har que se enve una carta al archivo del empleado. Una tercera violacin ocasionar la suspensin de trabajo por varios das sin pago. Una cuarta violacin ocasionar el despido. Violaciones intencionales o a propsito sin importar el nmero de las mismas puede resultar en acciones disciplinarias que debe llegar hasta el despido. 616. Requerimientos de terminacin instantnea para violaciones de seguridad Poltica: A menos que exista un permiso especial del rector o vicerrector, todos los trabajadores que hayan robado propiedad de la entidad, actuado con insubordinacin, convicto de delito, se deben despedir inmediatamente. Tales despidos deben incluir escolta tanto para que la persona se retire de la entidad como para que retire sus efectos personales. 617. Manejo de terminaciones involuntarias de trabajadores de sistemas Poltica: En todos los casos en los cuales se cancela involuntariamente el trabajo de las personas que atienden el computador, a ellos se les debe relevar inmediatamente de todas sus obligaciones, se les debe requerir la devolucin de la informacin y equipo y deben ser escoltados mientras que ellos empacan sus pertenencias y persuadirlos para que abandonen la entidad. 618. Remocin de informacin cuando se termina el empleo Poltica: Hasta la culminacin del empleo, los empleados no pueden retener, traicionar o retirar desde las instalaciones de la entidad cualquier informacin de la entidad, diferente a copias
Pgina 88
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 89 de 104
personales de correspondencia relacionada directamente con los trminos y condiciones de su empleo. Cualquier otra informacin de la entidad en custodia del trabajador que se retira debe ser entregada al supervisor inmediato del trabajador en el momento de su salida. 619. Devolucin de informacin por parte de contratistas, asesores y temporales Poltica: En la terminacin o expiracin de su contrato, todos los contratistas, asesores y temporales deben entregar personal al supervisor del contrato todas las copias de la informacin recibida de la entidad o creada durante la ejecucin del contrato. 620. Devolucin de la propiedad de la empresa cuando se retira de la misma Poltica: En el momento en que cada empleado, asesor o contratista termina su relacin con la entidad, debe devolver todo lo que sea propiedad de la empresa. Esto incluye computadores porttiles, libros de biblioteca, llaves de edificios, tarjetas magnticas de acceso, prestamos pendientes y similares. Estos individuos que terminan su contrato laboral deben informar a la administracin acerca de todo lo que se encuentra en sus manos que es propiedad de la entidad, de igual forma los privilegios del sistema de computador, los privilegios de acceso a edificios y otros privilegios que les hayan sido concedidos. 621. Responsabilidad de las acciones tomadas como respuesta a las cancelaciones laborales de trabajadores Poltica: En el evento en el que un empleado, asesor o contratista, se le termina su relacin con la entidad, el jefe inmediato del trabajador es responsable por: 1. Asegurarse de que toda la propiedad en custodia del trabajador sea regresada antes de que el trabajador deje la entidad. 2. Notificar a todos los responsables del manejo de las cuentas de computador y comunicaciones utilizadas por el trabajador tan pronto como se conozca su retiro. 3. Terminacin de todos los privilegios relacionados con el trabajo de la persona que se retira en el momento en el que tiene lugar el mismo. 622. Los trabajadores retirados involuntariamente no sern retenidos o contratados de nuevo Poltica: Exempleados, exacesores y excontratistas que fueron retirados no deben ser contratados de nuevo o retenidos sin el permiso escrito del rector o vicerrector. 623. Durante investigaciones extensas se requiere que el trabajador se vaya sin pago Poltica: Cuando el empleado se ve involucrado en investigaciones extensas de brechas de seguridad se despide sin pago y la razn por la cual se despide sin pago no ser revelada a sus compaeros sin el permiso expreso del director de seguridad. 624. Firma anual de un acuerdo de cumplimiento de las polticas de seguridad Poltica: Como condicin de continuidad los empleados, asesores y contratistas deben firmar anualmente un acuerdo de cumplimiento de la seguridad de la informacin. 2.2.2. CONFIANZA SOBRE LAS PERSONAS
Pgina 89
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 90 de 104
625. Requerimiento de intervencin humana en las decisiones importantes Poltica: Todos los procesos asistidos por computador deben incluir intervencin humana antes que se origine cualquier accin cuyo resultado podra ser un evento de amenaza contra la vida u la seguridad del individuo. 626. Confianza en una persona con experiencia en sistemas importantes Poltica: La experiencias en reas importantes relacionadas con el computador o las comunicaciones deben ser posedas por al menos dos personas disponibles para tal fin. El mantener este tipo de back-up experto previene contra interrupciones en el servicio del sistema y tambin incrementa la posibilidad de que se conozcan actos abusivos y no autorizados. 627. Se requiere que cada ao se disfruten las vacaciones legales durante un periodo consecutivo Poltica: Para dar a otros una oportunidad de adquirir conocimientos y para prevenir la probabilidad de ilcitos, todos los trabajadores deben disfrutar de sus vacaciones obligatoriamente cada ao. 628. Seguros para personal que ocupa posiciones de confianza relacionadas con la informtica Poltica: Todos los trabajadores en posiciones relativas de confianza particularmente sensitivas del computador, deben estar asegurados. 629. Responsabilidad de reportar cambios de estado que afecten la elegibilidad para ciertas posiciones Poltica: Todos los empleados tienen la obligacin de reportar prontamente a su jefe inmediato todos los cambios en su estado personal que puedan afectar su elegibilidad para mantener su posicin actual. Si los empleados falla en la divulgacin material de la informacin acerca de su cambio de estado, se supeditan ellos mismos a todas las acciones disciplinarias incluyendo la terminacin de su trabajo. Ejemplos de tales cambios de estado incluyen pruebas de culpabilidad para delitos relacionados con el trabajo y actividades fuera del negocio. 630. Transferencia de ciertos trabajadores a cargos menos expuestos Poltica: Los trabajadores que han notificado su intencin de dejar el empleo en la entidad, as como aquellos que estn concientes de una inminente terminacin involuntaria del trabajo, se deben transferir a puestos en los cuales puedan hacer el mnimo dao sobre los activos de la entidad. Esta poltica tambin aplica para aquellos trabajadores que son conocidos por estar descontentos. La opcin del supervisor con aquellos individuos puede ser colocarlos alternativamente con licencia remunerada. 631. Uso de criminales convictos y un lugar de trabajo seguro Poltica: No se debe extender la oferta de trabajo a individuos que son convictos de delitos que incluyen violencia, si se repitiera, podra ocasionar daos fsicos a la propiedad o a los empleados de la entidad. 632. Uso de criminales convictos en posiciones de confianza relacionadas con el computador
