PARA LA
ALCALDIA DE SAN ANTONIO DEL SENA
PRESENTADO POR:
PRESENTADO A:
2
Responsables ..................................................................................................................... 15
POLTICA DE DISPOSITIVOS MVILES ....................................................................... 15
Propsito ........................................................................................................................... 15
Alcance ............................................................................................................................. 15
Poltica .............................................................................................................................. 15
Responsables ..................................................................................................................... 16
POLTICA DE SEGURIDAD DE REDES ......................................................................... 16
Propsito ........................................................................................................................... 16
Alcance ............................................................................................................................. 16
Poltica .............................................................................................................................. 16
POLTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA INFORMACIN Y
CONTRASEAS ................................................................................................................. 17
Propsito ........................................................................................................................... 17
Alcance ............................................................................................................................. 17
POLTICA DE ACCESO REMOTO A LA RED ................................................................ 18
Propsito ........................................................................................................................... 18
Alcance ............................................................................................................................. 18
Poltica .............................................................................................................................. 19
POLTICA DE SOFTWARE COMO UN SERVICIO ........................................................ 19
Propsito ........................................................................................................................... 19
Alcance ............................................................................................................................. 20
Poltica .............................................................................................................................. 20
Responsables ..................................................................................................................... 20
POLTICA DE SEGURIDAD DE REDES INALAMBRICAS .......................................... 21
Propsito ........................................................................................................................... 21
Alcance ............................................................................................................................. 21
Poltica .............................................................................................................................. 21
Responsables ..................................................................................................................... 22
GLOSARIO .......................................................................................................................... 23
BIBLIOGRAFA Y WEBGRAFIA ..................................................................................... 24
3
INTRODUCCIN
Las polticas definidas en el presente documento son difundidas en cada una de las
Secretaras, donde cada una con su equipo de trabajo ha de estudiarlas de forma detenida y
aprobaran los puntos definidos.
Las polticas de seguridad permiten que en las organizaciones se definan las formas de
realizar los procesos y los lineamientos que apoyan la Labor de proteccin de los datos y su
disponibilidad al interior de la Alcalda, de esta forma cada definicin est dirigido a todos
los funcionarios y en algunos casos a clientes externos.
4
OBJETIVOS
OBJETIVO GENERAL
Este trabajo se elabora con el fin de proporcionar un reconocimiento formal para tomar
conciencia, aceptar y cumplir con las polticas de Seguridad de la Informacin en la Alcalda
de San Antonio del Sena y va dirigida a los Funcionarios Directos, Temporales y Visitantes.
OBJETIVOS ESPECFICOS
Definir normas que sean comprensibles por todos los funcionarios y que traiga
como consecuencia una concienciacin del valor de la informacin y la importancia
de la proteccin de los datos de la Alcalda de San Antonio del Sena.
5
POLTICA DE RESPALDO DE DATOS
Debido a los procesos crticos en la Alcalda de San Antonio del Sena, procesos que van
desde la preparacin de proyectos de acuerdos, resoluciones, decretos y contratos en la
Secretaria General, Coordinacin y Auditoria del control de precios al consumidor, rifas,
juegos y espectculos a cargo de la Secretaria de Gobierno, El Recaudo de los dineros
provenientes del impuesto, la custodia de los ttulos valores, garantas a favor del municipio
y la rendicin de cuentas de todo el flujo financiero en la Secretaria de Hacienda, Y la
elaboracin de proyectos en conjunto con Contratistas y Entidades expertas en la ejecucin
de obras civiles bajo la responsabilidad de La Secretaria de Planeacin de Obras Pblicas;
la Implementacin y actualizacin de la operacin del Sistema Integral de Informacin de
Salud en cabeza de la Secretaria de Salud, entre otros corresponden a los procesos de mayor
demanda de transacciones y seguridad de la informacin sensible que debe ser
salvaguardada por medio de una poltica clara para todo el personal de la Alcalda.
Los datos en cualquier organizacin pueden ser destruidos o daados por el mal
funcionamiento del sistema, medios accidentales o con total intencionalidad. Siguiendo el
principio que la Disponibilidad de la Informacin es vital para las operaciones de los
negocios, se implementan lineamientos para recuperar fcilmente la informacin en caso de
ser necesario.
Propsito
Definir los requisitos bsicos para la realizacin de copias de seguridad del sistema
peridicamente, para asegurar que las aplicaciones y los datos se conserven y se protejan
contra la prdida y destruccin de forma adecuada.
Alcance
6
Poltica
1. Todos los datos de la aplicacin / usuario deben haber documentado los horarios de
frecuencia especfica, rotacin y retencin basados en la criticidad, los
requerimientos del negocio y los requisitos legales los datos y de las aplicaciones.
