AA12-Ev3-Definición de Las Políticas de Seguridad San Antonio Del Sena - GRUPO - 3

DEFINICN DE LAS POLTICAS DE SEGURIDAD DE LA INFORMACIN
PARA LA
ALCALDIA DE SAN ANTONIO DEL SENA
PRESENTADO POR:
LUIS ROSAS ORELLANO

ANGIE RODRIGUEZ GARCIA
EDER CAMARGO TEHERAN
ALEXIS DE JESUS MOROS CAMPUZANO
RICARDO JAVIER TORRES TORRES
PRESENTADO A:
ING. YURI LORENA FIERRO BOCANEGRA
SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACIN EN GESTION Y SEGURIDAD EN BASES DE DATOS
MODALIDAD VIRTUAL
2017
Tabla de contenido
INTRODUCCIN .................................................................................................................. 4
OBJETIVOS ........................................................................................................................... 5
OBJETIVO GENERAL ...................................................................................................... 5
OBJETIVOS ESPECFICOS ............................................................................................. 5
POLTICA DE RESPALDO DE DATOS ............................................................................. 6
Propsito ............................................................................................................................ 6
Alcance ............................................................................................................................... 6
Poltica ................................................................................................................................ 7
POLTICA PARA LA CREACIN Y DESTRUCCIN DE DOCUMENTOS................... 8
Propsito ............................................................................................................................. 8
Alcance ............................................................................................................................... 8
Poltica ................................................................................................................................ 8
POLTICA DE INTERNET Y USO DE LA DMZ ................................................................ 9
Propsito ............................................................................................................................. 9
Alcance ............................................................................................................................... 9
Poltica ................................................................................................................................ 9
Responsables ..................................................................................................................... 10
POLTICA DE RECUPERACIN DE DESASTRES ........................................................ 11
Propsito ........................................................................................................................... 11
Alcance ............................................................................................................................. 11
Poltica .............................................................................................................................. 11
POLTICA DE PRIVACIDAD DE LOS DATOS ............................................................... 12
Propsito ........................................................................................................................... 12
Alcance ............................................................................................................................. 12
Poltica .............................................................................................................................. 12
POLTICA DE ENCRIPTACIN DE LOS DATOS .......................................................... 14
Propsito ........................................................................................................................... 14
Alcance ............................................................................................................................. 14
Poltica .............................................................................................................................. 14
2
Responsables ..................................................................................................................... 15
POLTICA DE DISPOSITIVOS MVILES ....................................................................... 15
Propsito ........................................................................................................................... 15
Alcance ............................................................................................................................. 15
Poltica .............................................................................................................................. 15
Responsables ..................................................................................................................... 16
POLTICA DE SEGURIDAD DE REDES ......................................................................... 16
Propsito ........................................................................................................................... 16
Alcance ............................................................................................................................. 16
Poltica .............................................................................................................................. 16
POLTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA INFORMACIN Y
CONTRASEAS ................................................................................................................. 17
Propsito ........................................................................................................................... 17
Alcance ............................................................................................................................. 17
POLTICA DE ACCESO REMOTO A LA RED ................................................................ 18
Propsito ........................................................................................................................... 18
Alcance ............................................................................................................................. 18
Poltica .............................................................................................................................. 19
POLTICA DE SOFTWARE COMO UN SERVICIO ........................................................ 19
Propsito ........................................................................................................................... 19
Alcance ............................................................................................................................. 20
Poltica .............................................................................................................................. 20
Responsables ..................................................................................................................... 20
POLTICA DE SEGURIDAD DE REDES INALAMBRICAS .......................................... 21
Propsito ........................................................................................................................... 21
Alcance ............................................................................................................................. 21
Poltica .............................................................................................................................. 21
Responsables ..................................................................................................................... 22
GLOSARIO .......................................................................................................................... 23
BIBLIOGRAFA Y WEBGRAFIA ..................................................................................... 24
3
INTRODUCCIN
Las polticas definidas en el presente documento son difundidas en cada una de las
Secretaras, donde cada una con su equipo de trabajo ha de estudiarlas de forma detenida y
aprobaran los puntos definidos.
Las polticas de seguridad permiten que en las organizaciones se definan las formas de
realizar los procesos y los lineamientos que apoyan la Labor de proteccin de los datos y su
disponibilidad al interior de la Alcalda, de esta forma cada definicin est dirigido a todos
los funcionarios y en algunos casos a clientes externos.
4
OBJETIVOS
OBJETIVO GENERAL
Este trabajo se elabora con el fin de proporcionar un reconocimiento formal para tomar
conciencia, aceptar y cumplir con las polticas de Seguridad de la Informacin en la Alcalda
de San Antonio del Sena y va dirigida a los Funcionarios Directos, Temporales y Visitantes.
OBJETIVOS ESPECFICOS
Definir normas que sean comprensibles por todos los funcionarios y que traiga
como consecuencia una concienciacin del valor de la informacin y la importancia
de la proteccin de los datos de la Alcalda de San Antonio del Sena.
Con la socializacin de esta poltica se busca evitar daos importantes y

generalizados a los archivos de aplicaciones de los usuarios, el componente de
hardware y software con el propsito de evitar la infeccin de ordenadores y
sistemas informticos.
Proveer requisitos para la realizacin de copias de seguridad del Sistema