Pgina 90
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 91 de 104
Poltica: Personas que hayan sido convictas de felona no pueden ser contratadas, promovidas o utilizadas como asesores, contratistas para posiciones de confianza relacionadas con la informtica. 2.2.3. CHEQUEO DEL NIVEL DE CONOCIMIENTO
633. Pruebas de conocimiento a los trabajadores en posiciones de confianza relacionadas con la informtica Poltica: Todos los trabajadores que sean ubicados en posiciones de confianza relacionadas con la informtica, deben primero pasar un chequeo de conocimiento. Este proceso puede incluir el examen de criminales convictos, de litigios, de oficinas de crdito, de licencias de trfico, as como la verificacin de los empleos anteriores. Esta poltica aplica a los empleados nuevos, reenganchados, as como a contratistas y asesores. 2.2.4. ASPECTOS VARIOS EN SEGURIDAD PERSONAL
634. Procedimientos adecuados de resolucin de quejas Poltica: Para resolver rpidamente problemas de relaciones entre empleados la administracin debe establecer y suministrar procedimientos adecuados para las directivas tramitar y dar una pronta solucin a las quejas de cada uno de los trabajadores. 635. Servicios gratis de consejeros confidenciales para trabajadores Poltica: A todos los trabajadores con problemas personales tales como la adiccin a las drogas, alcoholismo o divorcio entre otros, se les debe suministrar los servicios de un consejero confidencial gratis. 636. Sitio de trabajo libre de drogas y alcohol Poltica: Con la excepcin de prescripciones ordenadas por profesionales licenciados en el cuidado de la salud, los trabajadores no deben utilizar o encontrarse bajo la influencia bien sea de drogas o de alcohol cuando se encuentren en el lugar de trabajo. 2.3. ESTRUCTURA ORGANIZACIONAL 2.3.1. RESPONSABILIDAD PARA LA SEGURIDAD DE LA INFORMACIN 2.3.1.1. FUNCIONES DE LA ADMINISTRACIN 637. Comit de administracin de seguridad informtica Poltica: Hasta una nueva orden, un comit de administracin de seguridad de informacin debe estar compuesto por administradores senior o sus delegados de cada una de las divisiones principales de la entidad. Este comit se reunir peridicamente para: a. Revisar el estado actual de la seguridad de informtica de la entidad. b. Revisar y monitorear incidentes de seguridad dentro de polticas nuevas o modificadas de seguridad dentro de la entidad. c. Aprobar y revisar posteriormente proyectos de seguridad informtica. d. Aprobar polticas nuevas o modificadas de la seguridad informtica. e. Ejecutar otras actividades de alto nivel de administracin de seguridad informtica necesaria.
Pgina 91
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 92 de 104
638. Informacin sobre pertenencia y responsabilidad de administracin Poltica: Toda la informacin de produccin poseda u organizada por una unidad organizacional particular debe tener designado un dueo. Los dueos deben determinar clasificaciones de sensibilidad apropiadas, as como clasificaciones de criticidad. Los dueos tambin deben tomar decisiones sobre a quienes les ser permitido el acceso a la informacin y el uso que se le podr dar a la misma. Los dueos deben adicionalmente tomar precauciones para asegurarse de que se utilizan controles apropiados para el almacenamiento, manejo, distribucin y uso corriente de la informacin. 639. Planes divisorios para sometimiento a la seguridad de la informacin Poltica: La administracin dentro de cada unidad funcional de la entidad debe preparar una planeacin anual para mantener sus sistemas de comunicacin de acuerdo con los estndares y polticas publicados. 640. La implementacin de controles debe ser consistentes con los estndares Poltica: Los administradores son responsables por los controles de los sistemas de informacin implementados de tal forma que sean consistentes con las prcticas del negocio generalmente aceptadas. Adems, los administradores son responsables por la implementacin de esos controles de tal forma que sean consistentes con la criticidad, el valor y la sensibilidad de la informacin que se maneja. 641. Manejo de las varianzas de las prcticas de control generalmente aceptadas Poltica: Los administradores son los responsables de informar las variaciones en relacin con las prcticas de control generalmente aceptadas del sistema de informacin y tambin por el inicio inmediato de las acciones correctivas. 2.3.1.2. FUNCIONES DEL DEPARTAMENTO DE SEGURIDA DE INFORMACIN 642. La obligacin de cada trabajador es la seguridad de la informacin Poltica: La responsabilidad por la seguridad de la informacin sobre la base del da a da es una obligacin de cada trabajador. La responsabilidad especfica de la informacin esta conferida nicamente en el departamento de seguridad informtica. 643. Responsabilidad centralizada para la seguridad de la informacin Poltica: La gua, la direccin y la autoridad para las actividades de seguridad de informacin estn centralizadas para toda la organizacin en el departamento de seguridad informtica. 644. Labor de revisin de tareas por el departamento de seguridad de informacin Poltica: El departamento de seguridad informtica es el responsable por establecer y mantener polticas, estndares, guas y procedimientos de seguridad de informacin amplios para la entidad. El origen de estas actividades es la informacin no importa que forma tome, no importa que tecnologa se usa para manejarla, no importa donde resida y no importa quien la tenga. 645. Tareas especficas ejecutadas por el departamento de seguridad de informacin
