Академический Документы
Профессиональный Документы
Культура Документы
P-GT-01
1. INTRODUCCION
La Seguridad Informtica se basa en la existencia de un conjunto de directrices que brinden
instrucciones claras y oportunas, soportando la gestin de la Alta Direccin frente al gran dinamismo
de nuevos ataques y violaciones a la seguridad e integridad de la informacin.
Este documento se debe entender como el compendio de reglas que permiten definir la gestin,
proteccin y asignacin de los recursos corporativos, acorde a los lineamientos de la Alta Direccin,
concientizando a cada uno de los miembros acerca de la importancia y sensibilidad de la
informacin propia de la Organizacin.
Todas las directrices contempladas en este documento deben ser revisadas peridicamente,
determinando oportunamente la creacin, actualizacin y obsolescencia de cada directriz, con el fin
de mitigar las vulnerabilidades identificadas y mantener altos estndares de seguridad en la
Organizacin.
2. PROPOSITO
Este compendio tiene como finalidad dar a conocer las PSI - Polticas de Seguridad de la
Informacin y ESI - Estndares de Seguridad Informtica, que deben aplicar y acatar todos y cada
uno de los empleados, contratistas y terceros de la Organizacin, entendiendo como premisa que la
responsabilidad por la seguridad de la informacin no depende nicamente de la Direccin o el rea
de Sistemas & T.I., sino que es una responsabilidad de cada empleado, contratista y tercero activo
de la Organizacin.
3. ALCANCE
El alcance de las polticas y estndares contempladas en este documento aplica a:
1. Todas las reas de la Organizacin por su condicin de gestoras, procesadoras y protectoras de
todo tipo de informacin soportada en cualquier medio fsico impreso o electrnico de la
Organizacin.
2. Todos los empleados y contratistas de la Organizacin, y todo el personal tercero, que hagan
uso de los sistemas, plataformas y servicios tecnolgicos de la Organizacin.
4. OBJETIVO:
Establecer los criterios y comportamientos que deben seguir todos los empleados, contratistas y
terceros de la Organizacin, con el fin de velar por la adecuada proteccin, preservacin y
salvaguarda de la informacin y de los sistemas corporativos, respondiendo a los intereses y
necesidades organizacionales y dando cumplimiento a los 3 principios de la gestin de la
informacin: Confidencialidad, Integridad y Disponibilidad, acogidos de la mejores prcticas de
gestin de la informacin, implcitas en el estndar internacional ISO/IEC-27001:2005.
5. DEFINICIONES
Poltica
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 1 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Seguridad
Informacin
Riesgo
Seguridad
Informtica
Seguridad de la
Informacin
Confidencialidad
Integridad
Disponibilidad
7. ACCIONES EN CONTRAVENCIONES
Estas polticas son mandataras a todo nivel, por lo tanto deben ser cumplidas por la Organizacin
(empleados y contratistas) y todo ente tercero que interacte con la Informacin, los Sistemas de
Informacin y dems Activos Informticos de la Organizacin.
En el evento en que se evidencia la transgresin o incumplimiento de cualquier poltica o estndar
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 2 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
contemplado en este documento, se debe considerar como una falta disciplinaria y dar inicio a
adelantar las investigaciones internas correspondientes y se aplicarn las sanciones contempladas
en el Reglamento Interno del Trabajo y el Cdigo Sustantivo del Trabajo.
De esta manera se ajusta a lo contemplado en el artculo 60 del Cdigo Sustantivo del Trabajo y al
Reglamento Interno del Trabajo vigente, que lo consagra como una prohibicin a los trabajadores.
El artculo 62 del CST contempla como causal de terminacin del contrato por justa causa 6.
Cualquier violacin grave de las obligaciones o prohibiciones especiales que incumben al
trabajador de acuerdo con los artculos 58 y 60 del Cdigo Sustantivo del Trabajo, o cualquier
falta grave calificada como tal en pactos o convenciones colectivas, fallos arbitrales, contratos
individuales o reglamentos.
8. NOTIFICACIONES DE INCIDENTES
Toda violacin de estas polticas se debe notificar al a la Secretara General, por medio escrito o
electrnico acorde al proceso correspondiente, quien adelantar la investigacin y estipular las
sanciones por incumpliendo en caso de que haya lugar.
Las Polticas de Seguridad de la Informacin del CERLALC han sido diseadas para ajustarse o
exceder, sin contravenir, las medidas de proteccin establecidas en las leyes, regulaciones y
estndares vigentes, por lo tanto si algn empleado, contratista o tercero de la Organizacin
considera que alguna poltica o estndar est en conflicto con las leyes y/o regulaciones existentes,
tiene la responsabilidad de reportar en forma inmediata dicha situacin a la Secretara General.
CONTROL DE CAMBIOS
Versin
Fecha de
Modificacin
Comentario
Elaborado por:
Fecha:
Revisado por:
Fecha:
Aprobado por:
Fecha:
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 3 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
TABLA DE REFERENCIA
POLITICAS DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
1. CAPITULO INFORMACION
1.1. ACCESO A LA INFORMACION
1.1.1.PSI-1.1-01 - Gestin y seguridad de accesos
1.1.2.PSI-1.1-02 - Gestin de usuarios
1.2. SEGURIDAD DE LA INFORMACION
1.2.1.PSI-1.2-01 - Gestin de la informacin
1.2.2.PSI-1.2-02 - Gestin de Seguridad de la informacin
2. CAPITULO RECURSOS
2.1. ACTIVOS
2.1.1.PSI-2.1-01 - Gestin de los activos
2.2. HARDWARE
2.2.1.PSI-2.2-01 Gestin de servidores
2.2.2.PSI-2.2-02 Gestin de equipos de computo
2.2.3.PSI-2.2-03 Gestin de equipos mviles
2.3. SOFTWARE
2.3.1.PSI-2.3-01 Gestin de licenciamiento en software corporativo
2.3.2.PSI-2.3-02 Gestin de vulnerabilidades tcnicas
2.3.3.PSI-2.3-03 Gestin de trazabilidad y auditabilidad
2.4. SISTEMAS DE INFORMACION
2.4.1.PSI-2.4-01 Gestin de sistemas operativos
2.4.2.PSI-2.4-02 Gestin de sistemas de informacin
2.4.3.PSI-2.4-03 Gestin de sistemas propios
2.5. TERCEROS
2.5.1.PSI-2.5-01 Gestin de terceros
3. CAPITULO REDES Y COMUNICACIONES
3.1. REDES
3.1.1.PSI-3.1-01 Gestin de redes
3.2. COMUNICACIONES
3.2.1.PSI-3.2-01 Gestin de internet
3.2.2.PSI-3.2-02 Gestin de intranet
3.2.3.PSI-3.2-03 Gestin de correo electrnico
4. CAPITULO INSTALACIONES
4.1. SEGURIDAD FISICA
4.1.1.PSI-4.1-01 Gestin de reas seguras
5. CAPITULO CONTINUIDAD DE NEGOCIO
5.1. COPIAS DE SEGURIDAD
5.1.1.PSI-5.2-01 Gestin de copias de seguridad
5.2. CONTINGENCIA Y RECUPERACION DE DESASTRES
5.2.1.PSI-5.3-01 Gestin de contingencias
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 4 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
CAPITULO
INFORMACION
ACCESO A LA
INFORMACION
P-GT-01
PSI-1.1-01
Versin
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realiz
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin de contraseas
a. Para garantizar la seguridad tanto de la informacin como de los equipos, el rea de
Sistemas & T.I. asignar a cada usuario las claves de acceso que d a lugar: acceso al
computador, acceso a la red interna, acceso al correo electrnico, acceso a las
aplicaciones correspondientes.
b. La autorizacin para la creacin, eliminacin o modificacin de perfiles de acceso es
responsabilidad directa del Administrador de cada aplicacin.
c. Los usuarios no deben tener acceso a opciones del Sistema de Informacin que no
utilicen.
d. El rea de Sistemas & T.I., los administradores de las aplicaciones, responsables de
activos tecnolgicos y los dueos de la Informacin sern los responsables de velar por
que los perfiles de acceso existentes sean acordes con las funciones realizadas por cada
uno de los usuarios.
e. En todas las aplicaciones se debe contar con un administrador del Sistema de
Informacin, el cual disea y aprueba e implementa los perfiles de acceso, para esta
actividad se debe utilizar el formato establecido por el rea de Sistemas & T.I.
f. En el evento que algn usuario deje de tener vnculo laboral con la Organizacin, el rea
Administrativa debe notificarlo por escrito al rea de Sistemas & T.I., con la finalidad de
inactivas todas las cuentas y accesos, equipos y recursos informticos asignados.
2. Uso de Contraseas
a. Las contraseas establecidas, deben cumplir con los parmetros mnimos contemplados
para contraseas fuertes o de alto nivel:
i.
Debe ser de mnimo nueve caracteres alfanumricos de longitud.
ii.
Debe contener como mnimo cuatro letras, de las cuales una debe ser Mayscula
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 5 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
iii.
iv.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 6 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-1.1-02
Versin
ACCESO A LA
INFORMACION
GESTIN DE USUARIOS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
Esta poltica aplica a todos los usuarios con mximos privilegios en los
componentes de la plataforma tecnolgica del CERLALC.
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
Outsourcing Informtico
Sistemas & T.I.
Sistemas & T.I.