Informtico peridicamente, con el fin de asegurar que las aplicaciones crticas, los
datos y los archivos se conserven y se protejan de ser perdidos y destruidos.
5
POLTICA DE RESPALDO DE DATOS
Debido a los procesos crticos en la Alcalda de San Antonio del Sena, procesos que van
desde la preparacin de proyectos de acuerdos, resoluciones, decretos y contratos en la
Secretaria General, Coordinacin y Auditoria del control de precios al consumidor, rifas,
juegos y espectculos a cargo de la Secretaria de Gobierno, El Recaudo de los dineros
provenientes del impuesto, la custodia de los ttulos valores, garantas a favor del municipio
y la rendicin de cuentas de todo el flujo financiero en la Secretaria de Hacienda, Y la
elaboracin de proyectos en conjunto con Contratistas y Entidades expertas en la ejecucin
de obras civiles bajo la responsabilidad de La Secretaria de Planeacin de Obras Pblicas;
la Implementacin y actualizacin de la operacin del Sistema Integral de Informacin de
Salud en cabeza de la Secretaria de Salud, entre otros corresponden a los procesos de mayor
demanda de transacciones y seguridad de la informacin sensible que debe ser
salvaguardada por medio de una poltica clara para todo el personal de la Alcalda.
Los datos en cualquier organizacin pueden ser destruidos o daados por el mal
funcionamiento del sistema, medios accidentales o con total intencionalidad. Siguiendo el
principio que la Disponibilidad de la Informacin es vital para las operaciones de los
negocios, se implementan lineamientos para recuperar fcilmente la informacin en caso de
ser necesario.
Propsito
Definir los requisitos bsicos para la realizacin de copias de seguridad del sistema
peridicamente, para asegurar que las aplicaciones y los datos se conserven y se protejan
contra la prdida y destruccin de forma adecuada.
Alcance
Esta poltica se aplica a todos los empleados, contratistas, consultores, empleados

temporales y otros trabajadores de La Alcalda de San Antonio del Sena. Cuando existan
polticas dentro de una Secretara, esta poltica proporcionar la instruccin mnima
requerida. Las polticas de las unidades de negocio deben ser complementarias a esta
poltica y no deben anular los requisitos establecidos en esta poltica. Cualquier conflicto
entre la Poltica General y poltica de la Unidad de Negocios (Secretaras) debe resolverse a
favor de la poltica de General para asegurar la proteccin de la confidencialidad, integridad
y disponibilidad de la informacin.
6
Poltica
1. Todos los datos de la aplicacin / usuario deben haber documentado los horarios de
frecuencia especfica, rotacin y retencin basados en la criticidad, los
requerimientos del negocio y los requisitos legales los datos y de las aplicaciones.
2. La criticidad de datos / aplicaciones debe ser determinado, como mnimo, por el

propietario de la aplicacin o los datos, con el aporte de un asesor legal, para
garantizar los requisitos mnimos legales de retencin.
3. Todos los sistemas almacenamiento de aplicaciones y datos deben ser respaldados

con al menos una copia de seguridad full3 offsite2, por mes, reteniendo cada
copia de seguridad mensual durante 1 ao.
4. Todas las copias de seguridad de datos de las aplicaciones deben estar coordinadas
con los horarios de procesamiento de la aplicacin.
5. La retencin de los datos debe cumplir con las siguientes normas mnimas:
Cada cuanto se har (On-site) en las (Off-site) Fuera de las

Secretarias (rea Fsica) Oficinas
Diario 1 Semana 2 Semanas
Semanal 2 Semanas 3 Semanas
Mensual Ninguno 1 Ao
Anual Ninguno 4 Aos
6. El proceso para realizar la copia de seguridad debe ser monitoreado diariamente y el

estado documentado. Problemas o fracasos en el mismo deben ser escalados
inmediatamente al personal y gestin de apoyo responsables.
7. Todos los sistemas de almacenamiento de aplicaciones y datos deben ser revisados

anualmente para verificar que las prioridades y procedimientos de la copia de
seguridad y recuperacin se hayan completado.
7
POLTICA PARA LA CREACIN Y DESTRUCCIN DE
DOCUMENTOS
Propsito
Proporcionar una poltica estndar para la creacin y destruccin de documentos

que instruya a los funcionarios sobre los protocolos para crear, guardar y la destruir
los documentos.
Cumplir con las obligaciones legales, regulatorias, o de cumplimiento.
Un enfoque sistemtico de destruccin evitar consecuencias desfavorables por los
tribunales de litigio.
Alcance
Esta poltica se aplica a todos los funcionarios, contratistas, consultores, temporales y otros
trabajadores de la Alcalda de San Antonio del Sena y sus Secretarias. Cuando ya existan
polticas de creacin y destruccin de documentos que las Unidades de Negocio, esta
poltica proporcionar la instruccin mnima requerida de direccin. Esta poltica,
y las polticas de las unidades de negocio, deben ser complementarias y cualquier conflicto
entre ellas debe resolverse a favor de proporcionar las garantas necesarias para la
proteccin, integridad y disponibilidad de la confidencialidad de la informacin.
Poltica
Para la Creacin de documentos
Las mejores prcticas recomendadas son:
1. Limitar a una copia maestra cada documento / presentacin

