[POLTICA DE

SEGURIDAD]
Incorporacin de TIC en Procesos Educativos
2013 - 2019

[Universitaria Virtual Internacional]

[2013]

ALIRIO BARBOSA PEA

Presidente Junta Directiva

LVARO CANO AGUILLN

Rector

LUIS ALFONSO GONZLEZ BERNAL

Director de Planeacin y Acreditacin

ROBERTO JURADO J.
Vicerrector Acadmico

ROGER RUZ PLAZA

Vicerrector Administrativo

FABIN JAIMES LARA

Vicerrector de Investigaciones y Tecnologas

ARIEL LEMUS PORTILLO

Vicerrector de Proyeccin y Responsabilidad Social

TABLA DE CONTENIDO

1.

INTRODUCCION ............................................................................................................ 5

2.

JUSTIFICACION ............................................................................................................. 6

3.

OBJETIVOS.................................................................................................................... 6

4.

ALCANCE ...................................................................................................................... 7

5.

POLITICAS DE SEGURIDAD ............................................................................................ 8

5.1.

Responsables ........................................................................................................ 8

5.2.

Ingreso y salida de equipos ................................................................................... 9

6.

POLITICAS ADMINISTRATIVAS U ORGANIZACIONALES .................................................. 9

7.

POLITICAS PARA GESTION DE ACTIVOS ....................................................................... 10

7.1.

Inventario de activos .......................................................................................... 10

7.2.

Clasificacin de la informacin ............................................................................ 10

7.3.

Rotulado de la Informacin ................................................................................. 13

8.

POLITICAS PARA SEGURIDAD DE LOS RECURSOS HUMANOS ....................................... 13

9.

POLITICAS DE SEGURIDAD FISICA ................................................................................ 14

9.1.

Controles de Acceso Fsico .................................................................................. 15

9.2.

Dispositivos de Seguridad de la Informacin ....................................................... 15

9.3.

Proteccin de Oficinas, Recintos e Instalaciones ................................................. 27

9.4.

Ubicacin y Proteccin del Equipamiento y Copias de Seguridad ........................ 28

9.5.

Mantenimiento de Equipos ................................................................................. 28

9.6.

Polticas de Escritorios y Pantallas Limpias. ......................................................... 29

9.7.

Retiro de los Bienes ............................................................................................ 30

10.

POLTICAS DE GESTIN DE LAS TELECOMUNICACIONES Y OPERACIONES ................ 30

10.1.

Documentacin de los Procedimientos Operativos ......................................... 31

10.2.

Procedimientos de Manejo de Incidentes ....................................................... 32

11.

POLTICAS DE CONTROL DE ACCESO A LOS DATOS .................................................. 33

11.1.

Reglas de Control de Acceso ........................................................................... 33

11.2.

Registro de Usuarios ....................................................................................... 34

11.3.

Administracin de Privilegios .......................................................................... 35

11.4.

Administracin de Contraseas de Usuario ..................................................... 36

11.5.

Responsabilidades del Usuario ........................................................................ 37

11.6.

Equipos Desatendidos en reas de Clientes .................................................... 38

11.7.

Acceso a Internet ............................................................................................ 39

11.8.

Identificacin y Autenticacin de los Usuarios ................................................. 39

11.9.

Sistema de Administracin de Contraseas ..................................................... 40

11.10.

Control de Acceso a las Aplicaciones ............................................................... 41

12.

POLTICAS PARA ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SOFTWARE .. 42

12.1.

Procedimiento de Control de Cambios ............................................................ 42

13.

POLTICAS PARA GESTIN DE INCIDENTES .............................................................. 43

14.

POLTICAS PARA LA CONTINUIDAD DE LA OPERACIN ............................................ 44

15.

POLTICAS PARA EL CUMPLIMIENTO Y NORMATIVIDAD LEGAL ............................... 44

1. INTRODUCCION

El objetivo de la seguridad informtica es proteger los recursos informticos valiosos

de la institucin, tales como la informacin, el hardware o el software. A travs de la
adopcin de las medidas adecuadas, la poltica de seguridad informtica ayuda a la
organizacin cumplir sus objetivos, protegiendo sus recursos financieros, sus
sistemas, su reputacin, su situacin legal, y otros bienes tanto tangibles como
inmateriales. Debe verse a la seguridad informtica, no como un objetivo en s
mismo, sino como un medio de apoyo a la consecucin de los objetivos de la
institucin.
La poltica de seguridad informtica es una invitacin a cada uno de los miembros de
la institucin a reconocer la informacin entre otras como uno de los activos
principales. Esta poltica debe concluir en una posicin consciente y vigilante del
personal por el uso y limitaciones de los recursos y servicios informticos crticos de
la institucin.
Este documento recoge las polticas y procedimientos relacionadas con la
infraestructura tecnolgica de Universitaria Virtual Internacional en cuanto a los
lineamientos referentes a temas como manejo de correo electrnico, estudio y
manejo de nuevas adquisiciones, responsabilidades administrativas, integracin con
diferentes reas de la organizacin, lineamientos sobre gestin de incidencias y
revisin de aspectos relevantes frente a mecanismos preventivos y correctivos, todo
bajo los conceptos de seguridad informtica.
Desarrollar una poltica de seguridad informtica significa planear, organizar, dirigir y
controlar las actividades tecnolgicas para mantener y garantizar la integridad fsica
de los recursos informticos, as como resguardar los activos de la institucin.

2. JUSTIFICACION
La seguridad informtica aplica tcnicas fundamentadas para preservar la
informacin y los diferentes recursos informticos con que cuenta la Universitaria
Virtual Internacional. La poltica de seguridad informtica es el conjunto de normas,
reglas, procedimientos y prcticas que regulan la proteccin de la informacin
contra la prdida de forma accidental como intencionada, al igual que garantizan la
conservacin y buen uso de los recursos informticos con que cuenta la
Universitaria Virtual Internacional.

3. OBJETIVOS
Establecer la poltica institucional en materia de Seguridad Informtica que apoye la
Seguridad de la Informacin, entendida como la preservacin de la integridad,
confidencialidad y disponibilidad, as como instrumentar y coordinar acciones para
minimizar daos a la infraestructura tecnolgica y a los sistemas informticos. El
objetivo principal de la Seguridad Informtica ser proteger desde el mbito
tecnolgico la informacin electrnica institucional, los recursos informticos y los
servicios tecnolgicos necesarios para que la Universitaria Virtual Internacional
pueda cumplir con su misin.
Los objetivos que se desean alcanzar luego de implantar esta poltica son los
siguientes:

Establecer un esquema de seguridad con perfecta claridad y

transparencia bajo la responsabilidad en la administracin del riesgo.
Comprometer a todo el personal de la Universitaria Virtual Internacional
con los procesos de seguridad informtica, agilizando la aplicacin de los
controles con dinamismo y armona.
Que la prestacin del servicio de seguridad gane en calidad.
Convertir a todo el personal de la Universitaria Virtual Internacional en
interventores y facilitadores de los procesos de seguridad informtica.

4. ALCANCE

Se definen polticas y lineamientos con el propsito de cumplir con los objetivos de

la institucin en seguridad informtica; y para ello se establecen:

Polticas de seguridad: Para definir controles que proporcionan directivas y

consejos de gestin para mejorar la seguridad de los activos de informacin.
Polticas Administrativas u Organizarles: Que define controles para facilitar
la gestin de la informacin en la Universitaria Virtual Internacional.
Polticas para Gestin de Activos: Que establece controles para catalogar los
activos y protegerlos eficazmente.
Polticas Para Seguridad de los Recursos Humanos: Que permite establecer
controles para reducir los riesgos de error humano, robo, fraude y utilizacin
abusiva de los equipamientos.
Polticas de Seguridad Fsica. Establece controles para impedir la violacin,
deterioro y la perturbacin de las instalaciones y datos.
Polticas de Gestin de las Telecomunicaciones y Operaciones: Define
controles para garantizar un funcionamiento seguro y adecuado de los
dispositivos de tratamiento de la informacin.
Polticas de Control de Acceso a los Datos: Identificar medios para impedir
accesos no autorizados y registro de los accesos efectuados.
Polticas para Adquisicin, Desarrollo y Mantenimiento de Software:
Controles para establecer racionalizacin de gastos, aspectos a tener en
cuenta al momento de adquisiciones y establecimiento de estndares.
Polticas para Gestin de Incidentes: Clasificacin de los incidentes segn el
grado en que afecten el normal funcionamiento del negocio. Controles para
gestionar las incidencias que afectan a la seguridad de la Informacin.
Polticas para la Continuidad de la Operacin: Controles para reducir los
efectos de las interrupciones de actividad y proteger los procesos esenciales
de la Universitaria Virtual Internacional contra averas y siniestros mayores.
Polticas para el Cumplimiento y Normatividad Legal: Controles para
prevenir los incumplimientos de las leyes penales o civiles, de las
obligaciones reglamentarias o contractuales

5. POLITICAS DE SEGURIDAD

Controles para proporcionar directivas y consejos de gestin para mejorar la

seguridad de los activos de informacin, para lo cual se debe disponer de los
recursos necesarios para garantizar el correcto desarrollo de los lineamientos
planteados en cada poltica propuesta.
5.1.