1.Usuarios Sper-usuario
a. Aplica a los usuarios que realizan actividades de direccin en los activos tecnolgicos con
los mximos privilegios que requiere su funcin.
b. Los usuarios sper-usuarios son creados por defecto en la instalacin de los componentes
de la plataforma tecnolgica.
c. Las contraseas de las cuentas de usuarios sper-usuarios creados por defecto en la
instalacin de cada componente de la plataforma tecnolgica, no deben ser conocidas por
el personal que realiza actividades de administracin y soporte.
d. La asignacin de las claves de usuarios sper-usuario debe ser responsabilidad del rea de
Sistemas & T.I. y una copia de esta ser combinada, con responsabilidad de 2 personas
designadas por el Grupo de Organizacin, Mtodos y Desarrollo.
e. Las contraseas de los usuarios sper-usuario creados por defecto en la instalacin de
cada componente de la plataforma tecnolgica deben ser definidas por el rea de Sistemas
& T.I., almacenadas en adecuadas condiciones de seguridad y sern utilizadas nicamente
en situaciones consideradas de emergencia y/o contingencia. Se debe entregar copia de
esta en medio escrito y sobre sellado a la Secretara General.
2.Usuarios Administradores
a. Aplica a todos aquellos usuarios cuyo cargo est relacionado con la administracin
funcional y/o tecnolgica de sistemas de informacin.
b. Debe existir una cuenta de usuario que ser utilizada exclusivamente para monitoreo por
parte del Ingeniero de Soporte o quien ejerza sus funciones.
c. Las actividades realizadas por los usuarios administradores deben reflejarse en un registro,
que debe ser monitoreado peridicamente por el rea de Sistemas & T.I.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 7 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
3.Usuarios avanzados
a. Aplica a los usuarios que por sus funciones requieran acceso de usuario privilegiado a los
sistemas, servicios y aplicaciones asignados, lderes de rea y usuarios de perfil medio.
b. Ningn usuario avanzado debe modificar informacin directamente de las Bases de datos,
sin previa autorizacin del rea de Sistemas & T.I.
4.Usuarios finales
a. Aplica a los usuarios finales que por sus funciones requieran acceso de usuario para los
sistemas, servicios y aplicaciones asignados por la organizacin
5.Recomendaciones
a. Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y
aplicaciones, garantizando la estandarizacin por cada usuario; es decir que cada usuario
deben tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la
organizacin.
b. La estandarizacin de los nombres de usuario estar compuesto de la siguiente forma:
(Primer letra del primer nombre + primer apellido, En caso de existir duplicidad, Primer letra
del primer nombre + Primer letra del segundo nombre + primer apellido)
c. Ningn usuario debe ser eliminado de ningn sistema, servicio o aplicacin, debe aplicarse
la inactivacin del usuario.
d. Las cuentas de usuario deben ser de uso personal e intransferible.
e. Debe existir un procedimiento para el almacenamiento, proteccin y administracin de las
contraseas de los todos los usuarios.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 8 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-1.2-01
Versin
SEGURIDAD DE LA
INFORMACION
GESTION DE LA INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Ubicacin
a. Debe existir dentro de la configuracin de todos los equipos informticos, una unidad de
disco virtual o particin, destinada para el almacenamiento de la informacin de usuario.
b. Se debe crear una estructura tipo rbol, estandarizada, para al almacenamiento y gestin
de la informacin de usuario, la cual ser parametrizada para optimizar la generacin
automtica de Copias de Seguridad. La estructura debe estar acorde a lo definido en los
protocolos de configuracin de equipos establecidos por el rea de Sistemas & T.I.
c. El usuario no debe almacenar informacin directamente en los escritorios del sistema
operativo, por ser una ubicacin alojada en la particin base del disco duro, esto puede
ocasionar que se pierda cuando sea necesario la reinstalacin de software en caso de
reparacin o recuperacin del sistema o por el contrario sea susceptible a accesos y
modificaciones no autorizados, por lo tanto se recomienda que sean creados accesos
rpidos en el escritorio a los archivos de permanente consulta.
2. Clasificacin
a. La informacin se debe clasificar de acuerdo con su criticidad y origen, que permitan el uso
y acceso de forma fcil y oportuna. La informacin personal del usuario, no es considerada
crtica, su almacenamiento ser designado claramente en un directorio especial y estar
sujeto a auditabilidad.
b. Todos los empleados y contratistas que conforman las diferentes reas debe clasificar la
informacin que tengan bajo su custodia.
c. Todo archivo debe ser almacenado en la estructura y ubicacin destinada para tal fin, bajo
algn mecanismo de nemotecnia o identificacin, que permita su fcil acceso.
d. La informacin pblica debe tener una estructura definida por los responsables de la misma,
y divulgada oportunamente a los interesados.
e. Toda la informacin utilizada por los usuarios de la organizacin, es de la organizacin y por
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 9 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 10 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 11 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-1.2-02
Versin
SEGURIDAD DE LA
INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
Esta norma aplica a la Direccin, SRI, Sistemas & T.I., Outsourcing Informtico
y Usuarios.
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Planificacin
a. La organizacin debe adoptar en lo posible, las buenas prcticas en seguridad de la
Informacin, mediante la generacin de polticas y procesos estructurados de planificacin
y capacidad en Tecnologas de Informacin y Comunicaciones, desarrollo seguro y
pruebas de seguridad, contenidos en los estndares, guas y marcos de trabajo, tales
como ISO 27001, 27002, 27005, 25999, 20000, ITIL, CoBIT, entre otros.
2. Grupo de Organizacin, mtodos y Desarrollos.
a. El Grupo de Organizacin, Mtodos y Desarrollo tendr a su cargo, la revisin, validacin
y aprobacin de las Polticas de Seguridad de la Informacin que sean planteadas por el
rea de Sistemas & T.I., y las que considere adicionales. Para el efecto de revisin de
Polticas de Seguridad de la informacin, debe convocar como invitado a un representante
del rea de Sistemas & T.I.
3. Administracin de la Seguridad de la Informacin
a. El rea Sistemas & T.I. ser responsable de la administracin de la seguridad informtica,
y debe velar por el cumplimiento de las polticas, normas y procedimientos relacionados
con Seguridad Informtica, as como de planear y coordinar todos los proyectos
relacionados con la implantacin de controles para optimizar y mejorar continuamente la
seguridad de la informacin de la Organizacin.
b. El Grupo de Organizacin, Mtodos y Desarrollo, debe avalar las tareas de administracin
de Seguridad Informtica de los activos tecnolgicos, dentro de las cuales se deben
comprender como mnimo: definicin de accesos, administracin de cuentas, definicin de
perfiles de usuarios y administradores y atencin de incidentes de seguridad informtica.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 12 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
4. Procedimientos de operacin
a. El rea de Sistemas & TI, debe mantener documentados todos los roles y
responsabilidades, procesos, procedimientos, normas y directrices de seguridad de la
informacin, alineadas con las premisas contempladas en las Polticas de Seguridad de la
Informacin, de la organizacin.
5. Evaluacin y tratamiento de riesgos
a. La organizacin debe garantizar la evaluacin peridica de los riesgos inherentes a la
gestin y seguridad de la informacin, para lo cual se apoyar en entes consultores y/o
auditores externos, fundamentados en
metodologas y mtodos documentados,
estructurados y generalmente aceptados, que avalen la adecuada gestin de la
Informacin.
b. El Grupo de Organizacin, Mtodos y Desarrollo debe evaluar los riesgos identificados y la
tolerancia al riesgo, para determinar su tratamiento y documentacin en un Plan de
Tratamiento de Riesgos - PTR.
6. Responsabilidad de la Direccin
a. La direccin debe revisar, evaluar y aprobar las polticas de seguridad de la informacin
propuestas por el rea de Sistemas & T.I., previo aval y revisin por parte del Grupo de
Organizacin, Mtodos y Desarrollo.
7. Responsabilidad de Tecnologa
a. El rea de Sistemas & T.I. es responsable por la asignacin y administracin de activos
informticos requeridos por los usuarios para el cumplimiento de sus labores.
b. El rea de Sistemas & T.I. es responsable por la custodia de la informacin en servidores,
redes, medios de almacenamiento y medios digitales.
8. Responsabilidad de propietarios, custodios y usuarios de la informacin:
a. El usuario es responsable por la creacin, administracin y tratamiento de la informacin a
su cargo.
b. Es responsabilidad de los usuarios de activos tecnolgicos de CERLALC:
i.
Administrar la informacin a su cargo, y mantener en forma organizada la informacin
existente en el computador personal a su cargo.
ii.
Hacer uso adecuado de la informacin de propiedad de CERLALC y garantizar la
integridad, veracidad, disponibilidad y confidencialidad de la informacin asignada
para el cumplimiento de sus funciones, y velar por el adecuado almacenamiento de la
informacin.
iii.
Utilizar correctamente las contraseas, y mantener la confidencialidad de las mismas.
iv.
Reportar al rea de Sistemas & TI, cualquier incidente de seguridad que se presente
en su equipo, o que sea percibido en la informacin usada en las labores diarias.
v.
Hacer uso racional de los recursos informticos provistos por el CERLALC.
vi.
Conocer y cumplir cabalmente las polticas, normas, procedimientos y estndares
definidos por el CERLALC
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 13 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-2.1-01
Versin
SEGURIDAD DE LA
INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Responsabilidad Administrativa
a. La Secretara General, el rea Administrativa y el rea de Sistemas & T.I. deben garantizar
la elaboracin y actualizacin de un inventario de activos de informacin al mayor detalle
posible, que garantice un fcil nivel de acceso, recuperacin, trazabilidad, auditabilidad y
responsabilidad de sus activos de informacin.
b. Se deben destinar las herramientas necesarias que permitan la oportuna gestin de
inventarios de los activos de informacin, empleando como mnimo identificacin plaquetas
o etiquetas de identificacin externa, contemplando tecnologas de captura de cdigos de
barras que faciliten la gestin de inventarios y el control de entradas y salidas de activos de
las instalaciones de la organizacin.