2. Limitar el envo de correos electrnicos "CC" y "CCO" y reenvo al azar
3. Limitar el uso de archivos adjuntos.
4. Adoptar de un sistema de manejo de documentos sistemtico que elimine el
problema de guardado y eliminacin mltiple (con una solucin de confianza para
realizar copias de seguridad que permita a los empleados confiar en que la versin
guardada es la "maestra" y se puede restaurar rpidamente).
Para la Destruccin de Documentos / Medios
1. Triture los documentos de papel y medios de comunicacin donde se almacenan los

documentos (CD, DVD, disquete, etc.).
8
2. Limpieza segura de almacenamiento en disco.
3. En el caso de que una estacin de trabajo llegue al fin de su vida til, sea transferido
o daado, el disco de estaciones de trabajo debe ser limpiado de los datos bajo
parmetros de seguridad. Una prctica generalmente aceptada para la limpieza
segura de un disco es sobrescribir con ceros una vez, luego unos y luego datos
diferentes al azar. La desmagnetizacin es tambin una prctica aceptada para la
limpieza de los datos de una unidad de disco o de un disco magntico. Una norma
de referencia es el Departamento de Comercio de Estados Unidos, el Instituto
Nacional de Normas y Tecnologa, NIST 800-88.
4. Supresin y sobreescritura de archivos de documentos.
5. La destruccin fsica de unidades de disco duro, discos y otros medios de
comunicacin es una prctica aceptable.
POLTICA DE INTERNET Y USO DE LA DMZ
Propsito
El propsito de esta poltica es definir las normas que deben cumplir los todos los equipos
de propiedad y / o operados por la Alcalda de San Antonio del Sena ubicados fuera de los
cortafuegos del Internet corporativo de La Alcalda. Estos estndares estn diseados para
minimizar el potencial de exposicin de las Secretaras ante la prdida de datos sensibles o
confidenciales, propiedad intelectual, dao a la imagen pblica, etc., que pueden derivarse
de un uso no autorizado de los recursos.
Alcance
Todos los equipos o dispositivos desplegados en una zona desmilitarizada (DMZ),

propiedad y / o operados por funcionarios de la Alcalda de San Antonio (incluyendo hosts,
routers, switches, etc.) y / o registrados en cualquier dominio del Sistema de Nombres de
Dominio (DNS, por sus siglas en ingls) propiedad de la Alcalda, deber seguir esta
poltica.
Poltica
1. Hardware, sistemas operativos, servicios y aplicaciones deben tener una revisin de

seguridad como parte de la fase de revisin previa al despliegue. Adems, esta
revisin debe repetirse de forma anual.
9
2. El anlisis de vulnerabilidades se debe realizar cada tres meses. Cualquier
vulnerabilidad crtica de seguridad debe ser corregida dentro de los 3 meses de
identificacin.
3. La configuracin del sistema operativo debe hacerse de acuerdo con las normas de
seguridad de instalacin y configuracin de hosting y de router.
4. Los servicios y aplicaciones que no estn acorde a los requerimientos de la Alcalda

de San Antonio del Sena deben ser desactivados.
5. Las relaciones de confianza entre los sistemas slo pueden ser introducidas de
acuerdo con los requerimientos del negocio, deben ser documentadas, y deben ser
aprobados.
6. Los servicios inseguros o protocolos deben ser reemplazados por sus equivalentes
ms seguras siempre que existan.
7. Los sistemas que necesiten ser para accedidos desde la Internet pblica deben ser
colocados en un segmento de DMZ, el cual es dirigido usando direcciones IP
registradas pblicamente. Administracin / desktop / shell remoto se deben realizar
con ms seguridad, canales autenticados seguros (por ejemplo, las conexiones de
red cifrados usando SSH o IPSEC) o acceso a la consola independiente de las redes
DMZ. Cuando una metodologa para las conexiones de canal seguras no est
disponible, las contraseas de un solo uso deben ser utilizados para todos los niveles
de acceso.
8. Cualquier informacin clasificada confidencial o superior no se debe almacenar en

los dispositivos ubicados en la zona de distensin (DMZ siglas en ingls). Los datos
solo pueden existir en forma necesaria cuando estn en trnsito hacia su ubicacin
de almacenamiento final.
Responsables
Todas las personas definidas en el marco de esta poltica cumplirn plenamente esta
poltica. Los infractores estarn sujetos a medidas disciplinarias que pueden resultar en la
terminacin de su empleo. Todas las acciones se ajustarn a las leyes laborales aplicables.
10
POLTICA DE RECUPERACIN DE DESASTRES
Propsito
Definir los requisitos mnimos para llevar a cabo la recuperacin de desastres para asegurar
que las aplicaciones y los datos ms importantes de la empresa sean preservados y
protegidos contra la prdida y destruccin de datos de forma adecuada.
Alcance
Esta poltica se aplica a todos los empleados, contratistas, consultores, empleados