Responsables

El Responsable de Seguridad Informtica cumplir funciones relativas a la

seguridad de los sistemas de informacin, lo cual incluye la supervisin de
todos los aspectos inherentes a los temas tratados en la presente poltica.
Los Propietarios de la Informacin son responsables de clasificarla de
acuerdo con el grado de sensibilidad y criticidad de la misma, de documentar
y mantener actualizada la clasificacin efectuada, y de definir qu usuarios
debern tener permisos de acceso a la informacin de acuerdo a sus
funciones y competencia.
El Responsable del rea de Recursos Humanos o quin desempee esas
funciones, cumplir la funcin de notificar a todo el personal que ingresa de
sus obligaciones respecto del cumplimiento de la poltica de seguridad de la
Informacin y de todas las normas, procedimientos y prcticas que de ella
surjan. Asimismo, tendr a su cargo la notificacin de la presente poltica a
todo el personal, de los cambios que en ella se produzcan, la implementacin
de la suscripcin de los compromisos de confidencialidad (entre otros) y las
tareas de capacitacin continua en materia de seguridad.
El Responsable del rea Informtica cumplir la funcin de cubrir los
requerimientos tecnolgicos establecidos para la operacin, administracin y
comunicacin de los sistemas y recursos de tecnologa de la Institucin. Por
otra parte tendr la funcin de efectuar las tareas de desarrollo y
mantenimiento de sistemas, siguiendo una metodologa de ciclo de vida de
sistemas apropiada, y que contemple la inclusin de medidas de seguridad
en los sistemas en todas las fases.
El Responsable del rea Legal verificar el cumplimiento de la presente
Poltica en la gestin de todos los contratos, acuerdos u otra documentacin

de la institucin con sus empleados y con terceros. Asimismo, asesorar en

materia legal a la Institucin, en lo que se refiere a la seguridad de la
informacin.
Los Usuarios de la informacin y de los sistemas utilizados para su
procesamiento son responsables de conocer, dar a conocer, cumplir y hacer
cumplir la Poltica de Seguridad de la Informacin vigente.
La Unidad de Auditora Interna, es responsable de practicar auditoras
peridicas sobre los sistemas y actividades vinculadas con la tecnologa de
informacin, debiendo informar sobre el cumplimiento de las
especificaciones y medidas de seguridad de la informacin establecidas por
esta poltica.

5.2.

Ingreso y salida de equipos

Los equipos externos que ingresen a la Universitaria Virtual Internacional

deben ser registrados por el nmero de serial que lo identifica, marca,
propietario y hora de ingreso.

Para los equipos que salgan de la Universitaria Virtual Internacional se debe

verificar en la planilla el registro de ingreso confrontando el nmero de
serial, marca y fecha y complementar esta informacin con la hora de salida
y la firma de quien sale con dicho equipo.

En caso que el equipo saliente sea de propiedad de la Universitaria Virtual

Internacional debe tener autorizacin expresa por el vicerrectora de
investigacin y tecnologas.

6. POLITICAS ADMINISTRATIVAS U ORGANIZACIONALES

Controles para facilitar la gestin de la informacin en la Universitaria Virtual

Internacional, garantizando que existan responsabilidades claramente asignadas en
todos los niveles de la Universitaria Virtual Internacional, Todos los empleados y
particulares que tengan acceso a los activos de informacin de la Universitaria

Virtual Internacional, tendrn el compromiso de cumplir las polticas, normas y

procedimientos que se dicten en esta materia, as como reportar los incidentes que
detecten.

7. POLITICAS PARA GESTION DE ACTIVOS

Controles para catalogar los activos y protegerlos eficazmente. Toda la informacin

sensible, as como los activos donde sta se almacena o procesa, deben ser
inventariados, asignarles un responsable y clasificarlos de acuerdo con los
requerimientos en materia de seguridad de la informacin. A partir de esta
clasificacin se deben establecer los niveles de proteccin orientados a determinar,
a quin se le permite el manejo de la informacin, el nivel de acceso a la misma y los
procedimientos para su manipulacin. La clasificacin debe revisarse
peridicamente y atender a los cambios que se presenten en la informacin o la
estructura que puedan afectarla.

7.1.

Inventario de activos

Se identificarn los activos importantes asociados a cada sistema de informacin,

sus respectivos propietarios y su ubicacin, para luego elaborar un inventario con
dicha informacin.
El mismo ser actualizado ante cualquier modificacin de la informacin registrada y
revisado con una periodicidad semestral.
El encargado de elaborar el inventario y mantenerlo actualizado es cada
Responsable de Unidad Organizativa.

7.2.

Clasificacin de la informacin

Para clasificar un Activo de Informacin, se evaluarn las tres caractersticas de la

informacin en las cuales se basa la seguridad: confidencialidad, integridad y
disponibilidad.
Se establece el criterio de clasificacin de la informacin en funcin a estas
caractersticas:

Confidencialidad:

a. Informacin que puede ser conocida y utilizada sin autorizacin por cualquier
persona, sea empleado de la Institucin o no. Tipo: PUBLICO
b. Informacin que puede ser conocida y utilizada por todos los empleados de
la Institucin y algunas entidades externas debidamente autorizadas, y cuya
divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves
para la Institucin o terceros. Tipo: RESERVADA USO INTERNO
c. Informacin que slo puede ser conocida y utilizada por un grupo de
empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o
uso no autorizados podra ocasionar prdidas significativas a la Institucin o
a terceros. Tipo: RESERVADA - CONFIDENCIAL
d. Informacin que slo puede ser conocida y utilizada por un grupo muy
reducido de empleados, generalmente de la alta direccin de la Institucin, y
cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al
mismo, al Sector Pblico Nacional o a terceros. Tipo: RESERVADA SECRETA

Integridad

a. Informacin cuya modificacin no autorizada puede repararse fcilmente, o

no afecta la operatoria de la Institucin.
b. Informacin cuya modificacin no autorizada puede repararse aunque podra
ocasionar prdidas leves para la Institucin o terceros.
c. Informacin cuya modificacin no autorizada es de difcil reparacin y podra
ocasionar prdidas significativas para la Institucin o terceros.

d. Informacin cuya modificacin no autorizada no podra repararse,

ocasionando prdidas graves a la institucin o a terceros.

Disponibilidad:

a. Informacin cuya inaccesibilidad no afecta la operatoria de la Institucin.

b. Informacin cuya inaccesibilidad permanente durante a una semana podra
ocasionar prdidas significativas para la Institucin, el Sector Pblico
Nacional o terceros.
c. Informacin cuya inaccesibilidad permanente durante un da podra
ocasionar prdidas significativas a la Institucin, al Sector Pblico Nacional o
a terceros.
d. Informacin cuya inaccesibilidad permanente durante una hora podra
ocasionar prdidas significativas a la Institucin, al Sector Pblico Nacional o
a terceros.
Al referirse a prdidas, se contemplan aquellas mesurables (materiales) y no
mesurables (imagen, valor estratgico de la informacin, obligaciones contractuales
o pblicas, disposiciones legales, etc.).
Se asignar a la informacin un valor por cada uno de estos criterios. Luego, se
clasificar la informacin en una de las siguientes categoras:

CRITICIDAD BAJA: Ninguno de los valores asignados superan el 1.

CRITICIDAD MEDIA: Alguno de los valores asignados es 2
CRITICIDAD ALTA: alguno de los valores asignados es 3

Slo el Propietario de la Informacin puede asignar o cambiar su nivel de

clasificacin, cumpliendo con los siguientes requisitos previos:

Asignarle una fecha de efectividad.

Comunicrselo al depositario del recurso.
Realizar los cambios necesarios para que los Usuarios conozcan la nueva
clasificacin.

Luego de clasificada la informacin, el propietario de la misma identificar los

recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales
que debern tener acceso a la misma.
7.3.