2. Responsabilidad del usuario
a. Cada usuario es responsable del cuidado y uso adecuado de los recursos informticos que
se le asignen para el desarrollo normal de sus funciones.
b. Los recursos informticos asignados a cada usuario, son para uso limitado para el
desarrollo de sus funciones, por lo tanto no est permitido el uso de cualquiera de los
recursos con propsitos de ocio o lucro.
c. Los usuarios de los activos de informacin no podrn usar los elementos de cmputo
asignados para realizar actividades personales distintas a las contratadas.
d. Los usuarios de activos de informacin son responsables ante la Direccin de la proteccin
de la informacin y los recursos asignados, por lo cual deben ser responsables de notificar
al rea de Sistemas & T.I., la definicin de controles de acceso y otros controles de
seguridad, con el fin de garantizar su responsabilidad por incumplimientos, no
conformidades y otros incidentes que se presenten en la organizacin.
e. La instalacin de software no autorizado es responsabilidad del usuario, y cualquier dao
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 14 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
f.
P-GT-01
en la configuracin del equipo que se produzca por el incumplimiento de esta poltica debe
ser asumido por el responsable del activo.
El uso de activos de informacin o recursos corporativos para actividades personales ser
considerado como un incumplimiento a esta poltica.
3. Gestin de activos
a. Todo cambio a la configuracin de los computadores puede efectuarse nicamente por
personal de soporte, y supervisin del rea de Sistemas & TI.
b. Todos los activos de informacin (computadores, perifricos) deben estar protegidos por
reguladores de voltajes y sus instalaciones elctricas deben haber sido realizadas
tcnicamente controlando las fases correspondientes.
c. Todos los equipos de cmputo y comunicaciones deben estar protegidos y soportados por
equipos ininterrumpidos de poder UPS y sus instalaciones elctricas deben haber sido
realizadas tcnicamente controlando las fases correspondientes. Cuando se concentren
varios equipos en un rea se debe hacer un estudio del consumo por equipo para
determinar que el circuito no presente sobrecarga.
d. Todo el sistema elctrico de cableado estructurado, debe estar independiente al sistema de
energa de iluminacin, y su gestin debe estar centralizada, acogiendo las normas
elctricas correspondientes para tal fin.
e. La gestin de las copias de seguridad, ser responsabilidad del rea de Sistemas & TI,
quien debe implementar los procesos y procedimientos necesarios, que garanticen el
adecuado tratamiento de los medios fsicos internos y externos, y los medios digitales
locales.
f. El nico ente en la organizacin con la potestad para tener acceso a la informacin y activos
utilizados por los usuarios sin previa autorizacin, ser el Grupo de Organizacin, Mtodos
y Desarrollo, previo acompaamiento y asesora por parte del rea de Sistemas & T.I.
g. La responsabilidad de la gestin de la seguridad de la informacin, la aplicacin de reglas
de controles de acceso definidas por el Grupo de Organizacin, Mtodos y Desarrollo, o por
los propietarios de las los activos de informacin, estar a cargo del rea de Sistemas & TI.
4. Restricciones
a. No est permitida la descarga, instalacin, almacenamiento y/o transferencia de juegos,
archivos de audio, archivos de video, software y/o programas desde o hacia Internet, que
atenten contra las leyes de derechos de autor, salvo los requeridos para el funcionamiento y
mantenimiento de la plataforma tecnolgica, gestionados por el rea de Sistemas & T.I.
b. Los activos de informacin no deben moverse o reubicarse sin la aprobacin previa del Jefe
de rea involucrado. El traslado debe realizarlo nicamente el personal de soporte, con el
aval del rea de Sistemas & T.I.
c. No est permitido el uso de hardware y/o software personales en las instalaciones de la
Organizacin, sin previa autorizacin del rea Administrativa y notificacin al rea de
Sistemas & T.I.
d. No est permitido a los usuarios y/o visitantes: comer, fumar o beber en los puestos de
trabajo, centros de cmputo o instalaciones con equipos tecnolgicos, sin excepciones; al
hacerlo estaran exponiendo los equipos a daos elctricos y a riesgos de contaminacin
sobre los dispositivos de almacenamiento.
e. Ningn ente interno o externo del CERLALC estar autorizado para generar copias de la
informacin de la organizacin, sin previo aval por parte del Grupo de Organizacin,
Mtodos y Desarrollo.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 15 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.2-01
Versin
HARDWARE
GESTION DE SERVIDORES
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
OBJETIVO
ALCANCE
RESPONSABLES
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
Outsourcing Informtico
Outsourcing Informtico / Sistemas & T.I.
Sistemas & T.I.
1. Configuracin
a. El rea de Sistemas & T.I. debe implementar los protocolos y/o guas de configuracin de
todos los servidores de la organizacin, deben ser establecidas y actualizadas por cada tipo
de Servidor.
b. Se debe tener toda la informacin de configuracin por cada servidor, que garantice como
mnimo: funcin principal, configuracin de Hardware, configuracin de Software, inventario
de aplicaciones, servicios y servidores, ubicacin de las copias de respaldo.
c. Debe existir y diagrama de configuracin de plataforma y servidores.
d. La configuracin de los servidores se debe hacer de acuerdo a los protocolos y/ guas
establecidas por el rea de Sistemas & T.I.
2. Control de Accesos
a. Para la parametrizacin de los accesos privilegiados al servidor, la clave mster de
administrador ser gestionada nicamente por el responsable del rea de Sistemas & T.I.,
y debe existir una copia de respaldo compartida de la misma en poder de 2 usuarios
designados por la direccin.
b. Para la gestin de los servidores por parte del Outsourcing Informtico, se debe crear y
asignar una clave con privilegios de administracin, que ser responsabilidad del personal
asignado para tal fin.
c. La gestin de servidores se debe realizar nicamente bajo la utilizacin de canales seguros.
d. El acceso fsico a servidores debe ser gestionado, programado y autorizado por el rea de
Sistemas & T.I.
3. Gestin
a. La gestin, operacin, instalacin, desinstalacin y mantenimiento de servidores es
responsabilidad del Outsourcing Informtico, y la supervisin y control son responsabilidad
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 16 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 17 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 18 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
PSI-2.2-02
CAPITULO RECURSOS
HARDWARE
P-GT-01
Versin
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
OBJETIVO
ALCANCE
RESPONSABLES
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
1. Configuracin
a. El rea de Sistemas & T.I. debe implementar los protocolos y/o guas de configuracin de
todos los equipos de cmputo y perifricos de la organizacin, deben ser establecidas y
actualizadas por cada tipo de dispositivo.
b. Se debe tener toda la informacin de configuracin por cada equipo de cmputo y perifrico,
que garantice como mnimo: funcin principal, configuracin de Hardware, configuracin de
Software, inventario de aplicaciones, servicios, responsables.
c. La configuracin de los equipos de cmputo y perifricos se debe hacer de acuerdo a los
protocolos y/ guas establecidas por el rea de Sistemas & T.I..
d. Los equipos de cmputo y perifricos deben ser configurados de tal forma que los usuarios
no puedan alterar la configuracin ni instalar software.
2. Control de Accesos
a. Para la parametrizacion de los accesos a los equipos y perifricos, la clave mster local de
administrador ser gestionada nicamente por el responsable del rea de Sistemas &
T.I., y debe ser estndar unificado para todos los equipos de la organizacin.
b. Para la gestin de los equipos de cmputo y perifricos por parte del Outsourcing
Informtico, se debe crear y asignar una clave con privilegios de administracin, que ser
responsabilidad del personal asignado por el proveedor del Outsourcing.
c. La correcta utilizacin de la cuenta de usuario para administracin y su contrasea a nivel
de computadores personales esta bajo la responsabilidad del Ingeniero de Soporte
designado por el Outsourcing Informtico.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 19 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
3. Gestin
a. La gestin, operacin, instalacin, desinstalacin y mantenimiento de los equipos de
cmputo y perifricos es responsabilidad del Outsourcing Informtico, y la supervisin y
control son responsabilidad del rea de Sistemas & T.I.
b. El Outsourcing Informtico debe asignar personal calificado en la gestin de equipos y
perifricos y notificar todas las novedades inherentes a la gestin del mismo.
c. Toda actividad que implique reasignacin y traslado de equipos de cmputo y perifricos
entre diferentes reas de trabajo deben ser realizadas nicamente por el personal de
soporte y autorizadas por rea de Sistemas & T.I.
d. Los cambios en los equipos de cmputo y perifricos debe hacerse siguiendo los
procedimientos establecidos para dicha operacin.
4. Monitoreo
a. Para todos los eventos crticos de seguridad y los sistemas sensibles es necesario
mantener Logs y se deben gestionar acorde a lo establecido en los protocolos establecidos
por el rea de Sistemas & T.I.
b. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se
deben reportar al rea de Sistemas & T.I., estos eventos se contemplan en los protocolos
establecidos.
c. Se deben garantizar los mecanismos necesarios que mitiguen el riesgo de extraccin no
autorizada de la organizacin, de equipos de cmputo y perifricos.