temporales y otros trabajadores de la Alcalda de San Antonio del Sena y todas sus
Unidades de Negocio. Cuando haya polticas que ya existan dentro de una unidad de
negocio, esta poltica proporciona la instruccin mnima requerida de direccin. Las
polticas de las Secretaras deben ser complementarias a esta poltica y no anular los
requisitos establecidos en esta poltica.
Poltica
1. Todas las aplicaciones de los planes de recuperacin de desastres deben incluir lo

siguiente:
Nombre del propietario de la aplicacin e informacin de contacto

Propietario tcnico e informacin del contacto _
Los objetivos de tiempo de recuperacin
Los objetivos de punto de recuperacin
Frecuencia de sincronizacin de un archivo o imagen _
Si corresponde, el tipo de proteccin (replicacin basada en archivo o en bloque)
Los requisitos de disco duro
Lista de equipo completo que incluye:
a) Procedencia y modelo del servidor

b) Capacidad y uso del disco duro
c) Ajustes de configuracin (direccin IP, etc.)
d) Tipo de servidor (web, app, db, etc)
e) Arquitectura (fsica o virtual, 32 o 64 bits, etc)
f) Lista de software, incluidas las versiones
Manual de instrucciones para la recuperacin (Reconstruir desde cero).

Instrucciones de recuperacin del sistema de recuperacin de desastres aplicable.
11
Priorizacin de todos los servidores del sistema.
Lista de dependencias, incluyendo otras aplicaciones, red, LDAP, etc.
El propietario de las aplicaciones y el gerente de TI de la Alcalda de San Antonio

del Sena son conjuntamente responsables de identificar las aplicaciones que deben
protegerse y comunicarse con el coordinador de recuperacin de desastres
apropiado.
Cualquier sistema de recuperacin de desastres que se propuesto debe cumplir con

los siguientes estndares globales para la recuperacin de desastres, con el fin de
considerarse para su uso:
a) Debe ser un sistema autnomo. No puede compartir el almacenamiento de datos con

otros sistemas de produccin, de desarrollo o de prueba
b) Debe apoyar la tecnologa utilizada en los sistemas de produccin
c) No debe estar en la misma ubicacin que los sistemas protegidos
d) Debe ser capaz de proteger los datos durante la transferencia o sincronizacin (es
decir, la encriptacin)
e) El hardware debe ser suficiente como para apoyar a los sistemas que se estn
protegidos (disco duro, memoria RAM, procesador, etc.)
f) Credenciales de acceso independientes de los sistemas cubiertos.
Todos los planes de recuperacin de desastres deben ser almacenados digitalmente

y encriptados en un centro de almacenamiento "fuera de sitio", lo cual quiere decir
que la Alcalda de San Antonio del Sena debe contar con servicios externos para el
Almacenamiento en la Nube como lo son Empresas Especializadas para el
Almacenamiento en la nube como Terremark, Google, Amazon etc.
POLTICA DE PRIVACIDAD DE LOS DATOS
Propsito
Definir la poltica de la Alcalda de San Antonio del Sena para el uso aceptable de los
recursos y la privacidad de datos de TI.
Alcance
Esta poltica aplica para todas las Secretaras y dependencias de estas.
Poltica
12
Todos los sistemas de TI son activos de la Compaa. Estos sistemas incluyen
equipos de cmputo, software, medios de almacenamiento, y cuentas de red que
proporcionan correo electrnico, correo de voz, Internet, y servicios FTP. Estos
sistemas deben ser utilizados para fines comerciales en el servicio a la Alcalda y a
los clientes (usuarios externos) en el curso de operaciones comerciales normales.
Los empleados son responsables por ejercer el buen juicio en cuanto a la

razonabilidad de uso personal. Se anima a cada agencia a tener una poltica
detallada que proporcione orientacin adicional para la utilizacin aceptable de los
recursos de tecnologa para sus empleados.
Todos los medios de comunicacin de software propiedad de la empresa deben ser

almacenados en un lugar seguro con acceso limitado. El software propiedad de la
empresa no debe estar instalado en un ordenador personal en el hogar de los
empleados.
Los equipos informticos comprados fuera de los mtodos aprobados de la

corporacin, se consideran hardware de "uso personal". Este hardware no ser
apoyado o mantenido por la empresa. Adems, el hardware adquirido de esta
manera no se debe unir a las redes de la empresa, y los datos de la empresa no
deben ser transferidos a este dispositivo.
A continuacin, se identifican los usos inaceptables de los recursos de TI de la Alcalda.
Los sistemas de la red, correo electrnico o correo de voz de la compaa no se

pueden utilizar para solicitar o promover cualquier negocio comercial personal,
causas polticas, o cualquier otro fin que se determina ilegal por la Compaa.
Un individuo no puede leer ni acceder a mensajes que no se dirigen a ellos sin la
aprobacin del autor del mensaje.
La duplicacin no autorizada de material con derechos de autor, incluyendo, pero no