4. Todas las copias de seguridad de datos de las aplicaciones deben estar coordinadas
con los horarios de procesamiento de la aplicacin.
5. La retencin de los datos debe cumplir con las siguientes normas mnimas:
7
POLTICA PARA LA CREACIN Y DESTRUCCIN DE
DOCUMENTOS
Propsito
Alcance
Esta poltica se aplica a todos los funcionarios, contratistas, consultores, temporales y otros
trabajadores de la Alcalda de San Antonio del Sena y sus Secretarias. Cuando ya existan
polticas de creacin y destruccin de documentos que las Unidades de Negocio, esta
poltica proporcionar la instruccin mnima requerida de direccin. Esta poltica,
y las polticas de las unidades de negocio, deben ser complementarias y cualquier conflicto
entre ellas debe resolverse a favor de proporcionar las garantas necesarias para la
proteccin, integridad y disponibilidad de la confidencialidad de la informacin.
Poltica
8
2. Limpieza segura de almacenamiento en disco.
3. En el caso de que una estacin de trabajo llegue al fin de su vida til, sea transferido
o daado, el disco de estaciones de trabajo debe ser limpiado de los datos bajo
parmetros de seguridad. Una prctica generalmente aceptada para la limpieza
segura de un disco es sobrescribir con ceros una vez, luego unos y luego datos
diferentes al azar. La desmagnetizacin es tambin una prctica aceptada para la
limpieza de los datos de una unidad de disco o de un disco magntico. Una norma
de referencia es el Departamento de Comercio de Estados Unidos, el Instituto
Nacional de Normas y Tecnologa, NIST 800-88.
4. Supresin y sobreescritura de archivos de documentos.
5. La destruccin fsica de unidades de disco duro, discos y otros medios de
comunicacin es una prctica aceptable.
Propsito
El propsito de esta poltica es definir las normas que deben cumplir los todos los equipos
de propiedad y / o operados por la Alcalda de San Antonio del Sena ubicados fuera de los
cortafuegos del Internet corporativo de La Alcalda. Estos estndares estn diseados para
minimizar el potencial de exposicin de las Secretaras ante la prdida de datos sensibles o
confidenciales, propiedad intelectual, dao a la imagen pblica, etc., que pueden derivarse
de un uso no autorizado de los recursos.
Alcance
Poltica
9
2. El anlisis de vulnerabilidades se debe realizar cada tres meses. Cualquier
vulnerabilidad crtica de seguridad debe ser corregida dentro de los 3 meses de
identificacin.
3. La configuracin del sistema operativo debe hacerse de acuerdo con las normas de
seguridad de instalacin y configuracin de hosting y de router.
5. Las relaciones de confianza entre los sistemas slo pueden ser introducidas de
acuerdo con los requerimientos del negocio, deben ser documentadas, y deben ser
aprobados.
6. Los servicios inseguros o protocolos deben ser reemplazados por sus equivalentes
ms seguras siempre que existan.
7. Los sistemas que necesiten ser para accedidos desde la Internet pblica deben ser
colocados en un segmento de DMZ, el cual es dirigido usando direcciones IP
registradas pblicamente. Administracin / desktop / shell remoto se deben realizar
con ms seguridad, canales autenticados seguros (por ejemplo, las conexiones de
red cifrados usando SSH o IPSEC) o acceso a la consola independiente de las redes
DMZ. Cuando una metodologa para las conexiones de canal seguras no est
disponible, las contraseas de un solo uso deben ser utilizados para todos los niveles
de acceso.
Responsables
Todas las personas definidas en el marco de esta poltica cumplirn plenamente esta
poltica. Los infractores estarn sujetos a medidas disciplinarias que pueden resultar en la
terminacin de su empleo. Todas las acciones se ajustarn a las leyes laborales aplicables.
10
POLTICA DE RECUPERACIN DE DESASTRES
Propsito
Definir los requisitos mnimos para llevar a cabo la recuperacin de desastres para asegurar
que las aplicaciones y los datos ms importantes de la empresa sean preservados y
protegidos contra la prdida y destruccin de datos de forma adecuada.
Alcance
Poltica
11
Priorizacin de todos los servidores del sistema.
Lista de dependencias, incluyendo otras aplicaciones, red, LDAP, etc.
Propsito
Definir la poltica de la Alcalda de San Antonio del Sena para el uso aceptable de los
recursos y la privacidad de datos de TI.
Alcance
Poltica
12
Todos los sistemas de TI son activos de la Compaa. Estos sistemas incluyen
equipos de cmputo, software, medios de almacenamiento, y cuentas de red que
proporcionan correo electrnico, correo de voz, Internet, y servicios FTP. Estos
sistemas deben ser utilizados para fines comerciales en el servicio a la Alcalda y a
los clientes (usuarios externos) en el curso de operaciones comerciales normales.