Pgina 92
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 93 de 104
Poltica: El departamento de seguridad informtica debe suministrar la informacin y la experiencia tcnica para garantizar que la informacin de la entidad sea protegida adecuadamente. Esto incluye la consideracin de confidencialidad, integridad y disponibilidad tanto de la informacin como de los sistemas que la manejan. El departamento actuara como un enlace de asuntos de seguridad informtica entre todos los departamento y divisiones de la entidad y debe ser el punto de enfoque para todas las actividades de seguridad de informtica en toda la entidad. En el departamento debe ejecutar valoracin de riesgos, preparar planes de accin, evaluar productos ofrecidos, participar en los proyectos de desarrollo, ayudar con la implementacin de los controles, investigar brechas de seguridad de informacin y ejecutar otras actividades que sean necesarias para garantizar un ambiente de manejo de informacin segura. 646. Apoyo de las metas de la entidad como misin del departamento de seguridad de informacin Poltica: El departamento de seguridad de informtica es el encargado de prevencin de perdidas serias, o de compromisos crticos de la entidad, valoraciones y de recursos de informacin sensible. Este coordinar y dirigir acciones especficas que ayuden a suministrar un ambiente de sistemas de informacin estables y seguros consistentes con las metas y objetivos de la entidad. 647. Requerimiento anual del proceso de planeacin de seguridad de informacin Poltica: Trabajando junto con el administrador responsable el departamento de seguridad de informacin debe preparar planes anuales para la mejora de la seguridad de la informacin en todos los sistemas de informtica de la entidad. 648. Requerimiento general del manual de seguridad de informacin Poltica: El departamento de seguridad informtica debe preparar, mantener y distribuir uno o ms manuales de seguridad informtica con una descripcin concisa de las polticas y procedimientos de seguridad de la informacin de la entidad. 649. Compromiso del departamento de seguridad de informacin propio Poltica: Todos los problemas de seguridad de informacin deben ser manejados con la colaboracin y cooperacin de los directivos de seguridad de informtica de la entidad. La utilizacin de asesores externos, grupos de respuesta de seguridad del computador u otros de afuera esta prohibido especficamente a menos que hayan sido aprobados por el departamento de seguridad informtica de la entidad. 2.3.1.3. FUNCIONES SOBRE OTRA INFORMACIN DE SEGURIDAD 650. Revisin rpida de facturas para servicios de computacin y comunicacin Poltica: Los usuarios del computador deben revisar rpidamente los detalles de las cuentas de computadores y de comunicaciones (incluyendo tems de cargos internos revestidos) para asegurarse que los cargos son apropiados, esto no significa que hayan cometido y tampoco significa que ocurrido una utilizacin no autorizada. 651. Quines deben cumplir con los requerimientos de la seguridad de informacin
Pgina 93
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 94 de 104
Poltica: Contratistas, temporales y asesores externos deben ser materia de los mismos requerimientos de seguridad de informacin, y tener las mismas responsabilidades de seguridad de informacin que los empleados de la entidad. 652. Designacin de administrador de seguridad para todos los sistemas multiusuarios Poltica: Cada sistema de computador multiusuario de la entidad debe tener designado un administrador de seguridad para definir privilegios del usuario, monitores de logs de control de acceso y ejecutar actividades similares. Para los propsitos de esta poltica, servidores LAN y switch PBX se consideran sistemas multiusuario. 653. Se debe designar y entrenar un administrador de seguridad de relevo Poltica: Cada sistema multiusuario de la entidad con un sistema de acceso de control debe tener un empleado designado quien es el responsable de la asignacin de los nombres de usuario y de los privilegios de acceso. Este administrador del sistema debe tener tambin un empleado designado y entrenado de respaldo que pueda reemplazarlo cuando sea necesario. 654. Cada rea debe tener un coordinador de seguridad de informacin Poltica: Cada administrador de departamento debe designar un enlace de seguridad de informacin y dar a este enlace el entrenamiento suficiente, materiales de apoyo y otros recursos para que el o ella ejecuten apropiadamente su trabajo. 655. Responsabilidad de seguridad para conexiones en tiempo real con terceros Poltica: Antes que a cualquier usuario le sea permitido alcanzar los sistemas de la entidad va conexiones de computador en tiempo real, se requiere la aprobacin escrita del administrador del departamento de seguridad de informacin. Los requerimientos para las aprobaciones deben especificar las responsabilidades relativas de seguridad de la entidad, las responsabilidades relativas del mensajero (si se utiliza) y las responsabilidades relativas de seguridad de cualquier otra parte involucrada. Estas normas de seguridad deben tambin direccionar el riesgo de la exposicin de las partes involucradas. 656. Revisiones de auditoria interna de los controles de sistemas de informacin Poltica: El departamento de auditoria interna debe revisar peridicamente la adecuacin de los controles del sistema de informacin as como el cumplimiento con tales controles. 657. Revisin peridica independiente de controles de sistemas de informacin Poltica: Se debe obtener peridicamente una revisin independiente de los controles del sistema de informacin. Estas revisiones deben incluir tanto los esfuerzos para determinar tanto la adecuacin como el cumplimiento de los controles. Las revisiones no deben ser ejecutadas por personal que ha sido responsable de implementar y mantener los controles. 658. Responsabilidades de seguridad de informacin en los perfiles del cargo Poltica: Se deben incorporar responsabilidades especficas de seguridad de informacin en todos los perfiles de trabajo de los empleados, si stos tienen acceso a informacin crtica, sensible o valiosa.