5. Mantenimiento
a. Se debe hacer el mantenimiento peridico de los equipos de cmputo y perifricos,
utilizando el protocolo y/o procedimiento diseado por el rea de Sistemas & T.I., y ser
documentado acorde a los procedimientos establecidos.
b. Los procedimientos de Instalacin y mantenimiento de los equipos de cmputo y perifricos
deben ser actualizados con cada cambio de versionamiento de los sistemas y aplicaciones
por cada equipos de cmputo o perifrico.
c. Los parches ms recientes de seguridad se deben probar, aprobar e instalar tanto al
sistema operativo de equipos de cmputo y perifricos como a las aplicaciones activas, a
menos que esta actividad interfiera con la produccin.
d. Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas.
e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los
equipos de cmputo y perifricos de la Organizacin.
f. El Ingeniero de Soporte designado por el Outsourcing Informtico tiene la potestad para
remover y notificar, cualquier software que no est autorizado por el rea de Sistemas & T.I.
g. El rea de Sistemas & T.I. debe generar los procedimientos y protocolos necesarios que
garanticen la adecuada generacin, custodia y disposicin de las copias de seguridad para
los Equipos de Cmputo y dispositivos de almacenamiento porttiles de la organizacin,
acordes con la poltica de Copias de Seguridad.
6. Restricciones
a. Todos los usuarios de los equipos de cmputo y perifricos deben tener en cuenta los
siguientes aspectos:
i.
No ingerir bebidas y/o alimentos cerca de los equipos de cmputo y perifricos
ii.
No fumar dentro de las instalaciones y/o cerca a los equipos de cmputo y perifricos.
iii.
No insertar objetos extraos en las ranuras de los equipos de cmputo y perifricos.
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Grupo de Organizacin,
Fernando Zapata Lpez
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 20 de 53
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
iv.
v.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 21 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.2-03
Versin
HARDWARE
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Configuracin
a. El rea de Sistemas & T.I. debe implementar los protocolos y/o guas de configuracin de
todos los Equipos de Cmputo y dispositivos de almacenamiento porttiles de la
organizacin, deben ser establecidas y actualizadas por cada tipo de dispositivo, y sern
aprobadas por el Grupo de Organizacin, Mtodos y Desarrollo.
b. Se debe tener toda la informacin de configuracin por cada Equipo de Cmputo porttil y
dispositivos de almacenamiento, que garantice como mnimo: funcin principal,
configuracin de Hardware, configuracin de Software,
inventario de aplicaciones,
servicios, responsables.
c. La configuracin de los equipos de Equipos de Cmputo porttiles y dispositivos de
almacenamiento se debe hacer de acuerdo a los protocolos y/ guas establecidas por el
rea de Sistemas & T.I.
d. Los Equipos de Cmputo y dispositivos de almacenamiento porttiles deben ser
configurados de tal forma que los usuarios no puedan alterar la configuracin ni instalar
software.
2. Control de Accesos
a. Para la parametrizacin de los accesos a los Equipos de Cmputo porttiles y dispositivos
de almacenamiento, la clave mster local de administrador ser gestionada nicamente
por el responsable del rea de Sistemas & T.I., y debe ser estndar unificado para todos
los equipos de la organizacin.
b. Para la gestin de los Equipos de Cmputo y dispositivos de almacenamiento porttiles por
parte del Outsourcing Informtico, se debe crear y asignar una clave con privilegios de
administracin, que ser responsabilidad del personal asignado por el proveedor del
Outsourcing informtico.
c. La correcta utilizacin de la cuenta de usuario para administracin y su contrasea a nivel
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Grupo de Organizacin,
Fernando Zapata Lpez
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 22 de 53
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 23 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
6. Restricciones
a. Todos los usuarios de Equipos de Cmputo y dispositivos de almacenamiento porttiles,
deben registrar la entrada y salida de los mismos en los mecanismos destinados para tal fin.
b. Todos los equipos de uso personal del usuario, deben ser registrados en la entrada y salida
de las instalaciones en los mecanismos destinados para tal fin.
c. Por el alto riesgo en la manipulacin externa de los Equipos de Cmputo y dispositivos de
almacenamiento porttiles, se deben contemplar las siguientes recomendaciones de
seguridad.
i.
No transportar los Equipos de Cmputo y dispositivos de almacenamiento porttiles, en
vehculos a la vista, o en maletines que sugieran el contenido, mitigando el riesgo de
robo / hurto.
ii.
No prestar o reasignar Equipos de Cmputo y dispositivos de almacenamiento porttiles
a personal externo no autorizado por la organizacin.
iii.
En caso de prdida o robo / hurto, se debe notificar el incidente de forma inmediata al
rea de Sistemas & T.I. y al rea Administrativa.
d. Todos los usuarios de los Equipos de Cmputo y dispositivos de almacenamiento porttiles
deben tener en cuenta los siguientes aspectos:
i.
No ingerir bebidas y/o alimentos cerca de los Equipos de Cmputo y dispositivos de
almacenamiento porttiles
ii.
No fumar cerca a los Equipos de Cmputo y dispositivos de almacenamiento porttiles.
iii.
No insertar objetos extraos en las ranuras de los equipos de cmputo y perifricos.
iv.
No realizar actividades de mantenimiento de hardware.
v.
No Instalar Software no autorizado en los Equipos de Cmputo y dispositivos de
almacenamiento porttiles, si se instala software no licenciado, el usuario debe asumir
las consecuencias legales y econmicas.
vi.
Apagar los equipos cuando no estn en uso.
vii.
Bloquear la sesin cuando est ausente.
e. Es responsabilidad del rea de Sistemas & T.I. garantizar:
i.
Mantener una adecuada proteccin contra fluctuaciones de voltaje, dentro de las
instalaciones.
ii.
Todos los equipos de cmputo mantengan activa la poltica de equipos desatendidos.
iii.
nicamente el Ing. de Soporte pueda instalar software en los equipos de cmputo y
perifricos.
iv.
Establecer programas de mantenimiento de Equipos de Cmputo y dispositivos de
almacenamiento porttiles.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 24 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.3-01
Versin
SOFTWARE
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
Outsourcing Informtico
Sistemas & T.I.
Sistemas & T.I.
1. Licenciamiento
a. Todo software corporativo, es decir sistemas operativos, sistemas de informacin y
herramientas corporativas de gestin, debe ser direccionado y controlado de forma
centralizada en el rea de Sistemas & T.I., y gestionado operativamente por el Outsourcing
Informtico.
b. Todo software no comercial, es decir Freeware, Shareware, Trial, CPL, EPL, GNU, Open
Source, debe tener el respectivo soporte de licencia, en el que se garantice el alcance de la
licencia, y debe ser autorizado y gestionado por el rea de Sistemas & T.I.
c. El Ingeniero de Soporte designado por el Outsourcing Informtico, ser el nico autorizado
para realizar la instalacin, configuracin, parametrizacin, actualizacin y desinstalacin,
previo autorizacin del rea de Sistemas & T.I.
d. Debe existir un inventario de las licencias de software de la organizacin, con el fin de
facilitar la administracin y control de software no licenciado.
2. Gestin
a. El rea de Sistemas & T.I. debe garantizar la generacin y actualizacin de inventarios de
licenciamiento corporativo que garanticen la legalidad del mismo ante entes de vigilancia
externos.
b. La utilizacin de software corporativo para fines personales, dentro o fuera de la
organizacin ser responsabilidad de usuario del activo
c. La extraccin, prstamo, copia, venta y/o renta de software corporativo para fines
externos y/o personales, no est autorizado bajo ninguna circunstancia.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 25 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.3-02
Versin
SOFTWARE
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
OBJETIVO
ALCANCE
RESPONSABLES
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
1. Seguridad
a. Debe tener Software Antivirus que garantice la proteccin ante amenazas por virus
informticos, que a su vez debe contemplar como mnimo los siguientes componentes:
i.
Componente de consola de servidor: encargado de distribuir y actualizar las
actualizaciones de antivirus en los equipos de cmputo de la red.
ii.
Componente de correo externo: encargado filtrar el contenido y trfico de correos
entrantes y salientes.
b. Debe existir uno o varios software que gestionen la salida hacia internet y desde internet,
filtrado de contenidos, filtrado de pginas y monitoreo de navegacin.
c. A nivel perimetral se debe contar con software de seguridad que permita controlar el
acceso de virus, troyanos, malware, spyware, phishing y spam.
d. El software de deteccin de virus y dems Software de Seguridad seleccionados por la
Organizacin, deben ser instalado en todos los servidores y equipos de computo,
incluyendo computadores porttiles del CERLALC.
e. Para la utilizacin de medios electrnicos externos, de uso corporativo y/o personal,
correos electrnicos y descarga de archivos, se debe realizar previamente el escaneo o
vacunacin.
f. Los usuarios deben conocer los procedimientos de deteccin y eliminacin de virus
informticos, para lo cual el rea de Sistemas & T.I., debe garantizar el entrenamiento
necesario para el uso de las herramientas de seguridad existentes.
g. Es responsabilidad del rea de Sistemas & T.I. que todos los equipos asignados estn
libres de virus, y responsabilidad de los usuarios que la informacin gestionada en los
activos asignados, y medio de almacenamiento sean filtrados con el Software Antivirus y
dems software de seguridad instalados en cada uno de los equipos de la organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 26 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
2. Gestin de herramientas
a. Debe existir un protocolo de gestin de aplicaciones de seguridad informtica que
contemple las actividades de instalacin, configuracin, parametrizacin, administracin,
mantenimiento y desinstalacin.
b. Debe realizarse la evaluacin de la relevancia y criticidad o urgencia de los parches a
implementar.
c. La instalacin, configuracin, parametrizacin, administracin, administracin,
mantenimiento y desinstalacin del software antivirus existente, es responsabilidad del
Outsourcing Informtico, previa autorizacin por parte del rea de Sistemas & T.I.
d. La actualizacin del antivirus debe ser gestionada de forma centralizada en el servidor de
la aplicacin y de forma automtica en cada uno de los equipos de cmputo de la
organizacin.
e. Las actualizaciones de nuevas versiones sern gestionadas nicamente por el personal
designado por el Outsourcing Informtico previa autorizacin por el rea de Sistemas &
T.I.
f. Debe realizarse una evaluacin peridica, mnimo cada 2 aos, de la gestin y
desempeo de las herramientas de seguridad informtica existentes, y de ser necesario,
cambiar las soluciones por aquellas que generen mayores caractersticas y niveles de
seguridad.