13
Violacin de la seguridad o eludir la autenticacin de usuario o la seguridad de
cualquier host, red o cuenta.
Propsito
El propsito de esta poltica es afirmar que los sistemas de la Alcalda de San Antonio del
Sena slo utilizarn sistemas de encriptacin que hayan recibido revisin pblica sustancial
y sean consideradas como seguros.
Alcance
Esta poltica se aplica a todos los empleados, contratistas, consultores, temporales y otros
trabajadores de la Alcalda de San Antonio del Sena y sus unidades de negocio
(Secretaras).
Poltica
Solamente los algoritmos que hayan resistido el escrutinio y pruebas por la comunidad
criptogrfica se pueden utilizar como base para la tecnologa de encriptado dentro de los
sistemas de informacin de la Compaa. Los algoritmos estndares que son aceptables en
el momento de la escritura de esta poltica son:
o Diffie-Hellman
o El Gamal
o Curva Elptica
o RSA (Rivest-Shamir-Adleman)
o RSA
14
o DSA DSA
Los sistemas simtricos de clave deben utilizar longitudes de clave de al menos 128
bits.
Responsables
Todas las personas definidas en el marco de esta poltica cumplirn plenamente con la
poltica. Los infractores estarn sujetos a medidas disciplinarias que pueden resultar en la
terminacin de su empleo. Todas las acciones se ajustarn a las leyes laborales aplicables.
Propsito
Busca definir reglas para la utilizacin de dispositivos mviles dentro de las Instalaciones
de la Alcalda de San Antonio del Sena.
Alcance
Esta poltica se aplica a todos los empleados, contratistas, consultores, temporales y otros
trabajadores de la Alcalda de San Antonio del Sena y sus unidades de negocio
(Secretaras), a quienes se les asigne un dispositivo mvil propiedad de la empresa. Todos
los dispositivos mviles propiedad de la empresa estn cubiertos por esta poltica
incluyendo telfonos celulares, PDAs, telfonos inteligentes y tabletas.
Poltica
Todos los dispositivos mviles proporcionados por la Alcalda de San Antonio del Sena se
van a utilizar principalmente para asuntos oficiales del Grupo y de una manera segura y
rentable siendo consistentes con las polticas de la Alcalda de San Antonio del Sena
existentes.
Los dispositivos mviles que accedan a aplicaciones de Alcalda de San Antonio del Sena,
requerirn de configuracin de un sistema de gestin de dispositivos mviles (MDM).
15
Responsables
Los empleados de la Alcalda de San Antonio del Sena a los que se les asigne un
dispositivo mvil son responsables de:
Asegurarse de que el dispositivo mvil se utilice principalmente para los negocios de las
Secretaras.
Asegurar la atencin adecuada y segura del uso del dispositivo mvil, incluyendo la
seguridad del dispositivo en todo momento.
Propsito
Esta poltica proporciona orientacin y un marco para los administradores y los gerentes de
red para disear y tomar decisiones operativas relativas al acceso a la infraestructura de red
de datos de la compaa.
Alcance
Poltica
Esta poltica define 5 niveles de confianza. El nivel ms bajo se designa "Nivel 0" y es
considerado como "no fiable". El nivel ms alto es el "Nivel 4" y se considera que es "de
confianza". Los niveles intermedios "Parcialmente-confianza".
La poltica por defecto en los filtros de paquetes ser de negar todo el trfico entre
redes.
Propsito
Tiene como propsito esta poltica disear mecanismos para la creacin y proteccin de
contraseas.
Alcance
Aplica para todas las secretarias de la Alcalda de San Antonio del Sena.
Poltica
17
El uso de contraseas seguras es un aspecto importante de la seguridad informtica. Las
siguientes polticas de contraseas deben ser seguidas por todos los funcionarios de las
Secretarias en la Alcalda de San Antonio de San Antonio del Sena:
Las contraseas deben tener al menos 8 caracteres de longitud a menos que existan
limitaciones en el sistema operativo o dispositivo utilizado.
Las cuentas del sistema para los servicios o aplicaciones segn sea necesario deben ser
seguras.
Propsito
Esta poltica establece los requisitos para la conexin a la red del grupo de entidades
(empresas, proveedores, usuarios) de sistemas o hosts que no son parte de la red de datos de
la compaa. Esta actividad se conoce generalmente como acceso remoto.
Alcance
Esta poltica se aplica a todos los funcionarios, contratistas, consultores, los temporales y
otros trabajadores de la Alcalda de San Antonio del Sena y sus Secretarias (unidades de
negocio).