Pgina 94
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 95 de 104
659. Consideracin de seguridad de informacin en las evaluaciones de desempeo de los empleados Poltica: Se debe considerar en todas las evaluaciones de desempeo de los empleados el cumplimiento con las polticas y procedimientos de seguridad de informacin. 660. Control y separacin de responsabilidades sobre los activos de la entidad Poltica: Comoquiera que un proceso computarizado de la entidad involucra informacin crtica, valiosa o sensitiva, el sistema debe incluir controles involucrando una separacin de responsabilidades u otra medida de control compensatoria. Estas medidas de control deben garantizar que ningn individuo tenga control exclusivo sobre este tipo de activos de informacin de la entidad. 661. Construccin de sistemas de tal forma que los errores en manipulaciones salgan a la luz Poltica: Los sistemas de computadores de la entidad deben ser construidos de tal forma que ninguna persona peda hacer un error o manipular los registros sin que tales eventos sean detectados por alguna otra persona durante la ejecucin de la rutina de responsabilidades de otra persona. 662. Tener en cuenta instrucciones especficas de separacin de responsabilidades Poltica: Siempre en la prctica, nunca una persona deber ser responsable por terminar una tarea que involucre informacin valiosa, sensitiva o crtica desde el comienzo hasta el fin. As mismo, una persona sola debe ser responsable por la aprobacin de su propio trabajo. En todo lo posible para cada tarea que incluya informacin crtica, valiosa o sensitiva se requiere al menos dos personas que coordinen las actividades de manejo de informacin. 663. Responsabilidades administrativas casuales Poltica: Para asegurar una respuesta a incidentes rpida, efectiva y ordenada, la responsabilidad individual para el manejo de incidentes de seguridad de sistemas de informacin debe ser claramente definida. Estas personas son responsables por definir procedimientos para el manejo de incidentes. 2.3.1.4. RESPONSABILIDAD DEL USUARIO, DEL CUSTODIO Y DEL DUEO 664. Inventario de informacin de activos de alto nivel Poltica: El departamento de sistemas de informacin debe compilar y actualizar anualmente un diccionario de datos del total de la entidad y otras descripciones de alto nivel de los activos de recto de la entidad. 665. Criterios para asignacin de propietarios de informacin Poltica: Si hay algunos dueos potenciales de la informacin, el administrador de alto nivel debe asignar responsabilidades de pertenencia a los individuos simples quienes hacen el ms grande uso de la informacin. 666. El departamento de sistemas de informacin no debe ser el dueo de la informacin
Pgina 95
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 96 de 104
Poltica: con la excepcin del computador operacional y de la informacin de la red, el departamento de sistemas de informacin no debe ser el dueo de cualquier informacin. 667. Responsabilidades de seguridad de los custodios de la informacin Poltica: Los custodios de la informacin son responsables por la definicin de procedimientos de control especficos, controles de acceso de la administracin de la informacin, implementacin de las medidas de control de la informacin, costos/beneficios y suministrar capacidades de recuperacin consistentes con las instrucciones de los dueos de la informacin. 668. Responsabilidades de seguridad de los usuarios de la informacin Poltica: Todos los usuarios de la informacin de la entidad deben cumplir con los requerimientos de control especificados por los dueos o custodios de la informacin. Los usuarios pueden ser empleados temporales, contratistas, asesores o terceras partes con los que se hayan hecho arreglos especiales. 669. Proceso de garanta de acceso a la informacin de la entidad Poltica: El acceso a la informacin de la entidad debe siempre estar autorizado por el dueo designado de tal informacin, y debe estar limitado sobre la base de la necesidad de saber por un razonablemente restringido numero de personas. 670. Delegacin restringida de responsabilidades del dueo de la informacin Poltica: Una responsabilidad del dueo de la informacin para la especificacin de los controles apropiados de la informacin no se puede delegar a proveedores de servicios externos a la entidad. 3. SEGURIDAD FSICA 3.1. SEGURIDAD DE ACCESO FSICO 3.1.1. CONTROL DE ACCESO EN INSTRALACIONES 3.1.1.1. BARRERAS Y BLOQUEOS
671. Control de acceso fsico para reas que contienen informacin sensible Poltica: El acceso a cada oficina, cuarto de computadores y rea que contiene informacin sensitiva, debe ser fsicamente restringido. El administrador responsable por el trabajo del personal del rea tcnica o directivos en esas reas debe consultar al departamento de seguridad para determinar el mtodo de control apropiado de acceso (recepcionistas, chapas de llave metlica, chapas de tarjeta magntica, etc.). 672. Computadores multiusuario o sistemas de comunicaciones en cuartos asegurados Poltica: Todos los computadores multiusuario y los equipos de comunicacin deben estar ubicados en lugares asegurados para prevenir alteraciones y usos no autorizados. 673. Guardas o recepcionistas en reas que contienen informacin sensitiva Poltica: El acceso a las oficinas de la entidad por parte de visitantes u otras personas a reas que contengan computadoras y otras reas de trabajo que contengan informacin sensible debe estar controlada por guardias, recepcionistas u otras personas del rea tcnica o directiva. A los
Pgina 96
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 97 de 104