Rotulado de la Informacin

Se definirn procedimientos para el rotulado y manejo de informacin, de acuerdo

al esquema de clasificacin definido. Los mismos contemplarn los recursos de
informacin tanto en formatos fsicos como electrnicos e incorporarn las
siguientes actividades de procesamiento de la informacin:
o
o
o
o

Copia
Almacenamiento
Transmisin por correo, fax, correo electrnico
Transmisin oral (telefona fija y mvil, correo de voz, contestadores
automticos, etc.).

8. POLITICAS PARA SEGURIDAD DE LOS RECURSOS HUMANOS

Controles para reducir los riesgos de error humano, robo, fraude y utilizacin
abusiva de los equipamientos. Desde la vinculacin del personal, se deben tener
controles que permitan verificar la idoneidad e identidad, tica profesional y
conducta. Los trminos y condiciones de empleo o trabajo debe establecer la
responsabilidad de los empleados, por la seguridad de los activos de informacin,
que van ms all de la finalizacin de la relacin laboral o contractual, por lo que se
debe firmar un acuerdo de confidencialidad que se hace extensivo a los contratistas
y terceros que tengan acceso a la informacin.
Deben existir mecanismos de informacin y capacitacin para los usuarios en
materia de seguridad, as como de reporte de incidentes que puedan afectarla. Los
empleados deben cooperar con los esfuerzos por proteger la informacin y ser
responsables de actualizarse en cada materia, as como consultar con el encargado
de la seguridad de la informacin, en caso de duda o desconocimiento de un
procedimiento formal, ya que esto no lo exonera de una accin disciplinaria que

deba llevarse a cabo cuando se incurra en violaciones a las polticas o normas de

seguridad.

Al momento de asignar un equipo informtico a un usuario, este debe

hacerse responsable de el mismo y comprometerse a reportar cualquier falla
y entregarlo en perfecto estado

Los propietarios de la informacin deben definir los niveles de acceso de

cada usuario.

Los nuevos empleados deben firmar un acuerdo de confidencialidad

Se deben realizar capacitaciones peridicas sobre los sistemas de

informacin y el uso de la misma

Se debe realizar capacitacin a empleados sobre aspectos de seguridad

informtica.

Los usuarios de servicios de informacin, al momento de tomar

conocimiento directo o indirectamente acerca de una debilidad de
seguridad, son responsables de registrar y comunicar las mismas al
Responsable de Seguridad Informtica.

9. POLITICAS DE SEGURIDAD FISICA

Controles para impedir la violacin, deterioro y la perturbacin de las instalaciones y

datos industriales.
Deben establecerse reas seguras para la gestin,
almacenamiento y procesamiento de informacin; stas deben contar con
protecciones fsicas y ambientales acordes a los activos que protegen.
Esta seguridad debe mantenerse en los momentos de mantenimiento, cuando la
informacin o los equipos que la contienen deben salir de la Institucin o cuando se
deben eliminar o dar de baja, para lo cual deben existir procedimientos especiales.

Los equipos de cmputo deben ser apagados todos los das, exceptuando los
servidores

Se deben definir reas seguras para el alojamiento fsico de servidores

9.1.

Controles de Acceso Fsico

Las reas protegidas se resguardarn mediante el empleo de controles de acceso

fsico, los que sern determinados por el Responsable de Seguridad Informtica
junto con el Responsable del rea Informtica, a fin de permitir el acceso slo al
personal autorizado. Estos controles de acceso fsico tendrn, por lo menos, las
siguientes caractersticas:

Supervisar o inspeccionar a los visitantes a reas protegidas y registrar la

fecha y horario de su ingreso y egreso. Slo se permitir el acceso mediando
propsitos especficos y autorizados e instruyndose al visitante en el
momento de ingreso sobre los requerimientos de seguridad del rea y los
procedimientos de emergencia.

Controlar y limitar el acceso a la informacin clasificada y a las instalaciones

de procesamiento de informacin, exclusivamente a las personas
autorizadas. Se mantendr un registro protegido para permitir auditar todos
los accesos.

9.2.

Dispositivos de Seguridad de la Informacin

A continuacin se presenta de forma general, la coleccin de recursos que

constituye la infraestructura tecnolgica y los dispositivos de seguridad que
soportan y garantizan el funcionamiento del msculo tecnolgico y de la Institucin
misma:
A. Hosting Dedicado
Este servicio permite a la Institucin contar con servidores dedicados alojados en el
Data Center para uso exclusivo de las plataformas core institucionales (portales
web, aulas virtuales, intranet, sistemas de informacin acadmico-administrativofinanciero, bases de datos). Es administrado por personal altamente calificado, con
las condiciones tcnicas de un data center, mantenimiento, monitoreo y conexin a

Internet permanente a travs de enlaces de alta velocidad y con las ventajas de

expansin en el momento requerido, y que garantizan un servicio permanente y
confiable.
El Data Center Triara de la empresa Claro Colombia est ubicado en un lugar
estratgico de gran desarrollo empresarial en la Sabana de Bogot, es un sitio que
cumple con estrictas normas de construccin y seguimiento a rigurosos estndares
de operacin, para garantizar que los sistemas de informacin y comunicaciones all
alojados estn siempre disponibles, proporcionando a la Fundacin Universitaria
Catlica del Norte un espacio con las condiciones tecnolgicas adecuadas para
atender los requerimientos de la estrategia de su negocio.
Las caractersticas generales de dicho Data Center son las siguientes:
nico Data center en la regin diseado con especificaciones TIA/EIA 942 Tier IV, ofrece una disponibilidad de sitio de 99,995% (Infraestructura, Clima
y Potencia).
1000 m2 de rea til de IDC en su primera fase con capacidad de 3000 m2,
desarrollado con caractersticas fsicas y funcionales para ofrecer niveles
superiores de redundancia en todos los subsistemas que lo componen.
Monitoreo 7x24x365
Del Subsistema Arquitectnico:
Seleccin del terreno en un rea apropiada para Data center Tier IV:
Terreno certificado con un historial de no inundaciones en los ltimos 100
aos.
Ubicacin fuera de conos de aproximacin area.
Ubicacin del edificio en una zona de bajo impacto ssmico
Diseo estructural Antiincendios, resistente a inundaciones, vendavales y
descargas elctricas.
Muros resistentes a ondas explosivas
B. Servicios plataforma computacional

Con este servicio Claro Colombia nos asigna una plataforma computacional
(hardware, software, conectividad, servicios TI), para todas las aplicaciones de
misin crtica en la institucin.
Se incluyen diferentes niveles de administracin, desde el sistema operativo,
llegando incluso hasta la administracin de aplicaciones especficas por parte del
equipo de operacin de servicios en el data center.
Algunas de las actividades que realiza el equipo de operaciones sobre los servicios
hosting virtualizado, comprende:
Administracin de Hardware (stocks, repuestos y garantas).
Administracin de los servicios de telecomunicaciones (WAN, Internet)
Administracin de los servicios de networking e infraestructura IDC
Administracin de esquemas de balanceo de carga (de ser requerido)
Administracin de polticas y herramientas de seguridad
Administracin de Sistemas Operativos
Administracin de polticas de endurecimiento de sistemas operativos
Conformacin y distribucin de esquemas de plantillas de seguridad
Control de Vigencias de Licenciamiento
Administracin de software base (antivirus, agentes de backup y software de
gestin)
Administracin de software de apoyo (p.j. FTP, DNS, Relay de Correo)
El dimensionamiento de los servicios, se realiza de acuerdo a estrictos
procedimientos de anlisis de capacidad, en donde se especifican los niveles de
disponibilidad
requeridos,
plataformas
involucradas,
previsiones
de
crecimiento/decrecimiento, distribucin de servicios, incorporacin de nuevos
desarrollos, entre otras variables.
Los servicios de Hosting y computacin tienen definidas unas caractersticas de
servicio de acuerdo a cada requerimiento, partiendo de unos servicios y
componentes bsicos como:
Servidores: Fsicos y Virtuales de diferentes especificaciones tcnicas.
Homologados con los mejores fabricantes y configurados es esquemas de
alta disponibilidad y desempeo.

Software: Licenciamiento acorde a los requerimientos de la solucin.