limitado a, la digitalizacin y distribucin de fotografas de revistas, libros u otras
fuentes con derechos de autor, o msica con derechos de autor.
El correo electrnico no puede ser reenviado automticamente.
El uso no autorizado, o reenvo, de la informacin del mensaje. La introduccin de

programas maliciosos en la red, o efectuar otras interrupciones de la comunicacin
en red.
13
Violacin de la seguridad o eludir la autenticacin de usuario o la seguridad de
cualquier host, red o cuenta.
POLTICA DE ENCRIPTACIN DE LOS DATOS
Propsito
El propsito de esta poltica es afirmar que los sistemas de la Alcalda de San Antonio del
Sena slo utilizarn sistemas de encriptacin que hayan recibido revisin pblica sustancial
y sean consideradas como seguros.
Alcance
Esta poltica se aplica a todos los empleados, contratistas, consultores, temporales y otros
trabajadores de la Alcalda de San Antonio del Sena y sus unidades de negocio
(Secretaras).
Poltica
Solamente los algoritmos que hayan resistido el escrutinio y pruebas por la comunidad
criptogrfica se pueden utilizar como base para la tecnologa de encriptado dentro de los
sistemas de informacin de la Compaa. Los algoritmos estndares que son aceptables en
el momento de la escritura de esta poltica son:
Criptosistemas simtricos de claves:
o Triple DES (3DES)

o AES (siglas en ingls) Encriptado Avanzado Estndar
o RC2, RC4, RC5 y (Encriptado de Rivest)
o IDEA (siglas en ingls) Algoritmo de encriptado de datos internacional
Criptosistemas asimtricas de claves:
o Diffie-Hellman
o El Gamal
o Curva Elptica
o RSA (Rivest-Shamir-Adleman)
Firma Digital Estndar:
o RSA
14
o DSA DSA
Algoritmo de control seguro
o SHA-1 - Secure Hash Algorithm

o MD5 - Message Digest
Los sistemas simtricos de clave deben utilizar longitudes de clave de al menos 128
bits.
Responsables
Todas las personas definidas en el marco de esta poltica cumplirn plenamente con la
POLTICA DE DISPOSITIVOS MVILES
Propsito
Busca definir reglas para la utilizacin de dispositivos mviles dentro de las Instalaciones
de la Alcalda de San Antonio del Sena.
Alcance
Esta poltica se aplica a todos los empleados, contratistas, consultores, temporales y otros
trabajadores de la Alcalda de San Antonio del Sena y sus unidades de negocio
(Secretaras), a quienes se les asigne un dispositivo mvil propiedad de la empresa. Todos
los dispositivos mviles propiedad de la empresa estn cubiertos por esta poltica
incluyendo telfonos celulares, PDAs, telfonos inteligentes y tabletas.
Poltica
Todos los dispositivos mviles proporcionados por la Alcalda de San Antonio del Sena se
van a utilizar principalmente para asuntos oficiales del Grupo y de una manera segura y
rentable siendo consistentes con las polticas de la Alcalda de San Antonio del Sena
existentes.
Los dispositivos mviles que accedan a aplicaciones de Alcalda de San Antonio del Sena,
requerirn de configuracin de un sistema de gestin de dispositivos mviles (MDM).
15
Responsables
Los empleados de la Alcalda de San Antonio del Sena a los que se les asigne un
dispositivo mvil son responsables de:
Asegurarse de que el dispositivo mvil se utilice principalmente para los negocios de las
Secretaras.
Dispositivo de manipulacin y jailbreaking estn prohibidos.
Asegurar la atencin adecuada y segura del uso del dispositivo mvil, incluyendo la
seguridad del dispositivo en todo momento.
Notificar a un supervisor inmediatamente si un dispositivo mvil ha sido perdido, robado

o daado.
POLTICA DE SEGURIDAD DE REDES
Propsito
Esta poltica proporciona orientacin y un marco para los administradores y los gerentes de
red para disear y tomar decisiones operativas relativas al acceso a la infraestructura de red
de datos de la compaa.
Alcance
Esta poltica va dirigida a todos los funcionarios directos e indirectos, contratistas de la

Alcalda de San Antonio delo Sena.
Poltica
Esta poltica define 5 niveles de confianza. El nivel ms bajo se designa "Nivel 0" y es
considerado como "no fiable". El nivel ms alto es el "Nivel 4" y se considera que es "de
confianza". Los niveles intermedios "Parcialmente-confianza".
A continuacin, la tabla que clasifica las redes y su nivel de confianza:
Nivel Confianza Nombre Usuarios Sistemas