3. Notificacin de incidentes
a. Debe existir un formato de gestin de incidentes que registre todo el seguimiento de los
incidentes presentados hasta su solucin.
b. Los usuarios de cada uno de los Sistemas de informacin son responsables de solicitar
soporte informtico en caso de encontrar situaciones sospechosas en los sistemas
asignados o cualquier virus detectado en equipos de cmputo asignados.
c. Todos los registros de deteccin de virus y otras vulnerabilidades, sern revisados y
analizados por el Ingeniero de Soporte asignado por el Outsourcing Informtico, y
notificacin al rea de Sistemas & T.I..
4. Tratamiento de vulnerabilidades
a. Para todas las configuraciones de los sistemas de seguridad, se debe contemplar una
poltica de cuarentena, que garantice que las vulnerabilidades encontradas no se difundan
por las redes a otros equipos, hasta que se realice un anlisis y tratamiento por parte del
rea de Sistemas & T.I.
b. Cuando los virus no puedan ser eliminados a pesar de haber agotado los mecanismos
existentes para tal fin, se debe escalar al Grupo de Organizacin, Mtodos y Desarrollo,
encargado de evaluar los aspectos de Seguridad de la Informacin
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 27 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.3-03
Versin
SOFTWARE
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Reglamentar las pistas de Auditora con las que deben contarlos Sistemas de
Informacin del CERLALC.
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Tipo de informacin
a. Debe realizarse un anlisis de riesgos sobre la criticidad de la informacin gestionada por
los Sistemas Operativos, Bases de Datos, Sistemas de Informacin Corporativos propia y
tercera, que identifique y defina los datos a los que deben aplicar las pistas de auditora.
b. Debe existir un protocolo de configuracin, implementacin, gestin, respaldo y
recuperacin de pistas de auditora, Logs transaccionales y/o registros auditables,
c. Todos los Sistemas Operativos, Bases de Datos, Sistemas de Informacin Corporativos
propios y terceros, debe tener activa y habilitada las funciones de Logs para todas las
transacciones a que de lugar.
d. Las pistas de auditora deben ser contempladas como un archivo adicional a los de datos,
que evidencie todas las actividades realizadas por los usuarios, conteniendo como
mnimo: fecha, hora, usuario, tipo de operacin realizada (modificacin, inclusin y borrado
de informacin), archivo o tabla en la que se realizo la operacin, numero del registro o id,
para el caso de modificacin de informacin, debe incluir los campos de valor anterior y
nuevo valor.
2. Control de accesos
a. El acceso a las pistas de Auditora debe ser de carcter restringido a los Usuarios, solo el
rea de Sistemas & T.I. debe tener acceso a ellas.
b. Todo Sistema operativo, Base de datos, Sistema de informacin corporativos propios y
terceros, deben permitir imprimir las pistas de auditora.
c. Debe garantizarse la restriccin de modificacin a las pistas de Auditora para todos los
Sistemas Operativos, Bases de Datos, Sistemas de Informacin Corporativos propios y
terceros.
d. Todas las aplicaciones deben tener Pistas de Auditoria, exceptuando aquellas
aplicaciones que no manejen informacin crtica (aquella informacin que pueda causar
prdidas al ser manipulada) para la Organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 28 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 29 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.4-01
Versin
SISTEMAS DE
INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. Deben existir protocolos de instalacin, configuracin, parametrizacin, gestin y soporte,
de usuarios, roles y perfiles, para todos los sistemas operativos de la organizacin.
b. Deben aplicarse polticas de gestin y control propias de los Sistemas Operativos de
servidor, que den cumplimiento al numeral anterior.
c. La instalacin, configuracin y parametrizacin de todos los sistemas operativos de la
organizacin, debe ser responsabilidad del Ingeniero de Soporte designado por el
Outsourcing informtico, previa aprobacin del rea de Sistemas & T.I..
d. Debe existir una poltica centralizada, incluida en los protocolos de configuracin de
equipos, que estandarice en todos los equipos de cmputo, el particionamiento de discos
duros en 3 unidades virtuales: i) sistema operativo, ii) datos y iii) Copias de Seguridad local.
e. Debe aplicarse una poltica centralizada de Escritorios limpios que minimicen el riesgo de
prdida y confidencialidad de archivos, teniendo en cuenta que lo contenido en el escritorio
es susceptible de perdidas en caso de fallas del sistema operativo.
f. Debe aplicarse un poltica centralizada de Equipos desatendidos que garanticen
confidencial de la informacin, cuando el usuarios no est en su puesto de trabajo.
g. El rea de Sistemas & T.I., debe asignar a cada usuario 4 cuentas: i) acceso a equipos de
cmputo y red, ii) correo electrnico, iii) Sistemas de Informacin corporativos y iv)
herramientas de colaboracin.
2. Seguridad
a. Debe existir un protocolo de encriptacin de Informacin en los Sistemas Operativos y
Redes.
b. Se deben habilitar todas las funcionalidades de los Sistemas Operativos de Servidor, de tal
forma que toda la informacin viaje por las redes (LAN o WAN) en forma encriptado, con el
fin de preservar su confidencialidad.
c. La encriptacin de datos se debe realizar mediante Software y/o Hardware.
d. Todo tipo de informacin transmitida desde y hacia entidades externas, debe ser encriptado
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 30 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Pgina 31 de 53
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 32 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.4-02
Versin
SISTEMAS DE
INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. Deben existir protocolos de instalacin, configuracin, parametrizacin, gestin y soporte,
de usuarios, roles y perfiles, para todos los sistemas de informacin existentes en la
organizacin.
b. Deben aplicarse polticas de gestin y control propias de los Sistemas de Informacin
existentes.
c. La instalacin, configuracin y parametrizacin de todos los sistemas de informacin de la
organizacin, debe ser responsabilidad del Ingeniero de Soporte designado por el
Outsourcing Informtico, previa aprobacin del rea de Sistemas & T.I..
d. El rea de Sistemas & T.I., debe asignar a cada usuario las cuentas necesarias para la
gestin de los sistemas que le sean asignados.
e. Los datos, bases de datos, programas, herramientas y sistemas de informacin de la
organizacin deben ser modificados nicamente por personal autorizado de acuerdo con los
procedimientos establecidos, al igual que el acceso a la informacin debe restringirse
nicamente a personal autorizado por la Organizacin.
f. Toda la informacin histrica almacenada y respaldada debe contar con los medios,
procesos, programas y sistemas de informacin que permitan su consulta en el tiempo,
teniendo en cuenta la evolucin de los componentes tecnolgicos y las aplicaciones a
travs del tiempo.
g. La eliminacin de la informacin en medios fsicos debe seguir procedimientos seguros y
aprobados por el rea de Sistemas & T.I., y acorde a los protocolos establecidos para tal
fin.
2. Seguridad
a. Debe existir un protocolo de Encriptacin de Informacin en los Sistemas de informacin.
b. Debe existir un procedimiento de creacin y eliminacin de cuentas de usuario para todos
los sistemas de informacin existentes.
c. Se debe asignar una cuenta a todo usuario que requiera acceso a los Sistemas de
Informacin asignados.
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Grupo de Organizacin,
Fernando Zapata Lpez
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 33 de 53
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 34 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 35 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
CAPITULO RECURSOS
SOFTWARE
P-GT-01
PSI-2.4-02
Versin
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
Esta Poltica aplica a todos los Usuarios de las aplicaciones del CERLALC y/o
contratistas involucrados en el desarrollo, actualizacin y pruebas de
programas, as como en la seguridad a los mismos.
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
Proveedor de Soluciones
Sistemas & T.I.
Sistemas & T.I.
1. Proyectos de desarrollo
a. Para todo desarrollo de Software en la Organizacin, o para cumplimiento de proyectos
especiales que involucren aplicaciones o sistemas de informacin, el rea de Sistemas &
T.I., debe disear los formatos necesarios para documentar las siguientes actividades:
i.
Un anlisis de requerimientos internos, que debe ser revisado y aprobado por el rea
de Sistemas & T.I.
ii.
Un documento RFI Requerimiento de Informacin, para entrega al proveedor de la
solucin,
iii.
Un anlisis tcnico de requerimientos, como respuesta por parte del proveedor de la
solucin,
iv.
Un documento RFP - Requerimiento de Propuesta, para entrega al proveedor de la
solucin.
v.
Un documento Propuesta, que debe contemplar: Anlisis situacional, matriz de riesgos
del proyecto, propuesta econmica, propuesta tcnica, documentacin legal y jurdica,
dems soportes requeridos acordes al cada proyecto.