Incluyendo soporte y actualizaciones con sus fabricantes, distribuidores o
agentes autorizados. Licenciamiento Microsoft por consumo.
Conectividad: Servicios de conexin Internet, MPLS o de datos desde las
sedes de nuestros clientes a nivel local, regional o mundial hasta la nube de
nuestros data center. Diferentes opciones de configuracin LAN, segn
disponibilidad y trfico dimensionado. Configuraciones dedicadas a las redes
de gestin y monitoreo.
Seguridad: Servicios de Firewall e IPS (proteccin contra intrusos) para sus
permetros de conectividad, para sus capas lgicas. VPNs SSL e IPSec,
Antivirus.
Almacenamiento: A travs de opciones de plataformas con discos FC, SAS y
SATA.
Backup y continuidad: Soluciones y polticas de backup para el
almacenamiento local o externo de servidores ubicados en nuestros data
center. Opciones de replicacin sincrnica o asncrona de almacenamiento
entre nuestros data center. Toma y respaldo de imgenes de servidores
fsicos y virtuales.
Servicios de red: Balanceo de carga para servidores y/o aplicaciones a nivel
local o global, NTP, DNS, Relay de Correo, Replicacin de servidores, sistemas
operativos, aplicaciones.
Servicios: Administracin y operacin de plataformas de hardware,
aplicaciones, gestin y monitoreo. Control y gestin de cambios, eventos e
incidentes. Monitoreo avanzado, Reporting, Anlisis de vulnerabilidad y
remediacin.

Ilustracin. Esquema general de soluciones Hosting y plataforma computacional

C. Soluciones de almacenamiento y respaldo (Backup)
Almacenamiento
Las soluciones de almacenamiento estn diseadas para la gestin de
informacin crtica, con el mayor rendimiento e integradas completamente a
soluciones de conectividad, se constituyen en la mejor alternativa de
almacenamiento para datos crticos en la Universitaria Virtual Internacional.
Estas soluciones incluyen el suministro de hardware, software,
comunicaciones y servicios por parte del Data Center, permitiendo alojar
datos estructurados y no estructurados, en ambientes SAN.
Con una slida arquitectura de respaldo y recuperacin, resuelve el espectro
completo de desafos de disponibilidad de datos (99.9%) y mantiene
accesibles los datos de la institucin.
Caractersticas Principales del servicio de almacenamiento:
o Escalable: Capacidad de expansin de fcil actualizacin para un mejor
rendimiento.

o Rpida: Alto rendimiento y tiempos de respuesta rpidos para bases de

datos, correo electrnico y aplicaciones tcnicas.
o Confiable: Disponibilidad contina de datos y redundancia a nivel del
sistema para satisfacer las necesidades del negocio y aplicaciones de
misin crtica. Orientacin al estricto cumplimiento de niveles de servicio.
Niveles de almacenamiento ofrecido:
o Nivel 1: Almacenamiento externo SAN (Discos FC 15K en sistema de
almacenamiento HighEnd, para Bases de Datos). Este servicio es utilizado
por la Universitaria Virtual Internacional para almacenar la informacin
de las principales Bases de Datos: Oracle, SQL Server, PostgresSQL.
o Nivel 2: Almacenamiento externo SAN (Discos SATA 7.2K Rpm en
sistemas de almacenamiento Modular, para Aplicaciones). Este es
utilizado por la Universitaria Virtual Internacional para almacenar la
informacin de los principales sistemas de Informacin (a nivel de
directorios): Suite Academusoft/Gestasoft, Portales, Intranet, Biblioteca
Virtual, Revista Virtual, Mesa de Ayuda, Brjula Planeacin y Calidad.
o Tipos de arreglo ofrecido: Raid 5
Adems del almacenamiento presentado a cada servidor, contamos con la
disponibilidad de 1500GB de almacenamiento, para poder garantizar el
backup diario de todas las bases de datos y componentes especficos, para
luego llevarla de forma directa a cinta.
Backup
Para respaldar la informacin de la plataforma, nos ofrece su servicio de
Backup administrado, para la generacin peridica de toma de respaldo de
los archivos y/o carpetas indicadas por institucin, en un plan total para la
capacidad de Backups definida para los servidores de la red LAN del servicio
de hosting dedicado, en medios magnticos con las siguientes caractersticas:
La informacin de la Universitaria Virtual Internacional, ser respaldada en
unidades PTL de acuerdo al tipo de Backups a realizar, utilizando
infraestructura del Data Center para tal fin.

Los Backups sern ejecutados con la siguiente periodicidad:

Descripcin
Poltica
Retencin
Almacenamiento
PTL

Diaria
Incremental
7 das
Si

Semanal
Total
4 semanas
Si

Quincenal
Total
12 meses
Si

Tabla. Descripcin ejecucin Backups

Incluye Backups a travs de PTL para 750GB, respaldo por LAN para un
servidor. Respaldo del Sistema Operativo: System State, Folders, Bases de
datos en fro. Backups con cintas compartidas. Tambin incluye backup en
disco incremental diario con retencin de 7 das en disco, total semanal con
retencin de 4 semanas en disco y total mensual con retencin de 12 meses
en PTL. El Backup incremental diario NO puede superar el 25% del Total o Full
Backup.

D. Servicios administrados de Seguridad

Los servicios de seguridad administrados por personal especialista en Data Center se
constituyen en un conjunto de estrategias de suministro de plataforma,
administracin y monitoreo, buscando garantizar alta disponibilidad, la seguridad
lgica de la red, de equipos, servicios, informacin y programas de cmputo.
Esto se logra mediante la estructuracin de servicios como una nica solucin de
seguridad, el trabajo de un grupo de expertos en seguridad que realizan
constantemente acuerdos entre las partes involucradas (usuarios y responsables),
anlisis, documentacin y tareas de mantenimiento con el fin de garantizar la
confianza y tranquilidad requeridas.
La solucin que nos ofrece actualmente la empresa Claro Colombia se orienta hacia
el aseguramiento de procesos y al acompaamiento en tres frentes principales:
Requerimientos regulatorios y de certificacin

Asistencia y aseguramiento de procesos orientados al cumplimiento de

regulaciones nacionales e internacionales.
o ISO 27001
o Basilea II
o SARO
o SAS 70
o Sarbanes-Oxley
o Regulaciones de seguridad de la Contralora General.
Disminuir la complejidad operacional
Busca optimizar la administracin de seguridad en la institucin y transferirle
estos beneficios disminuyendo la conectividad de TI, consolidando y
estandarizando infraestructura y realizando las inversiones en dispositivos de
seguridad integrando mltiples proveedores.
Control de amenazas
Dicha solucin integra al Centro de Operaciones de Seguridad SOC, el cual
est permanentemente revisando las polticas de seguridad acordadas con la
Universitaria Virtual Internacional, vigilando constantemente las posibles
vulnerabilidades y fallas en los sistemas y componentes de la solucin, en
conjunto con nuestro Centro de Operaciones de Red NOC. La integracin
de estas polticas de seguridad con las soluciones de conectividad, as como
la revisin de mtricas desempeo y el comportamiento, marcan la total
integracin de la solucin.
Firewall
Centralizado (en la nube CLARO Colombia) para 3000Kbps
Provee un filtro y la administracin de polticas de seguridad que
protegen eficientemente la red de institucin.
Ubicado en los IDC Claro Colombia, se administra bajo polticas
estndar de seguridad definidas por el SOC. Maximiza el desempeo
de nuestra solucin.

Caractersticas del Firewall de nuestra solucin

FIREWALL
Centralizado de 8192K
365
Das de Gestin y Monitoreo
DOC/SOC
3
Cambios de reglas/polticas por
mes

45
Das de Logs

100
Reglas/Polticas

1
Plataforma Centralizada /Alta
Disponibilidad

750
Sesiones concurrentes para
5MB

Reporte Mensual x Mail:

- Reporte de reglas configuradas
- Top 10 puertos por ancho de banda
- Resumen de eventos
- Distribucin de protocolos por da durante el
mes

Tabla. Caractersticas Firewall

IPS
Centralizado (en la nube del data center) para 3000Kbps
Ubicado en los IDC, se administra y gestiona bajo polticas estndar
de seguridad definidas por el SOC. Provee inteligencia adicional al
nuestra solucin de Firewall Administrado.

Esta estrategia permite agregar un nivel superior de seguridad a la red de la

Universitaria Virtual Internacional, estableciendo una slida metodologa de
prevencin y defensa ante ataques.

Ilustracin. Descripcin proceso IPS

Servicios que incluye nuestra solucin:
IPS

Centralizado

Incluye detencin
prevencin de
intrusos y/o
ataques basados
en:
Suscripcin
(Grupo
mundial de
investigacin
de amenazas)
Polticas o
perfiles de alto,
mediano y bajo
control

Especializado en
trfico comn (por
ej., http, smtp, ftp,
trafico SQL entre
otros.