18
Poltica
El acceso remoto a todos los sistemas de datos de la Alcalda de San Antonio del
Sena, slo se permite en las actividades de administracin aprobadas.
El acceso remoto a todos los sistemas de datos de la Alcalda de San Antonio del
Sena, deben adherirse a estrictos controles de contrasea y proteccin.
Equipos o sistemas que se utilizan para las conexiones de acceso remoto no deben
tambin estar conectados a otras redes durante la sesin de acceso remoto, con la
excepcin de las redes personales que estn bajo el control completo del usuario. En
circunstancias en las que esto ocurre, el sistema remoto debe estar asegurado por un
cortafuegos (Firewall).
Todos los equipos que se utilizan para las conexiones de acceso remoto deben
cumplir con las normas de la empresa para la deteccin de virus.
Propsito
Esta poltica proporciona la autoridad para revisar y aprobar de cualquier uso o propuesta
de uso de capacidades de " Software como un Servicio " (SaaS1: por sus siglas en ingls).
Tambin proporciona un conjunto mnimo de requisitos y riesgos que deben ser abordados
en esas revisiones.
Cuando se contratan servicios de terceros para contar con Acceso a CRM (Customer
Relationships Management), ERP (Enterprise Resource Planning) o cualquier otro
aplicativo que no est fsicamente en las Instalaciones de la Alcalda, sino en servidores de
terceros en otras partes del mundo, esto implica que informacin del negocio, estar en el
poder de este tercero y se deben tomar medidas para evitar divulgacin de informacin
sensible.
19
Alcance
Aplica para cualquier Secretaria (unidad de negocio) que utiliza software de terceros para
procesar su trabajo.
Poltica
En el rea de IT, se debe verificar que los proveedores de soluciones tecnolgicas tipo
SAAS cumplan con los siguientes lineamientos:
Responsables
Todas las personas definidas en el marco de esta poltica se cumplirn plenamente con la
poltica. Los infractores estarn sujetos a medidas disciplinarias que pueden resultar en la
terminacin de su empleo. Todas las acciones se ajustarn a las leyes laborales aplicables.
20
POLTICA DE SEGURIDAD DE REDES INALAMBRICAS
Propsito
La conexin de nodos por medio de ondas electromagnticas que permiten que las personas
estn conectadas al Router sin necesidad de un cable UTP, es ms conocido como las Redes
Inalmbricas y dentro de la Alcalda se requiere que este tipo de red sea monitoreado y que
cuente con software especializado que verifique la entrada y salida de paquetes, debido a
que en reuniones o acceso a clientes o usuarios ser necesario dar un acceso restringido
para consultar datos como impuestos, planes y dems procesos importantes para brindar un
excelente servicio al pblico.
Alcance
Aplica para todos los funcionarios, clientes o proveedores que, debido a su trabajo,
requieren utilizar la red inalmbrica para presentaciones o consultas de vital importancia
que no comprometern la seguridad de la red LAN interna.
Poltica
El control de la Red Lan Interna y la Red Wlan es diferente, debido a que los procesos del
da a da deben necesariamente por medio de la Red Lan, pero aquellos procesos que no
sean tan robustos, consultas, reportes y procesos livianos deben controlarse por medio de la
Red Wifi Lan, as que las polticas aqu descritas no se mezclan en los dos tipos de redes,
solo aplica para la Red Inalmbrica.
Las redes inalmbricas deben emplear el uso de al menos uno de los siguientes
mecanismos de autenticacin.
21
o acceso2
Los Puntos de Acceso (AP) deben estar asegurados fsicamente para evitar el robo.
Todo el acceso a redes WLAN debe estar registrado y regularmente auditado para
determinar que se cumplan todos los requisitos de la poltica y que los usuarios no
autorizados sean detectados.
Responsables
Todas las personas (Funcionarios, Contratistas, Proveedores o Clientes) que por sus
operaciones deben estar conectados a la Red inalmbrica, deben cumplir esta poltica.
22
GLOSARIO
Cifrado o encriptado: Una transformacin criptogrfica que opera sobre caracteres o bits.
PGP (por sus siglas en ingls) (Privacidad bastante buena): Un sistema pblico de
cifrado de claves.
Criptografa Pblica (asimtrica) de claves: Un tipo de cifrado que utiliza dos claves,
una clave pblica y una privada. Slo el remitente conoce la clave privada, mientras que la
clave pblica est disponible para cualquier persona.
23
BIBLIOGRAFA Y WEBGRAFIA
https://senaintro.blackboard.com/bbcswebdav/pid-93567601-dt-content-rid-
127941869_4/institution/semillas/217219_1_VIRTUAL/OAAPs/OAAP6/recursos/guia_pa
ra_elaborar_politicas_v1_0.pdf
24