2. Ciclo de vida de desarrollo de Software
a. Debe definirse y aplicarse una metodologa de desarrollo de aplicativos que contemple
como mnimo las siguientes fases
i.
Concepcin / anlisis de negocio: Se debe exigir para todo desarrollo de Software, un
levantamiento de informacin, un anlisis situacional y deben estar claramente
documentadas.
ii.
Planeacin y diseo: debe contemplar un diseo de la solucin, y un plan de ejecucin,
iii.
Desarrollo: debe especificar las herramientas de desarrollo, la estructura y arquitectura
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 36 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
iv.
v.
vi.
P-GT-01
3. Ambientes de trabajo
a. Para la adecuada gestin de proyectos de desarrollo, mantenimientos, pruebas e
implementaciones, el rea de Sistemas & T.I. debe implementar la infraestructura mnima
de seguridad que garantice la adecuada gestin y control de los proyectos de software,
implementando con los recursos existentes de la organizacin, los siguientes ambientes
tecnolgicos:
i.
Ambiente de desarrollo: configuracin orientada a la generacin de desarrollos, en el
cual los desarrolladores crean y modifican los objetos a solicitud del rea Responsable
de la Informacin
ii.
Ambiente de Pruebas / Testing: configuracin orientada a la generacin de pruebas por
parte del rea de Sistemas & T.I. y por el usuario, replica del ambiente de produccin
en donde se realizarn todas las pruebas necesarias para garantizar el buen
funcionamiento de los aplicativos.
iii.
Ambiente de Produccin: configuracin orientada al usuario final, ambiente donde se
realiza el procesamiento real de la informacin utilizada para la toma de decisiones del
CERLALC.
b. Para cada ambiente debe existir una configuracin independiente en Sistema Operativo,
Base de Datos y aplicacin.
4. Plan de Pruebas
a. Debe existir un procedimiento de pruebas a programas que defina actividades y
responsables.
b. Debe definirse un plan de pruebas que especifique escenarios de pruebas, niveles y tipos
de pruebas que se deban realizar a los aplicativos.
c. Los datos del ambiente de pruebas deben ser una rplica del ambiente de produccin.
d. El resultado de las pruebas debe documentarse por los desarrolladores en conjunto con los
usuarios del rea solicitante.
5. Control de cambios
a. El rea de Sistemas & T.I. debe Integrar y mantener todas las actividades de gestin de
cambios (documentacin y formacin procedimental para usuarios y administradores) del
Software / aplicaciones.
b. Debe disponerse de un inventario de aplicativos actualmente existentes en el CERLALC,
especificando si se encuentran en produccin o desarrollo, si ha sido un desarrollo propio o
adquisicin a terceros.
c. Para todos los cambios y ajustes autorizados, y en ejecucin se debe conservar un registro
escrito de las modificaciones realizadas., para la cual se debe crear un registro de control
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 37 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
de cambio.
d. Los cambios de emergencia deben ser debidamente aprobados, auditados y
documentados.
e. Todo cambio a los aplicativos debe ser solicitado por el Jefe del rea usuaria, y aprobado
por el rea de Sistemas & T.I. Si se requieren cambios a los datos, deben ser aprobados
por el Responsable de la Informacin y se debe crear un formato de cambios de
informacin.
f. Debe existir un procedimiento para la solicitud, autorizacin y aprobacin para todos los
cambios a aplicativos.
g. La documentacin de todas las aplicaciones del CERLALC debe ser permanentemente
actualizada por los desarrolladores.
6. Seguridad en desarrollos
a. El rea de Sistemas & T.I. debe implementar los mecanismos y herramientas necesarias
para garantizar la seguridad en los procedimientos y mtodos de desarrollo, operaciones y
gestin de cambios del Software / aplicaciones, que se desarrollen interna o externamente,
para la organizacin.
b. Todos los Sistemas de Informacin deben contar con usuario y clave (Fuerte) la clave debe
estar encriptado.
c. Todos los Sistemas de Informacin deben permitir restringir el acceso a las opciones de la
aplicacin utilizando para ello, los perfiles de acceso.
d. Los perfiles de acceso deben ser de acceso restringido, tan solo el administrador del
Sistema de Informacin debe tener acceso a los mismos.
e. Todas las aplicaciones deben tener pistas o registros de auditora (al menos para los datos
crticos), en el cual se pueda identificar quien ha realizado cambios, borrados o insercin de
datos no autorizados.
f. Las pistas de auditora no deben permitir cambios de las mismas (son nicamente de
lectura).
g. El software debe permitir realizar Copias de Seguridad de las pistas para as, borrar y
reducir el tamao de dicho archivo, de requerirse las pistas se restaurar la Copia de
Seguridad.
h. Todos los cambios a programas deben realizarse en el ambiente de desarrollo, los
desarrolladores no deben tener acceso a los ambientes de pruebas / testing y produccin.
i. Los desarrolladores deben tener acceso nicamente al ambiente de desarrollo y pruebas.
7. Plataforma de desarrollos
a. Deben existir los mecanismos y herramientas necesarias que restrinjan el acceso a las
bases de datos en las que se almacena la informacin institucional.
b. Debe existir una Base de Datos, con igual configuracin y parametrizacin, por cada
ambiente de trabajo.
c. Debe existir un Lenguaje de desarrollo, que garantice fcil integracin con los dems
sistemas de informacin de Organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 38 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
CAPITULO RECURSOS
TERCEROS
P-GT-01
PSI-2.5-01
Versin
GESTION DE TERCEROS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1.0
1. Gestin
a. Debe existir un proceso y procedimientos de determinen la seleccin y contratacin de
proveedores de servicios, bienes, muebles e inmuebles.
b. Debe existir un proceso y procedimientos de determinen las actividades de compra de
servicios, bienes, muebles e inmuebles.
c. Debe existir un proceso y procedimientos de determinen los mecanismos de evaluacin de
la gestin de proveedores de la organizacin.
d. Deben existir ANS - Acuerdos de Nivel de Servicio con todos los proveedores de servicios y
productos de Tecnologas de Informacin y Comunicaciones, que garanticen la
confiabilidad, integridad y disponibilidad de los servicios y productos contratados.
e. Deben existir Acuerdos de Confidencialidad con todos los proveedores de Tecnologas de
Informacin y Comunicacin, o clusulas de confidencialidad en los contratos establecidos,
que garanticen la confidencialidad de la informacin de la organizacin.
f. Debe existir un proceso y procedimientos de seguimientos y controles a la gestin de
proveedores de Servicios y productos de Tecnologas de informacin y Comunicaciones.
g. Deben existir mecanismos de evaluacin de proveedores de servicios y productos, de forma
peridica.
h. Deben existir mecanismos de valoracin de los servicios y productos recibidos,
peridicamente.
2. Servicios
a. Se deben exigir a los proveedores de Tecnologas de Informacin y Comunicaciones, las
certificaciones de implementacin de buenas prcticas, estndares internacionales y
modelos de madurez, tales como ISO-9001, ISO-27001, ISO-20000, CMMI o ITIL, acorde a
la prestacin de sus servicios.
b. Todo proveedor de Servicios de Tecnologas de Informacin y Comunicaciones, debe
establecer un mecanismo adecuado que permita realizar la adecuada gestin de solicitudes,
incidentes, eventos y problemas de que se puedan presentar con sus respectivas
soluciones.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 39 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
3. Responsabilidades
a. Todo proveedor de Servicios de Tecnologas de Informacin y Comunicaciones es
responsable por el buen uso y cuidado de todos y cada uno de los elementos y
componentes de la infraestructura y plataforma tecnolgica de la organizacin, a que tenga
contacto, por la naturaleza de sus servicios y/o productos.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 40 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.1-01
Versin
REDES
GESTION DE REDES
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. Se debe contar con un procedimiento para la administracin de todas las redes
corporativas.
b. Debe existir un protocolo de configuracin de todas las redes corporativas, relacionadas con
el diseo de los sistemas de comunicacin y cmputo de la organizacin.
c. Se debe realizar un monitoreo permanente tanto de la infraestructura de comunicaciones
como de los servidores, de manera que se detecten los problemas que pueden llegar a
causar fallas en la disponibilidad de los servicios de las redes de la organizacin.
d. Los centros de cableado, Centros de Computo Centros de Monitoreo/Vigilancia y Centros
Elctricos, estn catalogados como zonas restringidas, con control de acceso y restriccin a
personal no autorizado.
e. El rea de sistemas tiene la potestad de efectuar revisiones en los computadores de la
Organizacin y eliminar aquellos programas o software que no son parte de las funciones
realizadas por el usuario, presentando reporte a los la Secretara General.
2. Seguridad
a. Deben existir protocolos de parametrizacin y directrices de seguridad informtica para
redes y herramientas de seguridad de red como IDS-Sistemas de Deteccin de Intrusiones,
IPS-Sistemas de Prevencin de Intrusiones, gestin de vulnerabilidades, y dems a que d
lugar.
b. Deben existir protocolos de transmisin de informacin que garanticen que todos los datos
que se transmitan por las redes internas de la organizacin y entre redes externas, sean
encriptados
c. La configuracin de accesos a la informacin de las estaciones de trabajo desde la red,
deben tener acceso restringidos a los directorios que garanticen la restriccin de accesos no
autorizados.
d. La informacin enviada a las entidades externas (sean archivos o sea para alimentar una
terminal que permita consultar o procesar informacin del CERLALC), debe viajar
encriptado.