Funcionalidades
de Anti spyware
perimetral (evita
la infeccin y
reproduccin)

Control de trfico
especializado
para telefona IP
(H323, SIP)

No soporta
protocolos
cifrados

Plataforma en Alta
Disponibilidad

Reporte mensual
enviado por E-mail

Gestin y
monitoreo
7 * 24
Personalizaci
n de alertas de
notificaciones
por ocurrencia
de eventos
(Opcional)
200 sesiones
concurrentes
por cada MB
de BW

Resumen Top
de eventos.
Top de origen
de eventos
Top de destino
de eventos
Resumen de la
tendencia de
los eventos de
seguridad

45 Das de Logs
Soporta direccionamiento valido desde CPE, No soporta direccionamiento invalido (requiere traslacin de direcciones invalidas a
validas en el CPE o en equipo de punto central)

Tabla. Descripcin servicios IPS

CONTROL DE NAVEGACIN
Centralizado (en la nube del data center)
Servicio de filtrado url, se crean perfiles y permite la navegacin a un
grupo de usuarios hacia unas categoras de navegacin y restringe
hacia otras.

ADMON. ANCHO DE BANDA

Centralizado (en la nube del data center)
Permite controlar el ancho de banda utilizado por IPs en particulares,
protocolos, grupos y/o servicios. Dicho servicio nos permite
garantizar rapidez y calidad de servicio (QoS) para la salida a internet.

VPNS

VPN IPSec
VPN SSL para servicios Hosting y/o Colocation
Por medio de este servicio se realiza la administracin de los
servidores que se encuentran en la modalidad de Hosting dedicado
virtualizado.

E. Centro de Operaciones de Seguridad SOC

El Centro de Operaciones de Seguridad del data center - SOC est conformado por
un grupo de expertos en seguridad. Orientado a controlar, monitorear y ajustar las
polticas de seguridad de las soluciones que as lo requieren.
Alcance del SOC
Las principales actividades en capacidad de desarrollo por parte del equipo SOC y
sus integrados, son:
Levantamiento de informacin.
Anlisis de vulnerabilidades y remediacin.
Definicin de las polticas y reglas de
seguridad.
Configuracin de servicios.
Aseguramiento de la calidad.
Consultoras para el establecimiento de
planes de recuperacin ante desastres y
esquemas de continuidad del negocio.

Administracin de la configuracin.
Administracin de cambios.
Gestin de problemas.
Monitoreo de los equipos.
Monitoreo de polticas.
Monitoreo de seguridad 7X24X365.
Apoyo en la implementacin de polticas y
configuraciones de seguridad.
Apoyo en la operacin de contingencia
(DRP).

Adicionalmente, algunos de los controles sugeridos por algunas normas

internacionales al respecto, realizados y homologados dentro de las buenas
prcticas del SOC son:
COBIT DS 5.19.
COBIT DS 7.5.
COBIT DS 9.
COBIT DS 10.
NTC-ISO/IEC 27001
NTC-ISO/IEC 27001

Deteccin y prevencin y correlacin de eventos

Monitorizacin
Gerenciamiento de Configuraciones
Gerenciamiento de Problemas e Incidentes
Protecciones contra cdigos maliciosos
Sistemas de control de acceso a informacin

F. Disponibilidad
Actualmente los servicios contratados por la Universitaria Virtual Internacional,
incluyen:
Conectividad a Internet por medio de 1 enlace desde Datacenter con alta
disponibilidad de 3000Kbps
Dispositivos perimetrales, Firewall Dedicado.
Dispositivo de seguridad de alto desempeo, que est instalado en el
Datacenter con el fin de aislar, controlar y auditar el trfico que circula hacia
y desde los servidores en hosting.
Monitoreo 24 x 7 de la funcionalidad del firewall e IPS.
Soporte tcnico las 24 horas los 365 das del ao, cubriendo los aspectos de
conectividad a Internet hasta la interfase de conexin con la red privada de
la institucin.
Backups de la configuracin del firewall.
Updates y hot fixes: se actualizan proactivamente en el firewall a medida que
sean liberados por el fabricante, los updates y hot fixes que afecten la
funcionalidad del firewall. Igualmente se aplican a nivel de Sistemas
Operativos y plataforma de virtualizacin.
Cambios de polticas mensuales: servicio de administracin de los
dispositivos de seguridad, cubriendo los cambios de polticas.
Todos los servidores se gestionan mediante el servicio de VPN (Virtual
Private Network/Red Privada Virtual).
Alcance de los niveles de disponibilidad en DataCenter
Servicio
Hosting y Seguridad
MPLS
Internet DataCenter

Disponibilidad

Cubrimiento

99.7%
99.7%
99.7%

DataCenter
DataCenter
DataCenter

Tabla Disponibilidad DataCenter

Acuerdos de niveles de servicios de Operacin

Indicador
Satisfaccin

Meta
85%

Descripcin
Es un indicador perceptual que seala el nivel de
complacencia que tienen los usuarios del servicio

Seguridad

100%

Ordenes de trabajo

90%

Plan de Produccin

97%

Reportes de Gestin

95%

Disponibilidad
de Informacin

Sistemas

99.7%

con este y con el prestador del mismo.

Ejecucin exitosa del Schedule de Backups.
Ejecucin exitosa de las restauraciones solicitadas
por demanda o programadas.
Oportunidad en la ejecucin del plan de
recuperaciones.
Oportunidad en la ejecucin de las rdenes de
trabajo, segn la clasificacin respectiva.
Ejecucin oportuna y con calidad de los procesos
programados en el plan de produccin.
Oportunidad en la entrega de los reportes
mensuales, incluye puntualidad en su entrega y
calidad en el mismo.
Llevar el registro de la disponibilidad de los sistemas
de informacin: Suite Academusoft/Gestasoft, Portal
e Intranet de SharePoint, Biblioteca Virtual, Revista
Virtual, Mesa de Ayuda, Brjula Calidad y
Planeacin.

Tabla Acuerdos de niveles de servicios de operacin

9.3.

Proteccin de Oficinas, Recintos e Instalaciones

Para la seleccin y el diseo de un rea protegida se tendr en cuenta la posibilidad

de dao producido por incendio, inundacin, explosin, agitacin civil, y otras
formas de desastres naturales o provocados por el hombre. Tambin se tomarn en
cuenta las disposiciones y normas (estndares) en materia de sanidad y seguridad.
Asimismo, se considerarn las amenazas a la seguridad que representan los edificios
y zonas aledaas, por ejemplo, filtracin de agua desde otras instalaciones.
Se establecen las siguientes medidas de proteccin para reas protegidas:

Ubicar las instalaciones crticas en lugares a los cuales no pueda acceder

personal no autorizado.
Establecer que las puertas y ventanas permanecern cerradas cuando no
haya vigilancia. Se agregar proteccin externa a las ventanas, en
particular las que se encuentran en planta baja o presenten riesgos
especiales.

9.4.

Separar las instalaciones de procesamiento de informacin administradas

por la Universitaria Virtual Internacional de aquellas administradas por
terceros.
Restringir el acceso pblico a las guas telefnicas y listados de telfonos
internos que identifican las ubicaciones de las instalaciones de
procesamiento de informacin sensible.
Almacenar los materiales peligrosos o combustibles en los siguientes
lugares seguros a una distancia prudencial de las reas protegidas de la
Institucin.
Almacenar los equipos redundantes y la informacin de resguardo (back
up) en un sitio seguro y distante del lugar de procesamiento, para evitar
daos ocasionados ante eventuales contingencias en el sitio principal
Ubicacin y Proteccin del Equipamiento y Copias de Seguridad

El equipamiento ser ubicado y protegido de tal manera que se reduzcan los riesgos
ocasionados por amenazas y peligros ambientales, y las oportunidades de acceso no
autorizado, teniendo en cuenta los siguientes puntos:

Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y

provea un control de acceso adecuado.

Ubicar las instalaciones de procesamiento y almacenamiento de informacin

que manejan datos clasificados, en un sitio que permita la supervisin
durante su uso.

Aislar los elementos que requieren proteccin especial para reducir el nivel
general de proteccin requerida. Y adoptar controles adecuados para
minimizar el riesgo de amenazas potenciales, por: robo o hurto, incendio,
explosivos, humo, inundaciones o filtraciones de agua (o falta de suministro),
polvo, vibraciones, efectos qumicos, interferencia en el suministro de
energa elctrica (cortes de suministro, variacin de tensin), radiacin
electromagntica, derrumbes.

9.5.

Mantenimiento de Equipos

Se realizar el mantenimiento del equipamiento para asegurar su disponibilidad e

integridad permanentes. Para ello se debe considerar:

Someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo

con los intervalos de servicio y especificaciones recomendados por el
proveedor y con la autorizacin formal de la Direccin de Tecnologas y
Apoyo. La direccin mantendr un listado actualizado del equipamiento con
el detalle de la frecuencia en que se realizar el mantenimiento preventivo.