visitantes y dems no se les debe permitir el uso de las entradas u otras vas de acceso no controladas a reas que contienen informacin sensitiva. 674. Se debe utilizar distintivos en un lugar visible de acuerdo con las premisas de la entidad Poltica: Siempre en los edificios o instalaciones de la entidad todas as personas deben utilizar un distintivo en un lugar visible en sus prendas externas de tal forma que la informacin del distintivo o escarapela sea claramente visible. 675. Distintivos temporales para trabajadores que han olvidado los suyos Poltica: Aquellos trabajadores que hayan olvidado su distintivo de identificacin deben obtener un distintivo temporal suministrando un documento de identidad u otra pieza de identificacin que tenga fotografa. Tan distintivo temporal es vlido por un solo da nicamente. 676. Reporte de distintivos de identificacin y de prendas de acceso al sistema robadas o perdidas Poltica: Los distintivos de identificacin y las tarjetas de acceso fsico que hayan sido perdidas o robadas o que se sospeche que hayan sido perdidas o robadas se deben reportar al departamento de seguridad inmediatamente. Desde luego, todas las fichas de acceso a los computadores o a los sistemas de comunicacin (tarjetas inteligentes con contraseas dinmicas, tarjetas de crdito telefnicas, etc.) que hayan sido perdidas o robadas o que se sospeche que hayan sido perdidas o robadas deben ser reportadas inmediatamente al departamento de seguridad. 677. No permitir Piggybacking a travs de puertas controladas Poltica: Los controles de acceso fsico para los edificios de la entidad se hacen con la intencin de restringir la entrada de personal no autorizado. Los trabajadores no deben permitir que personas no autorizadas o desconocidas pasen a travs de puertas, compuertas y otras entradas a reas restringidas al mismo tiempo que personas autorizadas acceden por esas entradas. Esto es esencial que sea mantenido por todos los trabajadores para la seguridad de la entidad. 678. Se requiere la presencia de una guardia cuando se mantengan las puertas abiertas en el cuarto de cmputo. Poltica: Cuando las puertas del centro de cmputo estn abiertas completamente (quizs por movimiento de equipos de cmputo, decoracin, suministros o tems similares), la entrada debe estar continuamente monitoreada por un empleado o por un guardia contratado por el departamento de seguridad fsica. 679. Se prohbe la prueba de los controles de acceso fsicos Poltica: Los trabajadores no deben intentar entrar a reas restringidas de acceso en los edificios de la entidad para los cuales ellos no hayan recibido autorizacin de acceso. 680. Se prohbe trabajar solo en reas restringidas Poltica: Nunca se debe permitir que un trabajador trabaje solo en reas restringidas que contienen informacin sensitiva.
Pgina 97
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 98 de 104
681. Trabajo en reas restringidas nicamente durante horas oficiales de negocios Poltica: Si el acceso a las instalaciones particulares de la entidad ha sido restringido por causa de que all se maneja informacin sensitiva, crtica, o valiosa, slo se permitir que los trabajadores tengan acceso nicamente a estas instalaciones solamente durante horas oficiales o normales de trabajo. 682. Se requiere seguridad fsica o encripcin para toda la informacin sensible Poltica: Todos los medios de almacenamiento de informacin (tales como drives de discos duros, disquetes, cintas magnticas y CD-ROMs) que contengan informacin sensitiva deben estar asegurados fsicamente cuando no se estn utilizando. Se har una excepcin si esta informacin es protegida va un sistema de encripcin aprobado por el departamento de seguridad de informtica. 683. Guardarropa de paso para remover todos los accesorios de computador y de comunicaciones Poltica: Mquinas de escribir, telfonos celulares, computadoras personales, modems y otros equipos relacionados de sistemas de informacin se supone que no deben abandonar la entidad a menos que estn acompaados por un pase de propiedad aprobado. 684. Los trabajadores deben mostrar el contenido de los maletines cuando se establece la salida Poltica: Todas las carteras, maletines, bolsos de mano y otras maletas deben ser abiertos por los guardias del edificio de la entidad para chequear cuando la gente abandona el establecimiento. Esto asegurar que informacin valiosa o sensitiva no sea removida del establecimiento. 3.1.1.2. REGISTRO DE ACCESO A LAS INSTALACIONES 685. Mantenimiento de registros del sistema de control de acceso a edificios Poltica: Para facilitar la evaluacin y para sustentar las investigaciones, el departamento de seguridad debe mantener registros del personal actual y el que ingres previamente a las instalaciones de la entidad. Esta informacin debe guardarse y ser retenida por al menos tres meses. 686. Cambio de cdigos de control de acceso fsico cuando se retiran empleados Poltica: En el evento de que un trabajador est terminando su relacin con la entidad, todos los cdigos de acceso de seguridad fsicos conocidos por el trabajador se deben cambiar o desactivar. Por ejemplo, el nmero serial registrado en una cinta magntica incorporada en un distintivo de identificacin se debe cambiar antes de que el distintivo de identificacin sea entregado a otro trabajador. 687. Mantenimiento de la lista que muestra a quienes les est permitido conceder acceso fsico Poltica: Una lista de los administradores que estn autorizados para conceder acceso a las instalaciones de la entidad debe estar actualizada. Esta lista debe tambin ser revisada peridicamente por los administradores de alto nivel quienes delegaron autoridad en estos administradores.