0 Ninguno Internet Todos Pblico
16
1 Parcial Pblico Todos Pblico
2 Parcial Extranet Funcionarios Interno
3 Parcial Intranet Funcionarios Interno/Confidencial
4 Total Interno Funcionarios Interno/Confidencial
Las redes de diferentes niveles de confianza no se pueden conectar directamente

entre s. Los dispositivos de filtrado de paquetes (es decir, firewall) se deben utilizar
para controlar la interconexin de estas redes.
La poltica por defecto en los filtros de paquetes ser de negar todo el trfico entre
redes.
Las desviaciones de la poltica de "negacin predeterminada" para las conexiones

entre dispositivos a travs de las redes de los diferentes niveles, incluidas las
conexiones fsicas y virtuales, requieren aprobaciones de excepcin por la alta
gerencia y personal de seguridad de la informacin. Las reglas de control de acceso
para estas conexiones deben especificar la red y direcciones de aplicacin / servicio
de los sistemas que se conecten.
Los equipos regionales de la red administrarn y mantendrn la distribucin y

asignacin de direcciones de red de acuerdo con el esquema de asignacin de
direccionamiento IP global. Las direcciones empleadas fuera de las redes asignadas
y aprobadas no sern permitidas en la red de la Compaa.
POLTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA

INFORMACIN Y CONTRASEAS
Propsito
Tiene como propsito esta poltica disear mecanismos para la creacin y proteccin de
contraseas.
Alcance
Aplica para todas las secretarias de la Alcalda de San Antonio del Sena.
Poltica
17
El uso de contraseas seguras es un aspecto importante de la seguridad informtica. Las
siguientes polticas de contraseas deben ser seguidas por todos los funcionarios de las
Secretarias en la Alcalda de San Antonio de San Antonio del Sena:
Las contraseas deben tener al menos 8 caracteres de longitud a menos que existan
limitaciones en el sistema operativo o dispositivo utilizado.
Las contraseas de usuario no deben contener el nombre del usuario o Identificacin.
Cuentas genricas y contraseas de grupo no se permiten; esto para que la responsabilidad

individual se pueda mantener en todo momento.
Las cuentas del sistema para los servicios o aplicaciones segn sea necesario deben ser
seguras.
El tiempo mnimo antes de cambiar la contrasea es de un mnimo de 7 das.
El nmero de intentos incorrectos permitidos antes de la contrasea se suspenda es 4.
Deshabilitar el ajuste de suspender la contrasea en los dispositivos mviles. Al dcimo

intento el dispositivo mvil se limpia.
POLTICA DE ACCESO REMOTO A LA RED
Propsito
Esta poltica establece los requisitos para la conexin a la red del grupo de entidades
(empresas, proveedores, usuarios) de sistemas o hosts que no son parte de la red de datos de
la compaa. Esta actividad se conoce generalmente como acceso remoto.
La posibilidad de acceder a los sistemas de datos de la compaa desde cualquier lugar en el

mundo aumenta en gran medida la productividad de los usuarios mviles. En algunos
casos, esto es el nico medio disponible para hacer una conexin de red.
Alcance
Esta poltica se aplica a todos los funcionarios, contratistas, consultores, los temporales y
otros trabajadores de la Alcalda de San Antonio del Sena y sus Secretarias (unidades de
negocio).
18
Poltica
El acceso remoto a todos los sistemas de datos de la Alcalda de San Antonio del
Sena, slo se permite en las actividades de administracin aprobadas.
El acceso remoto a todos los sistemas de datos de la Alcalda de San Antonio del
Sena, deben adherirse a estrictos controles de contrasea y proteccin.
Se requiere autenticacin de usuario para obtener acceso a las redes corporativas y

el sistema. Cada usuario que est autorizado a utilizar el acceso remoto tendr una
cuenta de inicio de sesin nico. Queda prohibido el intercambio de cuentas de
acceso.
Equipos o sistemas que se utilizan para las conexiones de acceso remoto no deben
tambin estar conectados a otras redes durante la sesin de acceso remoto, con la
excepcin de las redes personales que estn bajo el control completo del usuario. En
circunstancias en las que esto ocurre, el sistema remoto debe estar asegurado por un
cortafuegos (Firewall).
Todos los equipos que se utilizan para las conexiones de acceso remoto deben
cumplir con las normas de la empresa para la deteccin de virus.
POLTICA DE SOFTWARE COMO UN SERVICIO
Propsito
Esta poltica proporciona la autoridad para revisar y aprobar de cualquier uso o propuesta
de uso de capacidades de " Software como un Servicio " (SaaS1: por sus siglas en ingls).
Tambin proporciona un conjunto mnimo de requisitos y riesgos que deben ser abordados
en esas revisiones.
Cuando se contratan servicios de terceros para contar con Acceso a CRM (Customer
Relationships Management), ERP (Enterprise Resource Planning) o cualquier otro
aplicativo que no est fsicamente en las Instalaciones de la Alcalda, sino en servidores de
terceros en otras partes del mundo, esto implica que informacin del negocio, estar en el
poder de este tercero y se deben tomar medidas para evitar divulgacin de informacin
sensible.
19
Alcance
Aplica para cualquier Secretaria (unidad de negocio) que utiliza software de terceros para
procesar su trabajo.
Poltica
En el rea de IT, se debe verificar que los proveedores de soluciones tecnolgicas tipo
SAAS cumplan con los siguientes lineamientos:
Cumplimiento de la normativa aplicable.

Acceso y confiabilidad de la red.
Disposiciones del contrato y la fijacin de precios.
Seguridad de los datos y la ubicacin fsica de los datos.
Integracin con los servicios existentes o planeados al interior de la Alcalda,
aplicaciones y capacidades de la empresa.
Administracin y gobierno de acceso a datos.
Cumplimiento del contrato del cliente en el uso de estos servicios, segn
corresponda.
Cumplimiento de las polticas de la Alcalda de San Antonio del Sena.
Fiabilidad del servicio, compromiso SLA, mantenimiento de la integridad de los
datos y propiedad y control de datos.
Revisin de las capacidades de seguridad, certificaciones y prcticas del proveedor.
Revisin de las prcticas y procesos de desarrollo de aplicaciones de los
proveedores. Uso de procesos y herramientas de desarrollo de aplicaciones seguras.
Capacidades de los proveedores para realizar copias de seguridad y recuperacin de
desastres.
Responsables
Todas las personas definidas en el marco de esta poltica se cumplirn plenamente con la
El Jefe de Informacin de la Alcalda de San Antonio del Sena es responsable del

mantenimiento y la distribucin de esta poltica y de proporcionar orientacin a la
Administracin Ejecutiva sobre los requisitos de conformidad de esta poltica.
La Administracin Ejecutiva es responsable de la ejecucin y cumplimiento de esta poltica
dentro de sus respectivas Unidades de Negocio.
20
POLTICA DE SEGURIDAD DE REDES INALAMBRICAS
Propsito
La conexin de nodos por medio de ondas electromagnticas que permiten que las personas
estn conectadas al Router sin necesidad de un cable UTP, es ms conocido como las Redes
Inalmbricas y dentro de la Alcalda se requiere que este tipo de red sea monitoreado y que
cuente con software especializado que verifique la entrada y salida de paquetes, debido a
que en reuniones o acceso a clientes o usuarios ser necesario dar un acceso restringido
para consultar datos como impuestos, planes y dems procesos importantes para brindar un
excelente servicio al pblico.
Alcance
Aplica para todos los funcionarios, clientes o proveedores que, debido a su trabajo,
requieren utilizar la red inalmbrica para presentaciones o consultas de vital importancia
que no comprometern la seguridad de la red LAN interna.
Poltica
El control de la Red Lan Interna y la Red Wlan es diferente, debido a que los procesos del
da a da deben necesariamente por medio de la Red Lan, pero aquellos procesos que no
sean tan robustos, consultas, reportes y procesos livianos deben controlarse por medio de la
Red Wifi Lan, as que las polticas aqu descritas no se mezclan en los dos tipos de redes,
solo aplica para la Red Inalmbrica.
Las redes inalmbricas deben emplear el uso de al menos uno de los siguientes
mecanismos de autenticacin.
o Implementar protocolo de autenticacin extensible (EAP) y IEEE 802.1X para

proporcionar control de acceso autenticado en el punto de acceso inalmbrico (AP).
o Donde se implementen huspedes inalmbricos se requiere autenticacin de usuario
y autorizacin de acceso.
Las redes inalmbricas deben emplear el uso de los siguientes mecanismos de

encriptacin.
o AES - Estndar de encriptacin avanzado

o WPA2-empresarial con EAP-TTLS - Wi-Fi protegido
21
o acceso2
La encriptacin es obligatoria para cualquier acceso a la red WLAN corporativa.

Redes de huspedes inalmbricos no pueden tener acceso a la red de la Alcalda de
San Antonio del Sena.
Los Puntos de Acceso (AP) deben estar asegurados fsicamente para evitar el robo.
Slo se puede usar dispositivos inalmbricos, puntos de acceso, y las redes

aprobados por la administracin. El uso y la instalacin de los dispositivos
inalmbricos o sistemas no autorizados estn prohibido. La instalacin o el uso de
estos dispositivos "clandestinos" estn sujetos a una accin disciplinaria.
Las redes WLAN son susceptibles a ataques de negacin de servicios; los

dispositivos que requieren alta disponibilidad no deben confiar en redes WLAN
como el nico mtodo de conexin.
Todo el acceso a redes WLAN debe estar registrado y regularmente auditado para
determinar que se cumplan todos los requisitos de la poltica y que los usuarios no
autorizados sean detectados.
Responsables
Todas las personas (Funcionarios, Contratistas, Proveedores o Clientes) que por sus
operaciones deben estar conectados a la Red inalmbrica, deben cumplir esta poltica.
22
GLOSARIO
Cifrado o encriptado: Una transformacin criptogrfica que opera sobre caracteres o bits.
Criptosistema: Un conjunto de transformaciones desde el espacio de un mensaje hasta el

espacio de texto cifrado.
Clave: Informacin o una secuencia que controla el cifrado y descifrado de mensajes.
PGP (por sus siglas en ingls) (Privacidad bastante buena): Un sistema pblico de
cifrado de claves.
Criptografa Pblica (asimtrica) de claves: Un tipo de cifrado que utiliza dos claves,
una clave pblica y una privada. Slo el remitente conoce la clave privada, mientras que la
clave pblica est disponible para cualquier persona.
Criptografa de clave secreta (clave simtrica): Un tipo de cifrado en el que el emisor y

el receptor comparten la misma clave secreta.
23
BIBLIOGRAFA Y WEBGRAFIA
https://senaintro.blackboard.com/bbcswebdav/pid-93567601-dt-content-rid-
127941869_4/institution/semillas/217219_1_VIRTUAL/OAAPs/OAAP6/recursos/guia_pa
ra_elaborar_politicas_v1_0.pdf
24

AA12-Ev3-Definición de Las Políticas de Seguridad San Antonio Del Sena - GRUPO - 3

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

AA12-Ev3-Definición de Las Políticas de Seguridad San Antonio Del Sena - GRUPO - 3

Diunggah oleh

Hak Cipta:

Format Tersedia

DEFINICN DE LAS POLTICAS DE SEGURIDAD DE LA INFORMACIN

LUIS ROSAS ORELLANO

ING. YURI LORENA FIERRO BOCANEGRA

SERVICIO NACIONAL DE APRENDIZAJE SENA

Con la socializacin de esta poltica se busca evitar daos importantes y

Proveer requisitos para la realizacin de copias de seguridad del Sistema

Esta poltica se aplica a todos los empleados, contratistas, consultores, empleados

2. La criticidad de datos / aplicaciones debe ser determinado, como mnimo, por el

3. Todos los sistemas almacenamiento de aplicaciones y datos deben ser respaldados

Cada cuanto se har (On-site) en las (Off-site) Fuera de las

6. El proceso para realizar la copia de seguridad debe ser monitoreado diariamente y el

7. Todos los sistemas de almacenamiento de aplicaciones y datos deben ser revisados

Proporcionar una poltica estndar para la creacin y destruccin de documentos

Para la Creacin de documentos

Las mejores prcticas recomendadas son:

1. Limitar a una copia maestra cada documento / presentacin

Para la Destruccin de Documentos / Medios

1. Triture los documentos de papel y medios de comunicacin donde se almacenan los

POLTICA DE INTERNET Y USO DE LA DMZ

Todos los equipos o dispositivos desplegados en una zona desmilitarizada (DMZ),

1. Hardware, sistemas operativos, servicios y aplicaciones deben tener una revisin de

4. Los servicios y aplicaciones que no estn acorde a los requerimientos de la Alcalda

8. Cualquier informacin clasificada confidencial o superior no se debe almacenar en

Esta poltica se aplica a todos los empleados, contratistas, consultores, empleados

1. Todas las aplicaciones de los planes de recuperacin de desastres deben incluir lo

Nombre del propietario de la aplicacin e informacin de contacto

a) Procedencia y modelo del servidor

Manual de instrucciones para la recuperacin (Reconstruir desde cero).

El propietario de las aplicaciones y el gerente de TI de la Alcalda de San Antonio

Cualquier sistema de recuperacin de desastres que se propuesto debe cumplir con

a) Debe ser un sistema autnomo. No puede compartir el almacenamiento de datos con

Todos los planes de recuperacin de desastres deben ser almacenados digitalmente

POLTICA DE PRIVACIDAD DE LOS DATOS

Esta poltica aplica para todas las Secretaras y dependencias de estas.

Los empleados son responsables por ejercer el buen juicio en cuanto a la

Todos los medios de comunicacin de software propiedad de la empresa deben ser

Los equipos informticos comprados fuera de los mtodos aprobados de la

A continuacin, se identifican los usos inaceptables de los recursos de TI de la Alcalda.

Los sistemas de la red, correo electrnico o correo de voz de la compaa no se

La duplicacin no autorizada de material con derechos de autor, incluyendo, pero no

El correo electrnico no puede ser reenviado automticamente.

El uso no autorizado, o reenvo, de la informacin del mensaje. La introduccin de

POLTICA DE ENCRIPTACIN DE LOS DATOS

Criptosistemas simtricos de claves:

o Triple DES (3DES)

Criptosistemas asimtricas de claves:

Firma Digital Estndar:

Algoritmo de control seguro

o SHA-1 - Secure Hash Algorithm

POLTICA DE DISPOSITIVOS MVILES

Dispositivo de manipulacin y jailbreaking estn prohibidos.

Notificar a un supervisor inmediatamente si un dispositivo mvil ha sido perdido, robado

POLTICA DE SEGURIDAD DE REDES

Esta poltica va dirigida a todos los funcionarios directos e indirectos, contratistas de la

A continuacin, la tabla que clasifica las redes y su nivel de confianza:

Nivel Confianza Nombre Usuarios Sistemas

Las redes de diferentes niveles de confianza no se pueden conectar directamente

Las desviaciones de la poltica de "negacin predeterminada" para las conexiones

Los equipos regionales de la red administrarn y mantendrn la distribucin y

POLTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA

Las contraseas de usuario no deben contener el nombre del usuario o Identificacin.

Cuentas genricas y contraseas de grupo no se permiten; esto para que la responsabilidad

El tiempo mnimo antes de cambiar la contrasea es de un mnimo de 7 das.