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Grupo de Organizacin,
Fernando Zapata Lpez
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 41 de 53
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
e. Debe existir un protocolo de Hacking tico (ataques de seguridad ticos), que garantice la
generacin de ataques de intrusin controlados (interna y externa) a las redes corporativas,
con el fin de determinar las debilidades y adoptar nuevos controles a implementar. Estas
pruebas deben ser generadas por entes externos que garanticen la independencia y
objetividad en los resultados.
f. Debe existir un protocolo de monitores de seguridad en todas las redes que permita
peridicamente la realizacin de monitoreo a los ataques en tiempo real, y garantice la
seguridad de las redes ante terceros no autorizados e intrusos.
g. Deben existir protocolos de verificacin fsica a las redes corporativas que garanticen la
calidad de las instalaciones de cableado de datos
3. Controles de Acceso
a. Deben existir los protocolos de seguridad que describan los mecanismos de control y
accesos a las diferentes redes existentes en la organizacin.
b. Deben existir todos los documentos tcnicos que describan las configuraciones de red y su
interaccin con componentes internos y externos.
c. Deben existir los protocolos de describan controles de seguridad perimetrales de las Redes
de rea Local LAN y Redes de rea Global WAN; e internos entre Redes de rea Local
LAN y Redes de rea Local WiFi - WLAN; y su integracin con los controles de seguridad
en sistemas operativos de plataforma y aplicaciones corporativas.
d. La gestin de accesos, roles y perfiles de las redes corporativas deben estar contempladas
y gestionadas desde la gestin del Directorio Activo de los sistemas operativos de
plataforma tecnolgica.
4. Restricciones
a. Los usuarios de la red interna de la Organizacin, no pueden realizar o ejecutar acciones en
la red que sean exclusivas de los administradores de red.
b. Los usuarios y contratistas no deben llevar a cabo ningn tipo de instalacin de lneas
telefnicas, canales de transmisin de datos, mdems, ni cambiar su configuracin sin
haber sido formalmente aprobados por el rea de sistemas.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 42 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.2-01
Versin
COMUNICACIONES
GESTION DE INTERNET
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones
asignadas a los empleados y contratistas del CERLALC.
b. Debe existir un protocolo de acceso a internet que garantice el buen uso de este y de las
herramientas disponibles para su gestin.
c.
Toda conexin entre las redes corporativas y redes externas de servicios (Outsourcing),
redes pblicas e Internet, debe contar como mnimo con mecanismos de control de acceso
lgico (validacin y autenticacin de usuarios).
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 43 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
b. Para inscripciones y transacciones comerciales en Internet se debe entender que esta clase
de actuaciones no compromete en forma alguna los recursos econmicos del Cerlalc, ni
implica responsabilidad por parte de esta. En todo caso si se llega a presentar, se entiende
que compromete exclusivamente al empleado, y la Entidad podr tomar las acciones del
caso.
c. Se debe hacer uso racional del servicio de Internet, y se considera como uso indebido
cuando:
i.
Atenta contra la integridad, veracidad y confidencialidad de la informacin del
CERLALC.
ii.
Atenta contra la integridad de los componentes de la plataforma tecnolgica.
iii.
Reduce la productividad de los empleados y contratistas.
iv.
Pone en riesgo la disponibilidad de los recursos informticos del CERLALC.
4. Restricciones
a. Est prohibido el acceso a sitios de pornografa y de cualquier otra ndole que atente contra
la integridad de los empleados y contratistas de la Organizacin; en el ao 2003 el
CERLALC se sum al convenio suscrito entre el Instituto Colombiano de Bienestar Familiar
y diferentes empresas proveedoras de acceso a Internet para combatir la pornografa infantil
y juvenil en Internet.
b. Los empleados y contratistas deben limitar su acceso a pginas de entretenimiento,
distraccin o correos en portales pblicos. El CERLALC podr aplicar restricciones o
sanciones en casos que se encuentren excesos.
c. Se debe auto-regular el uso de herramientas de mensajera instantnea y chat, tales como
Skype, Messenger, Yahoo Messenger, Gmail Talk, entre otros, en horas laborales a
cuestiones de trabajo, evitando a toda costa que se afecte la productividad.
d. No est permitido instalar y usar juegos en los computadores, debido que estos se deben
usar como una herramienta de trabajo y no como forma de distraccin.
e. No est permitido descargar msica de ningn sitio de Internet, entre otros: mp3, mp4, wav,
wma, midi, mpeg, jpeg,j pg, gif, o cualquier otro formato existente, dado que ello constituye
una violacin al derecho de autor sobre ese tipo de obras grabadas o descargadas
libremente.
f. No est permitido instalar software P2P Per-to-Per en los computadores ya que este
software afecta el rendimiento del canal corporativo de Internet y puede impactar la
vulnerabilidad de las redes corporativas.
g. No est permitido descargar ni instalar software de Internet. El nico personal autorizado
para instala cualquier tipo de software ser el rea de Sistemas & T.I., acorde a las polticas
existentes.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 44 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.2-02
Versin
COMUNICACIONES
GESTION DE INTRANET
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones
asignadas a los empleados y contratistas del CERLALC.
b. Debe existir un procedimiento de administracin de la intranet, en especial el mantenimiento
y depuracin de la informacin publicada, que garantice el buen uso de este y de las
herramientas disponibles para su gestin.
c. La informacin de Intranet debe ser nicamente utilizada por personal autorizado. Los
usuarios no deben re-direccionar informacin que aparezca en Intranet a terceros sin
autorizacin de la Organizacin.
d. La informacin que se publique en la Intranet de la Organizacin, debe contar con la
aprobacin del responsable de cada rea y bajo la coordinacin del rea de Servicio
Regional de Informacin, encargada de la administracin de la pgina web, y la del
propietario de la informacin involucrada
2. Seguridad
a. Deben existir los mecanismos de gestin y control apropiados para garantizar el adecuado
uso de la Intranet, tales como Firewall, Proxy, DNS, Filtro de Contenidos, Anti-virus, antispam, anti-spyware, anti-phising, anti-malware y dems software para gestin de
vulnerabilidades de redes, aprobados por el rea de Sistemas & T.I. y avaladas por la
Organizacin.
b. El material que se publique en la Intranet de la Organizacin debe ser revisado previamente
para confirmar la actualidad, oportunidad e importancia de la informacin y evitar que los
programas o archivos incluyan virus. As mismo, se debe evaluar posibles problemas
operativos y de seguridad de acuerdo con las polticas establecidas.
3. Responsabilidades
d. Se debe hacer uso racional del servicio de Internet, y se considera como uso indebido
cuando:
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 45 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
v.
vi.
vii.
viii.
P-GT-01
4. Restricciones
a. Est prohibida la publicacin de material de pornografa y de cualquier otra ndole que
atente contra la integridad de los usuarios de la organizacin.
b. No est permitido publicar o usar juegos en redes internas de trabajo.
c. No est permitido publicar, transmitir, almacenar o copiar msica desde ni hacia
componentes de redes, unidades publicar o unidades internas de la organizacin
d. No est permitido publicar, transmitir, almacenar o copiar software corporativo u otros.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 46 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.2-03
Versin
COMUNICACIONES
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
Establecer las reglas que debe cumplir cualquier correo electrnico enviado
desde una cuenta de correo de CERLALC.
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. Debe existir un protocolo de gestin y asignacin de correos electrnicos.
b. Todos los empleados y contratistas de CERLALC, tendrn correo electrnico personalizado
el cual se implementar en la medida en que se disponga de computadores para tal fin.
c. Todas las direcciones de correo electrnico deben ser creadas usando el estndar
establecido por el CERLALC y deben tener una cuota de almacenamiento mximo.
d. El correo de CERLALC, no se debe usar para la creacin o distribucin de cualquier
mensaje corrupto u ofensivo, incluyendo comentarios ofensivos acerca de raza, genero,
color del cabello, discapacidades, edad, orientacin sexual, pornografa, creencias o
prcticas religiosas, creencias polticas o nacionalidad. Cualquier empleado y contratista
que reciba mensajes de correo con este tipo de contenido desde cualquier cuenta de
CERLALC debe reportar este asunto al rea de Sistemas & T.I.
e. Se debe eliminar todo el correo basura cartas cadena o similares inmediatamente sin
reenviarlo. Los empleados y contratistas de CERLALC no deben contar con ningn tipo de
privacidad respecto de cualquier informacin que guarden, enven o reciban en el sistema
de correo de la Organizacin.
f. Usar una cantidad razonable de los recursos de CERLALC para mensajes de correo
personales es aceptable. Los mensajes de correo que no sean relacionados con el trabajo
se deben guardar en una carpeta separada de los mensajes de oficina.
2. Seguridad
a. Est restringido el envo y recepcin de archivos comprimidos en formato Zip o Rar, dados
los riesgos asociados a los mensajes provenientes de entes externos o fuentes no
confiables con fines malignos. Para el rea de Servicio Regional de Informacin se
contempla excepcin controlada por la naturaleza de la informacin de transmite con
diversos entes asociados.
b. Debe existir una herramienta o mecanismo de encriptacin establecido como estndar, para
los mensajes de correo intercambiados con entes externos,
c. Se bebe realizar un anlisis de virus, con la herramienta asignada para tal fin, de todos los
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 47 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 48 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO
INSTALACIONES
PSI-4.1-01
Versin
SEGURIDAD FISICA
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. reas seguras
a. Se consideran reas seguras: las oficinas de la Direccin y Secretaria General,
archivos administrativos, archivos operativos, archivo central, tesorera, centro de
cmputo, centros de cableado y centros elctricos, centros de monitoreo / vigilancia, y
dems que determine la Direccin.
b. Las reas seguras deben ser discretas y ofrecer un sealamiento mnimo de su
propsito, sin signos obvios, exteriores o interiores.
c. Se deben revisar y actualizar peridicamente los perfiles de acceso a las reas
protegidas.
d. Los materiales peligrosos o combustibles deben ser almacenados en lugares seguros
a una distancia prudencial del rea protegida
e. Debe existir un Plan de Evacuacin en casos de siniestros de cualquier ndole.
f. El ingreso para fines de aseo y mantenimiento de reas seguras, se debe realizar con
acompaamiento del responsable del rea o un delegado por el mismo.
2. Control Accesos
a. Debe existir un protocolo de gestin de accesos fsicos a las instalaciones y reas de
la organizacin, debidamente documentado y soportado, que garantice el registro de
todo tipo de actividad de acceso hacia y desde las instalaciones.
b. El acceso a las oficinas de visitantes est permitido nicamente bajo acompaamiento
de los empleados y contratistas de la Oficina, con el fin de reducir riesgo de hurto a
equipos porttiles, dispositivos perifricos u otros.
c. El acceso de visitantes, o terceros en horarios no laborales debe estar supervisado
por el responsable del rea implicada.
d. Los visitantes deben ser supervisados o inspeccionados y la fecha y horario de su
ingreso y egreso deben ser registrados.
e. Se deben registrar las actividades realizadas en las zonas restringidas por personal
externo. Se debe anotar el nombre, fecha, hora entrada, hora salida y actividad
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Grupo de Organizacin,
Fernando Zapata Lpez
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 49 de 53
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
realizada, el personal que ingrese debe permanecer acompaado por personal del
CERLALC.
f. Se debe requerir que todo el personal exhiba alguna forma de identificacin visible.
g. Se debe registrar todo paquete, vehculo u otro, con el fin de garantizar la entrada y
salida de equipos de cmputo propios de CERLALC.
3. Acceso al Centro de Cmputo
a. Ningn usuario ajeno al rea de Sistemas & T.I. debe ingresar al Centro de Cmputo,
nicamente podrn acceder las personas autorizadas en caso obligatorio para efectos
de mantenimiento, previa autorizacin por parte del rea de Sistemas & T.I.
b. El Centro de Cmputo debe permaneces cerrado y con mecanismos de control de
acceso apropiados, debe mantener un registro que permita auditar todos los accesos,
deben estar fsicamente separadas de reas administradas por terceros.
c. La configuracin del Centro de Cmputo debe cumplir con los mnimos requerimientos
de seguridad, adoptando estndares internaciones.
d. El equipamiento de sistemas de soporte de reposicin de informacin perdida y los
medios informticos de resguardo deben estar situados a un sitio diferente al Centro
de Cmputo, para evitar prdidas y/o daos ocasionados por eventuales desastres en
el sitio principal.
e. El equipamiento debe estar protegido de daos ambientales como agua, fuego,
terremoto, etc.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 50 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
CAPITULO
CONTINUIDAD DE
NEGOCIO
PSI-5.2-01
Versin
COPIAS DE SEGURIDAD
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
Esta norma aplica a todos los usuarios del rea de Sistemas & T.I. del
CERLALC.
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. Debe existir un procedimiento que determine actividades, periodicidad, responsables y
mecanismos de almacenamiento de las copias de respaldo de todos los sistemas de
informacin del CERLALC.
b. Debe existir una definicin formal de las polticas y procedimientos de generacin, retencin
y rotacin de copias de respaldo.
c. Debe existir un Plan de Copias de Respaldo, y debe contemplar la generacin de copias de
respaldo de los sistemas operativos, los sistemas de informacin, las aplicaciones
corporativas, acorde con los procedimientos establecidos en el Plan de contingencia y en
los procedimientos diseados para realizar dicha actividad.
d. Cada vez que se cambien los servidores o el Software, los procedimientos para realizar las
Copias de Respaldo y el Plan de Contingencia deben ser actualizados.
e. Con el objetivo de garantizar la continuidad del negocio, se determina como de carcter
obligatorio, la ejecucin de polticas y procedimientos relacionados con copias de respaldo
definidas por el CERLALC.
2. Generacin
a. La generacin de las Copias de Respaldo se debe realizar con base en el resultado de los
anlisis de riesgos de la informacin existente y vigente en la Organizacin.
b. Debe existir un protocolo de generacin de Copias de Respaldo por cada sistema
operativo, sistema de informacin y aplicacin corporativa , que contemple la definicin de
los tipos de copias, tipos y medios de almacenamiento, aplicacin de respaldo, frecuencia
de copia, plan de prueba, esquemas de seguridad y actividades de restauracin.
c. Cada vez que se cambien los servidores o el Software, los procedimientos para realizar el
Copias de Respaldo y el Plan de Contingencia deben ser actualizados.
d. Se deben realizar prueba de los medios utilizados con el fin de asegurar su adecuado
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 51 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
P-GT-01
funcionamiento o descartarlos.
3. Almacenamiento y custodia
a. Deben usarse medios que permitan almacenar la informacin apropiadamente, no utilizar
CD o DVD ya que dichos medios se degradan y la informacin se pierde.
b. Los medios deben ser almacenados en un sitio que posea las condiciones ambientales
correctas (Temperatura y Humedad), el cual asegure el adecuado funcionamiento de los
mismos.
c. Los medios deben contar con un periodo de vida (registro de fecha de inicio del uso de los
mismos y una fecha de descarte).
d. Los medios descartados no se deben usar ya que existe el riesgo de prdida de la
informacin en ellos almacenada.
e. Todos los medios se deben mantener en un rea restringida y bajo llave.
f. El acceso a los medios ser autorizado nicamente al rea de Sistemas & T.I. o al personal
que sea autorizado por dicha rea.
g. Los medios deben estar adecuadamente etiquetados de tal forma que sean fcilmente
identificables.
h. El contrato de los medios almacenados en instalaciones externas, debe contar con una
clusula de Confidencialidad la cual asegure que la informacin no pueda ser copiada o
divulgada en forma no autorizada.
i. Se debe tener un registro de los medios enviados a sitio externo, firmado por el tercero que
reciba dichos medios o su representante.
4. Responsabilidades
a. La gestin de las copias de respaldo es responsabilidad del rea de Sistemas & T.I. y la
ejecucin operativa del Ingeniero de Soporte designado por el Outsourcing Informtico.
b. La responsabilidad de verificar la realizacin de copias de respaldo de los servidores y de
las estaciones de trabajo es del rea de Sistemas & T.I.
c. El almacenamiento de las copias de respaldo es responsabilidad del rea de Sistemas &
T.I. y el Outsourcing Informtico.
d. El rea de Sistemas & T.I.deben garantizar la realizacin de las copias de respaldo acorde
a la frecuencia y alcance identificados en el Anlisis de Riesgos de la informacin.
5. Seguridad
a. Todas las copias de respaldo deben estar encriptado.
b. El acceso al registro de ubicacin y contenido de los medios debe estar restringido.
c. Se debe contar con un registro, el cual permita identificar la ubicacin (centro externo o
cinto teca) y el contenido de cada medio (con un nmero o un cdigo).
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 52 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
CAPITULO
CONTINUIDAD DE
NEGOCIO
CONTINGENCIA Y
RECUPERACION DE
DESASTRES
P-GT-01
PSI-5.3-01
Versin
GESTION DE CONTINGENCIAS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
ALCANCE
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
1. Gestin
a. Debe existir un BCP-Plan de Continuidad de Negocio, que a su vez involucre un Anlisis de
Riesgos, Plan de Contingencias, Plan de Recuperacin de Desastres y Plan de
Disponibilidad, con el objetivo de garantizar la continuidad en el funcionamiento de los
activos tecnolgicos del CERLALC y es responsabilidad de su elaboracin el rea de
Sistemas & T.I. y de su aprobacin el Grupo de Organizacin, mtodos y Desarrollos.
b. Debe existir un protocolo de accin y un cronograma de ejecucin, pruebas y ajustes, por
cada uno de los planes enunciados anteriormente.
c. Se entiende por Plan de Continuidad de Negocio todas las acciones administrativas y/o
operacionales tendientes a garantizar la continuidad del negocio ante eventualidades
externas o internas que atente contra el normal funcionamiento de la organizacin
d. Se entiende por Anlisis de Riesgos el estudio que se realiza por un ente interno y/o un ente
externo, con el objetivo de identificar los riesgos existentes, la probabilidad de ocurrencia y
su impacto, para finalmente determinar los controles que mitiguen los riesgos identificados.
e. Se entiende por Plan de Contingencia todas las acciones administrativas y/o operacionales
tendientes a superar fallas, incidentes y eventos en general que interrumpan el normal
funcionamiento de los activos tecnolgicos del CERLALC
f. Se entiende por Plan de Recuperacin de Desastres todas las acciones administrativas y/o
operacionales tendientes a restaurar todos los componentes afectados una vez se han
presentado prdidas materiales o fsicas en eventos o situaciones catastrficas..
g. El plan de Contingencias debe permitir reaccionar ante eventos no esperados sea por
efectos de la naturaleza o humanos (robo, sabotaje, terremoto, incendio, inundacin, toma
de las instalaciones del CERLALC, entre otros).
h. El rea de Sistemas & T.I. es responsable de establecer perodos de actualizacin,
mantenimiento y pruebas del Plan de Continuidad del Negocio.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 53 de 53
Aprobado por:
Fernando Zapata Lpez
Director