Pgina 98
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 99 de 104
688. Reporte peridico de entrega de distintivos de identificacin a las cabezas de departamento Poltica: Cada cabeza de departamento debe recibir un listado mensual de todo el personal de su rea que haya tenido distintivos de identificacin validos generalmente. Las cabezas de departamento deben reportar inmediatamente al departamento de seguridad todos los distintivos validos los cuales ya no sean necesarios. 3.1.1.3. MANEJO DE VISITANTES 689. Se requiere proceso de identificacin y de firma para todos los visitantes Poltica: Todos los visitantes deben mostrar una identificacin con fotografa y firmar antes de obtener el acceso a las reas restringidas controladas por la entidad. 690. Todos los visitantes requieren escolta Poltica: Los visitantes de las oficinas de la entidad deben ser escoltados durante todo el tiempo por un empleado autorizado, asesor o contratista. Esto significa que se requiere de un escolta tan pronto como un visitante entra a un rea controlada y hasta que este mismo visitante sale de dicha rea. Todos los visitantes requieren un escolta incluyendo antiguos empleados, miembros de la familia del trabajador, contratistas de recepcin de equipos, empacadores de correo personal tcnico o directivo de la compaa y oficiales de polica. 691. Supervisin de terceras partes en reas que contienen informacin sensitiva Poltica: Individuos que nunca han sido empleados de la entidad, contratistas no autorizados, asesores no autorizados deben ser supervisados siempre que ellos se encuentren en reas restringidas que contengan informacin sensitiva. 692. Se debe recusar los individuos sin distintivos de identificacin Poltica: Siempre que un trabajador se de cuenta que un visitante no escoltado se encuentra dentro de reas restringidas de la entidad, el visitante debe ser inmediatamente cuestionado acerca de su propsito de encontrarse en reas restringidas. El visitante debe luego ser acompaado directamente a un puesto de recepcin, una estacin de guardias o el personal debe venir a verlo. 3.1.2. RESTRICCIONES DE ACCESO A LAS FACILIDADES DEL COMPUTADOR
693. Medidas de seguridad fsica para sistemas de comunicacin y de computadores Poltica: Edificios que contengan computadores o sistemas de comunicacin de la entidad, deben ser protegidos con medidas de seguridad fsicas que previenen que personas no autorizadas puedan obtener acceso a l. 694. El centro de cmputo es una tienda cerrada Poltica: Los centros de cmputo de la entidad son recintos cerrados. A los programadores y a los usuarios no les est permitido encontrarse dentro de los cuartos de mquinas de computador. 695. Acceso restringido a bibliotecas de cintas magnticas, discos y documentacin
Pgina 99
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 100 de 104
Poltica: Todas las bibliotecas de cintas magnticas, discos y documentacin se encuentran en reas controladas dentro del centro de cmputo. El acceso debe estar restringido a trabajadores cuyas responsabilidades de trabajo requieren su presencia en estas bibliotecas. 696. Se prohbe el paseo pblico por las instalaciones del computador Poltica: Se prohben los paseos pblicos por las instalaciones del computador principal y de las comunicaciones. 3.2. LOCALIZACIN DEL COMPUTADOR E INSTALACIONES DE LA CONSTRUCCIN 697. Localizacin de los nuevos centros de comunicaciones o del computador Poltica: Todos los centros de comunicaciones o de computadores nuevos de la entidad deben estar localizados en reas alejadas de experimentar desastres naturales, accidentes serios ocasionados por el hombre (fugas qumicas, movimientos peligrosos de material nuclear, etc.), motines y problemas relacionados. 698. Suministro redundante de recursos de utilidad pblica Poltica: Todos los centros de cmputo o de comunicaciones nuevos de la entidad deben estar localizados de tal forma que ellos tengan acceso fcil a dos subestaciones de energa y a dos centrales telefnicas. Tales centros no deben estar cerca de terrenos planos con inundaciones fluctuantes, terrenos con fallas ssmicas, vas de ferrocarril, autopistas principales y otras fuentes de fuego. 699. Construccin adecuada para centros de computo o de comunicaciones Poltica: Los centros de comunicaciones y de computadores nuevos o remodelados de la entidad deben ser construidos de tal forma que sean protegidos contra el fuego, dao de agua, vandalismo y otras amenazas que se conocen que puedan llegar a ocurrir o que estn cerca de ocurrir en los lugares involucrados. 700. Localizacin dentro de un edificio de las facilidades de comunicacin y del computador Poltica: Para minimizar el robo o dao por inundacin, lo computadores multiusuario y las instalaciones de comunicacin deben estar localizados encima de la primera planta de los edificios. Para minimizar el dao potencial por el humo y fuego las instalaciones de cocina deben ser localizadas lejos de los sistemas multiusuario (Incluyendo que no sean arriba o abajo). Igualmente para minimizar el dao potencial por agua, las instalaciones de los baos no deben estar localizadas directamente arriba de esos sistemas. Para minimizar el dao potencial de bombas y para minimizar el espionaje y la interferencia electromagntica no autorizada estos sistemas no deben estar ubicados junto a un muro exterior de la entidad. 701. Se requiere un rea de espera intermedia para restringir el acceso a la sala de computo Poltica: Un rea de espera intermedia segura debe suministrarse a los suministros de computador, equipos y otros envos. El personal de despacho no debe poder acceder directamente a las instalaciones que contienen computadores multiusuario. 702. No se debe sealar la ubicacin del centro de computo o de comunicaciones
Pgina 100
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 101 de 104
Poltica: No debe haber avisos que indiquen la ubicacin de los centros de cmputo o de comunicaciones. 703. El centro de computo debe ser resistente al fuego y todas las aberturas auto-cerrables Poltica: Las paredes de fuego alrededor de las instalaciones del computador deben ser no combustibles y resistentes al fuego por lo menos por una hora. Todas las aberturas de estas paredes (puertas, ductos de ventilacin, etc.) deben tener cerrado automtico e igualmente resistir por lo menos una hora. 704. Las puertas e instalaciones del computador deben ser resistentes a una entrada forzada Poltica: Las instalaciones del cuarto del computador deben estar equipadas con puertas corredizas, resistentes al fuego y resistentes a otro tipo de ingreso forzado. 705. Puertas de cerrado automtico en las instalaciones del computador Poltica: Las instalaciones del cuarto del computador deben estar equipadas con puertas que cierren automticamente en forma inmediata una vez se hayan abierto y las cuales disparen una alarma audible cuando ellas se mantengan abiertas mas all de cierto periodo de tiempo. 706. Rastreo del equipo asistido por el computador Poltica: Todos los equipos de comunicaciones y de cmputo de la entidad deben tener un identificador nico pegado a ellos de tal forma que los inventarios fsicos puedan elaborarse en forma regular y eficiente. 707. Marcacin de equipos de sistemas de informacin con cdigos de identificacin Poltica: Todo equipo de comunicaciones y de computadores de la entidad debe tener un nmero de identificacin permanente grabado en el equipo. Este cdigo ayudar a la polica en sus intentos por devolver la propiedad a sus dueos. 708. Prohibido el movimiento de equipos de microcomputadores sin aprobacin Poltica: El equipo de microcomputadores (PCs, laptos, etc.) no deben moverse o reubicarse sin la aprobacin previa del director de la oficina de recursos fsicos. 709. Ubicacin de la pantalla del computador respecto de las ventanas Poltica: El tramado de la pantalla para todos los microcomputadores (PCs), estaciones de trabajo y terminales brutas utilizadas para el manejo de datos valiosos deben estar ubicado de tal forma que ellos no puedan ser fcilmente ledos a travs de una ventana por personal que pase por el pasillo caminando o por personas que esperen en recepcin y en reas relacionadas. 710. Proteccin de la emanacin de la radiacin electromagntica para los sistemas secretos Poltica: Los sistemas de la entidad que contienen informacin secreta deben emplear hardware que rena los estndares militares para el control de radiacin (emanacin). Estos sistemas deben tambin estar protegidos dentro de recintos asegurados con llama de alambre u otro material de bloqueo de radiacin electromagntica como est especificado por los estndares militares. 711.