Establecer que slo el personal de mantenimiento autorizado puede brindar

mantenimiento y llevar a cabo reparaciones en el equipamiento.

Registrar todas las fallas supuestas o reales y todo el mantenimiento

preventivo y correctivo realizado.

Registrar el retiro de equipamiento de las instalaciones de la Universitaria

Virtual Internacional para su mantenimiento.

Eliminar la informacin confidencial que contenga cualquier equipamiento

que sea necesario retirar, realizndose previamente las respectivas copias de
resguardo.

9.6.

Polticas de Escritorios y Pantallas Limpias.

Se adopta una poltica de escritorios limpios para proteger documentos en papel y

una poltica de pantallas limpias en las instalaciones de procesamiento de
informacin, a fin de reducir los riesgos de acceso no autorizado, prdida y dao de
la informacin, tanto durante el horario normal de trabajo como fuera del mismo.
Se aplicarn los siguientes lineamientos:

Almacenar bajo llave, cuando corresponda, los documentos en papel y los

medios informticos, en gabinetes y/u otro tipo de mobiliario seguro cuando
no estn siendo utilizados, especialmente fuera del horario de trabajo.

Guardar bajo llave la informacin sensible o crtica de la Institucin

(preferentemente en una caja fuerte o gabinete a prueba de incendios)
cuando no est en uso, especialmente cuando no hay personal en la oficina.

Desconectar de la red / sistema / servicio las computadoras personales,

terminales e impresoras asignadas a funciones crticas, cuando estn
desatendidas. Las mismas deben ser protegidas mediante cerraduras de
seguridad, contraseas u otros controles cuando no estn en uso (como por
ejemplo la utilizacin de protectores de pantalla con contrasea). Los
responsables de cada rea mantendrn un registro de las contraseas o
copia de las llaves de seguridad utilizadas en el sector a su cargo. Tales
elementos se encontrarn protegidos en sobre cerrado o caja de seguridad
para impedir accesos no autorizados, debiendo dejarse constancia de todo
acceso a las mismas, y de los motivos que llevaron a tal accin.

Proteger los puntos de recepcin y envo de correo electrnico y postal y las

mquinas de fax no atendidas.

9.7.

Retiro de los Bienes

El equipamiento, la informacin y el software no sern retirados de la sede de la

Institucin sin autorizacin formal. Peridicamente, se llevarn a cabo
comprobaciones puntuales para detectar el retiro no autorizado de activos de la
Institucin, las que sern llevadas a cabo. El personal ser puesto en conocimiento
de la posibilidad de realizacin de dichas comprobaciones.

10. POLTICAS DE GESTIN DE LAS TELECOMUNICACIONES Y OPERACIONES

Controles para garantizar un funcionamiento seguro y adecuado de los dispositivos

de tratamiento de la informacin. Deben documentarse los procedimientos y
responsabilidades de administracin y seguridad que sean necesarios en cada
ambiente tecnolgico y fsico, garantizando un adecuado control de cambios y el
seguimiento a estndares de seguridad que deben definirse, as como el

seguimiento a los incidentes de seguridad que puedan presentarse. Debe buscarse

una adecuada segregacin de funciones.
Deben garantizarse una adecuada planificacin y aprobacin de los sistemas de
informacin que consideren o provean las necesidades de capacidad futura. Deben
considerarse protecciones contra software malicioso y un adecuado mantenimiento
y administracin de la red, as como un adecuado cuidado de los medios de
almacenamiento y seguridad en el intercambio de informacin.

10.1. Documentacin de los Procedimientos Operativos

Se documentarn y mantendrn actualizados los procedimientos operativos

identificados en esta Poltica y sus cambios sern autorizados por el Responsable de
Informtica o dueo de cada proceso.
Los procedimientos especificarn instrucciones para la ejecucin detallada de cada
tarea, incluyendo:

Procesamiento y manejo de la informacin.

Requerimientos de programacin de procesos, interdependencias con otros
sistemas, tiempos de inicio de las primeras tareas y tiempos de terminacin
de las ltimas tareas.
Instrucciones para el manejo de errores u otras condiciones excepcionales
que puedan surgir durante la ejecucin de tareas.
Restricciones en el uso de utilitarios del sistema.
Personas de soporte a contactar en caso de dificultades operativas o tcnicas
imprevistas.
Instrucciones especiales para el manejo de salidas, como el uso de
papelera especial o la administracin de salidas confidenciales, incluyendo
procedimientos para la eliminacin segura de salidas fallidas de tareas.
Reinicio del sistema y procedimientos de recuperacin en caso de producirse
fallas en el sistema.

Se preparar adicionalmente documentacin sobre procedimientos referidos a las

siguientes actividades:

Instalacin y mantenimiento de equipamiento para el procesamiento de

informacin y comunicaciones.
Instalacin y mantenimiento de las plataformas de procesamiento.
Monitoreo del procesamiento y las comunicaciones.
Inicio y finalizacin de la ejecucin de los sistemas.
Programacin y ejecucin de procesos.
Gestin de servicios.
Resguardo de informacin.
Gestin de incidentes de seguridad en el ambiente de procesamiento y
comunicaciones.
Reemplazo o cambio de componentes del ambiente de procesamiento y
comunicaciones
Uso del correo electrnico.

10.2. Procedimientos de Manejo de Incidentes

Se establecern funciones y procedimientos de manejo de incidentes garantizando

una respuesta rpida, eficaz y sistemtica a los incidentes clasificndolos de acuerdo
al nivel de complejidad ya sea de primer o segundo nivel.
En el caso de tercerizar la administracin de las instalaciones de procesamiento, se
acordarn controles con el proveedor del servicio y se incluirn en el contrato,
contemplando las siguientes cuestiones especficas:

Identificar las aplicaciones sensibles o crticas que convenga retener en la

Institucin.
Obtener la aprobacin de los propietarios de aplicaciones especficas.
Identificar las implicancias para la continuidad de los planes de las
actividades de la Institucin.
Especificar las normas de seguridad y el proceso de medicin del
cumplimiento.

Asignar funciones especficas y procedimientos para monitorear todas las

actividades de seguridad.
Definir las funciones y procedimientos de comunicacin y manejo de
incidentes relativos a la seguridad.

Dichas consideraciones debern ser acordadas entre el Responsable de Seguridad

Informtica, el Responsable de la Direccin de Tecnologas y Apoyo y el Responsable
del rea Legal de la Institucin.

11. POLTICAS DE CONTROL DE ACCESO A LOS DATOS

Medios para impedir accesos no autorizados y registro de los accesos efectuados.

Deben establecerse medidas de control de acceso a las dependencias de cada
entidad y a los diferentes niveles de la plataforma tecnolgica, tales como la red,
sistemas operativos y aplicaciones, as como a la informacin fsica que tenga un
componente de seguridad. Estas medidas estarn soportadas en el desarrollo de la
cultura de seguridad de las personas que laboran en la Universitaria Virtual
Internacional y buscarn limitar y monitorear el acceso a los activos de informacin
requeridos para el trabajo, de acuerdo con su clasificacin y manejando controles,
en dispositivos y servicios que permitan identificar los niveles de acceso que los
usuarios deben tener.
Los usuarios sern responsables de realizar un adecuado uso de las herramientas de
seguridad que se ponen a su disposicin.

11.1. Reglas de Control de Acceso

Las reglas de control de acceso especificadas, debern:

Indicar expresamente si las reglas son obligatorias u optativas

Establecer reglas sobre la premisa Todo debe estar prohibido a menos que
se permita expresamente y no sobre la premisa inversa de Todo est
permitido a menos que se prohba expresamente.
Controlar los cambios en los rtulos de informacin que son iniciados
automticamente por herramientas de procesamiento de informacin, de
aquellos que son iniciados a discrecin del usuario
Controlar los cambios en los permisos de usuario que son iniciados
automticamente por el sistema de informacin y aquellos que son iniciados
por el administrador.
Controlar las reglas que requieren la aprobacin del administrador o del
Propietario de la Informacin de que se trate, antes de entrar en vigencia, y
aquellas que no requieren aprobacin

11.2. Registro de Usuarios

El Responsable de Seguridad Informtica definir un procedimiento formal de

registro de usuarios para otorgar y revocar el acceso a todos los sistemas, bases de
datos y servicios de informacin multiusuario, el cual debe comprender:

Utilizar identificadores de usuario nicos, de manera que se pueda identificar

a los usuarios por sus acciones evitando la existencia de mltiples perfiles de
acceso para un mismo empleado. El uso de identificadores grupales slo
debe ser permitido cuando sean convenientes para el trabajo a desarrollar
debido a razones operativas.
Verificar que el usuario tiene autorizacin del Propietario de la Informacin
para el uso del sistema, base de datos o servicio de informacin.
Verificar que el nivel de acceso otorgado es adecuado para el propsito de la
funcin del usuario y es coherente con la Poltica de Seguridad de la
Institucin, por ejemplo que no compromete la separacin de tareas.
Entregar a los usuarios un detalle escrito de sus derechos de acceso.
Requerir que los usuarios firmen declaraciones sealando que comprenden y
aceptan las condiciones para el acceso.

