POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN APLICADA EN LA GESTIÓN DE

USUARIOS

CRISTIAN CAMILO FULA

FABIAN ENRIQUE GUTIÉRREZ

GESTIÓN ESTRATÉGICA DE LA SEGURIDAD INFORMÁTICA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

UNIVERSIDAD PONTIFICIA BOLIVARIANA

BUCARAMANGA, SANTANDER, COLOMBIA
2018
 Política de seguridad de la información
La alta gerencia reconoce que los datos adquiridos o derivados del accionar de los diferentes entes
y actores que interactúan con la compañía, deben ser protegidos, correctamente almacenados y
contar con sus respectivos respaldos, todo ello acompañado, de una minuciosa cadena de custodia
que controle el acceso a dichos datos y a la información derivada del análisis de los mismos, así
como otros controles y métodos de protección contenidos en la ISO/IEC 27001 de 2013, con el
objetivo de garantizar la disponibilidad y la integridad de todo dato e información existente.

Dichos datos e información, pueden hallarse en diversos formatos, como lo son impresos o escritos
en papel, almacenados en medios electrónicos, transmitidos por correo o almacenados en la nube,
pero todos ellos sin importar su formato se someten de igual forma a la política.

Ahora bien, esta política es aplicable para los miembros de la organización y a los terceros que
interactúan con ella, como son contratistas, proveedores y usuarios de los datos.

Por otra parte, lo anterior surge del reconocimiento desde la alta gerencia, que los datos e
información hacen parte del patrimonio de la compañía y son la materia prima en la realización de
diversas funciones, que permite mantener una alta calidad, desempeño y competitividad.

Así pues, conociendo ya la importancia de la política, la violación de la misma acarrea medidas de

advertencia y penalización, como son, suspensiones, memorandos o desvinculación, además de
todas las acciones legales derivadas, enmarcadas en la ley 1581 de 2012, el decreto 1377 de 2013,
la ley 1273 de 2009 y en todo fundamento legal aplicable.

La alta gerencia establecerá un plan de difusión y capacitación que facilite el entendimiento de la

política, toda duda e inquietud adicional debe ser remitida a la oficina de consultoría jurídica.
Gestión de usuarios
La alta gerencia y el equipo de seguridad, determinan mecanismos para proteger la información, la
ubicación física de la misma y quienes acceden a ella, acorde a como lo establece la ISO/IEC
27001:2013 en su anexo A.

Lo anterior, evidencia la importancia que tienen para la alta gerencia resguardar, proteger y
administrar correctamente el recurso de la información y a los procesos que se realizan con esta,
pues son parte fundamental del funcionamiento ideal de la compañía.

Así pues, de forma inicial el equipo de seguridad realiza la asignación de cuentas de usuarios y
privilegios, acompañados de la firma de un compromiso de confidencialidad de su contraseña, el
cual contiene ciertos términos para periodicidad y la estructura de la misma, así como otras
condiciones para autenticación biométrica.

Del mismo modo, el equipo de seguridad es el encargado de asignar acceso privilegiado temporal o
permanente a funcionarios que no los posean, en casos especiales con una respectiva solicitud.

Ahora bien, los funcionarios deben tener claras sus responsabilidades de confidencialidad sobre la
información que manejan y deben implementar controles de escritorio, como son:

 Cerrar cesiones antes de apartarse del lugar de trabajo

 No permitir la manipulación de su equipo asignado por otro funcionario
 Utilizar los equipos y privilegios únicamente para el propósito por el cual se le fue asignado
 No escribir la contraseña en ningún lugar

En cuanto al manejo del correo electrónico corporativo asignado, los funcionarios deben:

 Ser conscientes que es un un medio formal de comunicación exclusivo para temas laborales.
 En las los mismos debe observarse los conductos regulares de la compañía, respetando el
fuero y ámbito de decisión de las diferentes instancias.
 Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta.
 Antes de enviar un correo deberá verificarse que esté dirigido solamente a los interesados
y/o a quienes deban conocer o decidir sobre el tema, evitando duplicidades y otros
inconvenientes.
 Está prohibida la reproducción y envío de mensajes tipo cadena o similares.
 La responsabilidad del contenido de los mensajes de correo será del usuario remitente. El
receptor no deberá alterar los mensajes sin la autorización del emisor.
 No se deberá utilizar el correo electrónico para enviar mensajes políticos, avisos
clasificados, publicidad comercial o boletines cuya información no guarde relación directa
con los intereses de la entidad.
 El correo electrónico no deberá usarse para enviar información con contenido
discriminatorio. Se deben evitar los estereotipos de raza, género, religión, origen étnico,
localización geográfica, orientación sexual, discapacidad, apariencia física o estrato social.
Enfatizando ahora, en manejo de la planta física que contiene los dispositivos asignados, al interior
de este espacio determinado los funcionarios no tienen permitido:

 El ingreso e ingesta de alimentos, existen los espacios específicos para esa actividad.
 Portar elementos corto punzantes
 Ingresar ni conectar en ningún dispositivo algún medio de almacenamiento externo u otro
dispositivo con entrada USB
 Manipular físicamente, mover o desconectar los dispositivos
 Modificar la configuración de los dispositivos
 Alterar los softwares predefinidos
 Instalar software sin autorización
 Dar mal uso a los equipos

Otras consideraciones adicionales, que deben ser tomadas en cuenta para el acceso, manipulación
y uso de la información o dispositivos, es que el equipo de seguridad puede implementar más de un
método de autenticación simultáneamente, teniendo en cuenta la importancia del activo a
manipular, además cabe resaltar que todos los mismos son sujetos de auditoria y monitorización.

REFERENCIAS
CONTADURÍA GENERAL DE LA NACIÓN, “manual de seguridad de la información”. Disponible en:
https://bit.ly/2ZkcxCh [Accedido: 17-04-2019]

SUPERSALUD, “gestión segura de usuarios”. Disponible en: https://bit.ly/2Pif0sv [Accedido: 18-04-

2019]