Pgina 101
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 102 de 104
1. SEGURIDAD LGICA ........................................................................................................ 1 1.1. SEGURIDAD DEL SOFTWARE ...................................................................................... 1 1.1.1. SISTEMAS DE CONTROL DE ACCESO .................................................................... 1 1.1.1.1. ADMINISTRACIN DE CONTRASEAS ............................................................... 1 1.1.1.1.1. CONSTRUCCIN DE CONTRASEAS Y CDIGOS DE IDENTIFICACIN DE USUARIO 1 1.1.1.1.2. DISEO DE INTERFACES DE CONTRASEAS DE USUARIO DEL SISTEMA ..... 2 1.1.1.1.3. ALMACENAMIENTO, PROTECCIN Y RESPALDO DE LAS CONTRASEAS ..... 3 1.1.1.1.4. CONTRASEA RELACIONADA CON LAS RESPONSABILIDADES DEL USUARIO 4 1.1.1.1.5. CONTRASEAS RELACIONADAS CON LAS RESPONSABILIDADES DEL ADMINISTRADOR ...................................................................................................................... 5 1.1.1.2. PROCESO DE LOG-IN .......................................................................................... 6 1.1.2. CONTROL DE PRIVILEGIOS .................................................................................... 8 1.1.2.1. USO DE LOS SISTEMAS ....................................................................................... 8 1.1.2.2. ADMINISTRACIN DE CONTROL DE ACCESO A LA INFORMACIN ............... 10 1.1.2.3. SEPARACIN DE USUARIOS ............................................................................. 10 1.1.2.4. PRIVILEGIOS ESPECIALES ................................................................................ 11 1.1.2.5. RESTRICCIONES DE OTROS PRIVILEGIOS ...................................................... 12 1.1.2.6. ACTIVIDADES ADMINISTRATIVAS ..................................................................... 14 1.1.3. ARCHIVOS DE LOGS .............................................................................................. 15 1.1.3.1. INFORMACIN A INCLUIR EN LOS ARCHIVOS DE LOGS ................................ 15 1.1.3.2. MANEJO DE LOS ARCHIVOS DE LOGS ............................................................. 17 1.2. DESARROLLO DE SOFTWARE Y CONTROL DE CAMBIOS....................................... 17 1.2.1. VIRUS INFORMTICOS .......................................................................................... 17 1.2.2. PROCESO DE DESARROLLO ................................................................................. 20 1.2.2.1. TCNICAS Y HERRAMIENTAS DE DESARROLLO ............................................. 20 1.2.2.2. RELACIONES Y DESARROLLO DE PRIVILEGIOS ............................................. 22 1.2.3. PROCESO DE CONTROL DE CAMBIOS ................................................................. 23 1.2.4. PARTICIPACIN DE GRUPOS DE TERCEROS ...................................................... 27 1.2.5. OPERACIN DEL COMPUTADOR .......................................................................... 27 1.3. SEGURIDAD DE LOS DATOS...................................................................................... 28 1.3.1. DERECHOS DE PROPIEDAD INTELECTUAL ......................................................... 28 1.3.1.1. ASIGNACIN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL................. 28 1.3.1.2. PROTECCIN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL ............... 29 1.3.2. PRIVACIDAD DE LOS DATOS ................................................................................. 31 1.3.2.1. RESTRICCIONES DE LOS DERECHOS DE LA PRIVACIDAD ............................ 31 1.3.2.2. COLECCIN DE TIPOS ESPECFICOS DE DATOS PRIVADOS ......................... 31 1.3.2.3. DIVULGACIN DE DATOS PRIVADOS ............................................................... 34 1.3.2.3.1. DIVULGACIN DE DATOS PRIVADOS DE EMPLEADOS................................... 34 1.3.2.4. MANEJO DE DATOS PRIVADOS ........................................................................ 36 1.3.3. CONFIDENCIALIDAD DE LOS DATOS .................................................................... 37 1.3.3.1. POLTICAS GENERALES PARA LA CONFIDENCIALIDAD DE LOS DATOS ....... 37 1.3.3.2. CATEGORAS DE CLASIFICACIN DE DATOS.................................................. 38 1.3.3.3. MARCACIN DE LOS DATOS CLASIFICADOS .................................................. 39 1.3.3.4. IMPLEMENTACIN DEL SISTEMA DE CLASIFICACIN .................................... 40 1.3.3.4.1. COPIAS E IMPRESIONES ................................................................................... 40 1.3.3.4.2. ENVI Y MANIPULACIN MANUAL DE LA INFORMACIN ............................... 41 1.3.3.4.3. TRANSACCIONES POR FAX Y TELFONO ....................................................... 42 1.3.3.4.4. MOVIMIENTO DE INFORMACIN CONFIDENCIAL ............................................ 44 1.3.3.4.5. ALMACENAMIENTO Y DISPOSICIN ................................................................. 45 1.3.3.5. PERMISOS DE ACCESO A DATOS CONFIDENCIALES ..................................... 49
Pgina 102
POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS 1.3.3.6. 1.3.3.7. 1.3.3.8. 1.3.4. 1.3.4.1. 1.3.4.2. 1.3.4.3.