Garantizar que los proveedores de servicios no otorguen acceso hasta que se

hayan completado los procedimientos de autorizacin.
Mantener un registro formal de todas las personas registradas para utilizar el
servicio.
Cancelar inmediatamente los derechos de acceso de los usuarios que
cambiaron sus tareas, o de aquellos a los que se les revoc la autorizacin, se
desvincularon de la Institucin o sufrieron la prdida/robo de sus
credenciales de acceso.
Efectuar revisiones peridicas con el objeto de cancelar identificadores y
cuentas de usuario redundante, inhabilitar cuentas inactivas por ms de 30
das.
En el caso de existir excepciones, debern ser debidamente justificadas y
aprobadas.
Garantizar que los identificadores de usuario redundantes no se asignen a
otros usuarios.
Incluir clusulas en los contratos de personal y de servicios que especifiquen
sanciones si el personal o los agentes que prestan un servicio intentan
accesos no autorizados.

11.3. Administracin de Privilegios

Se limitar y controlar la asignacin y uso de privilegios, debido a que el uso

inadecuado de los privilegios del sistema resulta frecuentemente en el factor ms
importante que contribuye a la falla de los sistemas a los que se ha accedido
ilegalmente.
Los sistemas multiusuario que requieren proteccin contra accesos no autorizados,
deben prever una asignacin de privilegios controlada mediante un proceso de
autorizacin formal. Se deben tener en cuenta los siguientes pasos:

Identificar los privilegios asociados a cada producto del sistema, por ejemplo
sistema operativo, sistema de administracin de bases de datos y
aplicaciones, y las categoras de personal a las cuales deben asignarse los
productos.

Asignar los privilegios a individuos sobre la base de la necesidad de uso y

evento por evento, por ejemplo el requerimiento mnimo para su rol
funcional.
Mantener un proceso de autorizacin y un registro de todos los privilegios
asignados. Los privilegios no deben ser otorgados hasta que se haya
completado el proceso formal de autorizacin.
Establecer un perodo de vigencia para el mantenimiento de los privilegios
(en base a la utilizacin que se le dar a los mismos) luego del cual los
mismos sern revocados.
Promover el desarrollo y uso de rutinas del sistema para evitar la necesidad
de otorgar privilegios a los usuarios.

Los Propietarios de Informacin sern los encargados de aprobar la asignacin de

privilegios a usuarios y solicitar su implementacin, lo cual ser supervisado por el
Responsable de Seguridad Informtica

11.4. Administracin de Contraseas de Usuario

La asignacin de contraseas se controlar a travs de un proceso de administracin

formal, mediante el cual deben respetarse los siguientes pasos:

Requerir que los usuarios firmen una declaracin por la cual se

comprometen a mantener sus contraseas personales en secreto y las
contraseas de los grupos de trabajo exclusivamente entre los miembros del
grupo. Esta declaracin bien puede estar incluida en el Compromiso de
Confidencialidad
Garantizar que los usuarios cambien las contraseas iniciales que les han sido
asignadas la primera vez que ingresan al sistema. Las contraseas
provisorias, que se asignan cuando los usuarios olvidan su contrasea, slo
debe suministrarse una vez identificado el usuario.
Generar contraseas provisorias seguras para otorgar a los usuarios. Se debe
evitar la participacin de terceros o el uso de mensajes de correo electrnico

sin proteccin (texto claro) en el mecanismo de entrega de la contrasea y

los usuarios deben dar acuse de recibo cuando la reciban.

Almacenar las contraseas slo en sistemas informticos protegidos.

Configurar los sistemas de tal manera que:

a. Las contraseas tengan no menos a de 8 caracteres ,
b. Suspensin o bloqueen permanentemente al usuario luego de 3
intentos de entrar con una contrasea incorrecta (deber pedir la
rehabilitacin ante quien corresponda),
c. Solicitar el cambio de la contrasea cada 30 das,
d. Impedir que las ltimas 12 contraseas sean reutilizadas.

11.5. Responsabilidades del Usuario

Uso de contrasea: Los usuarios deben seguir buenas prcticas de seguridad en la

seleccin y uso de contraseas. Las contraseas constituyen un medio de validacin
y autenticacin de la identidad de un usuario, y consecuentemente un medio para
establecer derechos de acceso a las instalaciones o servicios de procesamiento de
informacin.
Los usuarios deben cumplir las siguientes directivas:

Mantener las contraseas en secreto.

Pedir el cambio de la contrasea siempre que exista un posible indicio de
compromiso del sistema o de las contraseas.
Seleccionar contraseas de calidad, de acuerdo a las prescripciones
informadas por el Responsable del Activo de Informacin de que se trate,
donde:
a. Sean fciles de recordar.

b. No estn basadas en algn dato que otra persona pueda adivinar u

obtener fcilmente mediante informacin relacionada con la persona,
por ejemplo nombres, nmeros de telfono, fecha de nacimiento, etc.
c. No tengan caracteres idnticos consecutivos o grupos totalmente
numricos o totalmente alfabticos.
Cambiar las contraseas cada vez que el sistema se lo solicite y evitar
reutilizar o reciclar viejas contraseas.
Cambiar las contraseas provisorias en el primer inicio de sesin (log on).
Evitar incluir contraseas en los procesos automatizados de inicio de sesin,
por ejemplo, aquellas almacenadas en una tecla de funcin o macro.
Notificar cualquier incidente de seguridad relacionado con sus contraseas:
prdida, robo o indicio de prdida de confidencialidad.

11.6. Equipos Desatendidos en reas de Clientes

Los usuarios debern garantizar que los equipos desatendidos sean protegidos
adecuadamente. Los equipos instalados en reas de usuarios, por ejemplo
estaciones de trabajo o servidores de archivos, requieren una proteccin especfica
contra accesos no autorizados cuando se encuentran desatendidos.
El Responsable de Seguridad Informtica debe coordinar con el rea de Recursos
Humanos las tareas de concientizacin a todos los usuarios y contratistas, acerca de
los requerimientos y procedimientos de seguridad, para la proteccin de equipos
desatendidos, as como de sus funciones en relacin a la implementacin de dicha
proteccin.
Los usuarios cumplirn con las siguientes pautas:

Concluir las sesiones activas al finalizar las tareas, a menos que puedan
protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un
protector de pantalla protegido por contrasea.
Proteger las PCs o terminales contra usos no autorizados mediante un
bloqueo de seguridad o control equivalente, por ejemplo, contrasea de
acceso cuando no se utilizan.

11.7. Acceso a Internet

El acceso a Internet ser utilizado con propsitos autorizados o con el destino por el
cual fue provisto.
El Responsable de Seguridad Informtica definir procedimientos para solicitar y
aprobar accesos a Internet. Los accesos sern autorizados formalmente por el
Responsable de la Unidad Organizativa a cargo del personal que lo solicite.
Asimismo, se definirn las pautas de utilizacin de Internet para todos los usuarios.
Se evaluar la conveniencia de generar un registro de los accesos de los usuarios a
Internet, con el objeto de realizar revisiones de los accesos efectuados o analizar
casos particulares.
Dicho control ser comunicado a los usuarios de acuerdo a lo establecido en el
punto Compromiso de Confidencialidad. Para ello, el Responsable de Seguridad
Informtica junto con el Responsable del rea de Informtica analizarn las medidas
a ser implementadas para efectivizar dicho control, como ser la instalacin de
firewalls, proxis, etc.

11.8. Identificacin y Autenticacin de los Usuarios

Todos los usuarios (incluido el personal de soporte tcnico, los operadores,

administradores de red, programadores de sistemas y administradores de bases de
datos) tendrn un identificador nico (ID de usuario) solamente para su uso
personal exclusivo, de manera que las actividades puedan rastrearse con
posterioridad hasta llegar al individuo responsable. Los identificadores de usuario no
darn ningn indicio del nivel de privilegio otorgado.
En circunstancias excepcionales, cuando existe un claro beneficio para la Institucin,
podr utilizarse un identificador compartido para un grupo de usuarios o una tarea
especfica. Para casos de esta ndole, se documentar la justificacin y aprobacin
del Propietario de la Informacin de que se trate.

11.9. Sistema de Administracin de Contraseas

Las contraseas constituyen uno de los principales medios de validacin de la

autoridad de un usuario para acceder a un servicio informtico. Los sistemas de
administracin de contraseas deben constituir una herramienta eficaz e interactiva
que garantice contraseas de calidad.
El sistema de administracin de contraseas debe:

Imponer el uso de contraseas individuales para determinar

responsabilidades.
Permitir que los usuarios seleccionen y cambien sus propias contraseas
(luego de cumplido el plazo mnimo de mantenimiento de las mismas) e
incluir un procedimiento de confirmacin para contemplar los errores de
ingreso.
Imponer una seleccin de contraseas de calidad segn lo sealado en el
punto Uso de Contraseas.
Imponer cambios en las contraseas en aquellos casos en que los usuarios
mantengan sus propias contraseas, segn lo sealado en el punto Uso de
Contraseas.
Obligar a los usuarios a cambiar las contraseas provisorias en su primer
procedimiento de identificacin, en los casos en que ellos seleccionen sus
contraseas.
Mantener un registro de las ltimas contraseas utilizadas por el usuario, y
evitar la reutilizacin de las mismas.
Evitar mostrar las contraseas en pantalla, cuando son ingresadas.
Almacenar en forma separada los archivos de contraseas y los datos de
sistemas de aplicacin.
Almacenar las contraseas en forma cifrada utilizando un algoritmo de
cifrado unidireccional.
Modificar todas las contraseas predeterminadas por el vendedor, una vez
instalado el software y el hardware (por ejemplo claves de impresoras, hubs,
routers, etc.).

Garantizar que el medio utilizado para acceder/utilizar el sistema de

contraseas.

11.10. Control de Acceso a las Aplicaciones

Restriccin del Acceso a la Informacin: Los usuarios de sistemas de aplicacin, con

inclusin del personal de soporte, tendrn acceso a la informacin y a las funciones
de los sistemas de aplicacin de conformidad con la Poltica de Control de Acceso
definida, sobre la base de los requerimientos de cada aplicacin, y conforme a la
Poltica de la Institucin para el acceso a la informacin, (Ver 9.1. Requerimientos
para el Control de Acceso).
Se aplicarn los siguientes controles, para brindar apoyo a los requerimientos de
limitacin de accesos:

Proveer una interfaz para controlar el acceso a las funciones de los sistemas
de aplicacin. El Propietario de la Informacin involucrada ser responsable
de la adjudicacin de accesos a las funciones. En el caso de que las
actividades involucradas en el otorgamiento de acceso revistan un carcter
tcnico elevado, las mismas sern llevadas a cabo por personal del rea de
sistemas, conforme a una autorizacin formal emitida por el Propietario de la
Informacin.
Restringir el conocimiento de los usuarios acerca de la informacin o de las
funciones de los sistemas de aplicacin a las cuales no sean autorizados a
acceder, con la adecuada edicin de la documentacin de usuario.
Controlar los derechos de acceso de los usuarios, por ejemplo, lectura,
escritura, supresin y ejecucin.
Garantizar que las salidas de los sistemas de aplicacin que administran
informacin sensible, contengan slo la informacin que resulte pertinente
para el uso de la salida, y que la misma se enve solamente a las terminales y
ubicaciones autorizadas.
Revisar peridicamente dichas salidas a fin de garantizar la remocin de la
informacin redundante.

Restringir el acceso a la informacin por fuera del sistema encargado de su

procesamiento, es decir, la modificacin directa del dato almacenado.

12. POLTICAS PARA ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE

SOFTWARE

Controles para garantizar que la Poltica de Seguridad est incorporada a los

sistemas de informacin. Asegurar que se haga un adecuado anlisis e
implementacin de los requerimientos del software desde su diseo, ya sea interno
o adquirido, que incluya garantas de validacin de usuarios y datos de entrada y
salida, as como de los procesos mismos, de acuerdo con la clasificacin de los
activos a gestionar en la herramienta. Adems se establecern controles para cifrar
la informacin confidencial y se buscar evitar la posibilidad de una accin indebida
por parte de un usuario del sistema. Igualmente, se deben asegurar los archivos del
sistema y mantener un control adecuado de los cambios que puedan presentarse.
La implantacin de nuevas herramientas de Hardware y Software, de sistemas de
informacin y de otros recursos informticos, deben cumplir con las polticas
definidas
12.1. Procedimiento de Control de Cambios

A fin de minimizar los riesgos de alteracin de los sistemas de informacin, se

implementarn controles estrictos durante la implementacin de cambios
imponiendo el cumplimiento de procedimientos formales. stos garantizarn que se
cumplan los procedimientos de seguridad y control, respetando la divisin de
funciones.
Para ello se establecer un procedimiento que incluya las siguientes
consideraciones:

Verificar que los cambios sean propuestos por usuarios autorizados y respete
los trminos y condiciones que surjan de la licencia de uso.
Mantener un registro de los niveles de autorizacin acordados.

Solicitar la autorizacin del Propietario de la Informacin, en caso de tratarse

de cambios a sistemas de procesamiento de la misma. Identificar todos los
elementos que requieren modificaciones (software, bases de datos,
hardware).
Revisar los controles y los procedimientos de integridad para garantizar que
no sern comprometidos por los cambios.
Obtener aprobacin formal por parte del Responsable del rea Informtica
para las tareas detalladas, antes que comiencen las tareas.
Solicitar la revisin del Responsable de Seguridad Informtica para garantizar
que no se violen los requerimientos de seguridad que debe cumplir el
software.
Efectuar las actividades relativas al cambio en el ambiente de desarrollo.
Obtener la aprobacin por parte del usuario autorizado y del rea de
pruebas mediante pruebas en el ambiente correspondiente.
Actualizar la documentacin para cada cambio implementado, tanto de los
manuales de usuario como de la documentacin operativa.
Mantener un control de versiones para todas las actualizaciones de software.
Garantizar que la implementacin se llevar a cabo minimizando la
discontinuidad de las actividades y sin alterar los procesos involucrados.
Informar a las reas usuarias antes de la implementacin de un cambio que
pueda afectar su operatoria.
Garantizar que sea el implementador quien efecte el pasaje de los objetos
modificados al ambiente operativo, de acuerdo a lo establecido en Control
del Software Operativo.

13. POLTICAS PARA GESTIN DE INCIDENTES

Procedimiento a seguir en caso de ocurrencia de incidentes. De acuerdo a una

clasificacin de los incidentes segn el grado en que afecten el normal
funcionamiento del negocio.
Asegurar que se haga una adecuada evaluacin del impacto en la Institucin frente a
los eventos relevantes, realizar planes de atencin de incidentes y mejora de
procesos, para aquellos eventos que resulten crticos para la supervivencia del

mismo. Estos planes deben considerar medidas tcnicas, administrativas y de

vnculo con entidades externas; deben probarse y revisarse peridicamente; y deben
estar articulados en todo la Institucin con los diferentes tipos de recursos
tecnolgicos y no tecnolgicos.

14. POLTICAS PARA LA CONTINUIDAD DE LA OPERACIN

Controles para reducir los efectos de las interrupciones de actividad y proteger los
procesos esenciales de la empresa contra averas y siniestros mayores.
Se debe evaluar el impacto de los diferentes procesos en la Institucin y realizar
planes de mitigacin y continuidad para aquellos que resulten crticos. Los planes de
mitigacin y continuidad deben considerar medidas tanto tcnicas como
administrativas y de vnculo con entidades externas; deben probarse y revisarse
peridicamente, y deben permanecer articulados con los diferentes recursos
tecnolgicos y no tecnolgicos existentes en todo la Institucin.

15. POLTICAS PARA EL CUMPLIMIENTO Y NORMATIVIDAD LEGAL

Controles para prevenir los incumplimientos de las leyes penales o civiles, de las
obligaciones reglamentarias o contractuales. Garantizar que se d cumplimiento
adecuado a la legislacin vigente para lo cual analizar los requisitos legales
aplicables a la informacin que se gestiona incluyendo los derechos de propiedad
intelectual, los tiempos de retencin de registros, privacidad de la informacin, uso
inadecuado de recursos de procesamiento de informacin, uso de criptografa y
recoleccin de evidencias.