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 103 de 104
DERECHO A CONOCER ..................................................................................... 51 MANEJO DE DATOS CONFIDENCIALES EN REUNIONES ................................ 51 DIVERSAS POLTICAS DE CONFIDENCIALIDAD ............................................... 52 CRITICIDAD DE LOS DATOS .................................................................................. 53 DISEO DE LOS SISTEMAS ............................................................................... 53 PLANES DE CONTINGENCIA ............................................................................. 54 BACK-UP, ALMACENAMIENTO DE ARCHIVOS Y DISPOSICIN DE LOS DATOS 57 1.3.5. INTEGRIDAD DE LOS DATOS................................................................................. 60 1.3.5.1. CONOCIMIENTO Y STATUS DE INTEGRIDAD................................................. 60 1.3.5.2. INTEGRIDAD DE LAS FUENTES DE INFORMACIN ......................................... 61 1.3.5.3. CONTROL DE MODIFICACIONES ...................................................................... 62 1.3.5.4. REPRESENTACIN CONSISTENTE DE LOS DATOS ........................................ 63 1.3.5.5. CENSURA DE LOS DATOS ................................................................................. 63 1.4. SEGURIDAD EN COMUNICACIONES ......................................................................... 65 1.4.1. ESTABLECIMIENTO DE LOS SISTEMAS Y DE LAS RUTAS DE ACCESO ............. 65 1.4.1.1. DIAGRAMA DE CONTROL DEL SISTEMA INCLUYENDO FIREWALLS .............. 65 1.4.1.2. CREACIN DE CONEXIONES EN RED .............................................................. 66 1.4.2. ENCRIPCIN ........................................................................................................... 68 1.4.2.1. CUANDO USAR LA ENCRIPCIN ....................................................................... 68 1.4.2.2. ADMINISTRACIN DE LAS LLAVES DE ENCRIPCIN ...................................... 69 1.4.2.3. TEMAS MISCELNEOS DE ENCRIPCIN .......................................................... 71 1.4.3. MARCACIONES TELEFNICAS POR COMPUTADOR ........................................... 72 1.4.4. INFORMACIN TRANSFERIDA .............................................................................. 73 1.4.5. SISTEMAS TELEFNICOS...................................................................................... 74 1.4.6. SISTEMAS DE CORREO ELECTRNICO ............................................................... 75 1.4.7. DISPOSICIONES DE TELECOMUNICACIONES...................................................... 78 1.4.8. CONEXIONES DE INTERNET ................................................................................. 78 1.4.9. CONEXIONES DE INTRANET ................................................................................. 81 2. SEGURIDAD GERENCIAL ............................................................................................... 82 2.1. SEGURIDAD ADMINISTRATIVA .................................................................................. 82 2.1.1. ENTRENAMIENTO Y CONOCIMIENTO ................................................................... 82 2.1.2. REPORTE DE PROBLEMAS DE SEGURIDAD ........................................................ 83 2.1.3. SELECCIN DE CONTROLES ................................................................................ 85 2.1.3.1. CONTROLES Y DISEO DE SISTEMAS ............................................................. 85 2.1.3.2. CONTROLES Y CONSIDERACIONES EN LOS NEGOCIOS ............................... 86 2.1.3.3. SELECCIN DE OTROS ASPECTOS DE CONTROL .......................................... 88 2.2. SEGURIDAD DEL PERSONAL..................................................................................... 88 2.2.1. TERMINACIN Y DISCIPLINA ................................................................................. 88 2.2.2. CONFIANZA SOBRE LAS PERSONAS .................................................................... 89 2.2.3. CHEQUEO DEL NIVEL DE CONOCIMIENTO .......................................................... 91 2.2.4. ASPECTOS VARIOS EN SEGURIDAD PERSONAL ................................................ 91 2.3. ESTRUCTURA ORGANIZACIONAL ............................................................................. 91 2.3.1. RESPONSABILIDAD PARA LA SEGURIDAD DE LA INFORMACIN ...................... 91 2.3.1.1. FUNCIONES DE LA ADMINISTRACIN .............................................................. 91 2.3.1.2. FUNCIONES DEL DEPARTAMENTO DE SEGURIDA DE INFORMACIN .......... 92 2.3.1.3. FUNCIONES SOBRE OTRA INFORMACIN DE SEGURIDAD ........................... 93 2.3.1.4. RESPONSABILIDAD DEL USUARIO, DEL CUSTODIO Y DEL DUEO ............... 95 3. SEGURIDAD FSICA ........................................................................................................ 96 3.1. SEGURIDAD DE ACCESO FSICO .............................................................................. 96 3.1.1. CONTROL DE ACCESO EN INSTRALACIONES ..................................................... 96 3.1.1.1. BARRERAS Y BLOQUEOS.................................................................................. 96 3.1.1.2. REGISTRO DE ACCESO A LAS INSTALACIONES ............................................. 98
Pgina 103
Nomenclatura Fecha
UDNET0728-05-2007
Pgina 104 de 104
3.1.1.3. MANEJO DE VISITANTES ................................................................................... 99 3.1.2. RESTRICCIONES DE ACCESO A LAS FACILIDADES DEL COMPUTADOR .......... 99 3.2. LOCALIZACIN DEL COMPUTADOR E INSTALACIONES DE LA CONSTRUCCIN100
Pgina 104

Politicas Seguridad Informatica

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Politicas Seguridad Informatica

Diunggah oleh

Hak Cipta:

Format Tersedia

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS

Red de datos UDNet Documento Interno de Trabajo

POLITICAS DE SEGURIDAD INFORMATICA UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS