Академический Документы
Профессиональный Документы
Культура Документы
Secretaria de Planeacin
Ttulo
Fecha elaboracin
aaaa-mm-dd:
Sumario:
Palabras Claves:
Formato:
Dependencia:
Cdigo:
Categora:
Autor (es):
Revis:
Aprob:
Informacin Adicional
Ubicacin
CONTROL DE CAMBIOS
VERSIN
1.0
FECHA
01/08/2013
No.
SOLICITUD
RESPONSABLE
DESCRIPCIN
TABLA DE ANEXOS
DERECHOS DE AUTOR
Todas las referencias a los documentos del Modelo de Seguridad de la Informacin con derechos
reservados por parte del Ministerio de Tecnologas de la Informacin y las Comunicaciones, por medio
del Programa Gobierno en lnea.
Todas las referencias a las polticas, definiciones o contenido relacionado, publicadas en la norma
tcnica colombiana NTC:ISO/IEC 27001:2005, as como a los anexos con derechos reservados por parte
de ISO e ICONTEC.
1. AUDIENCIA
Entidades pblicas del orden territorial municipal, as como proveedores de servicios de Gobierno en
lnea y terceros que deseen adoptar el Modelo de Seguridad de la Informacin en el marco de la
Estrategia Gobierno en lnea.
Dependencias, Funcionarios, proveedores y contratistas del Municipio.
2. INTRODUCCIN
Teniendo en cuenta lo establecido en el Plan Vive Digital, liderado por el Ministerio de las Tecnologas de
la Informacin y las Comunicaciones, en cuanto a la infraestructura, los servicios, las aplicaciones y los
usuarios en el marco de un ecosistema digital; las recomendaciones brindadas en el Plan Nacional de
Desarrollo 2010-2014 en cuanto a la necesidad de reconocer la seguridad informtica como un factor
primordial para la apropiacin de las TIC; la constante evolucin de los mercados; y la dinmica de las
entidades, se plantea un marco de seguridad de la informacin para la prestacin de servicios a los
ciudadanos a travs de las tecnologas de la informacin, el cual deber ser respaldado por una gestin,
unas polticas y unos procedimientos adecuados, que resalten el papel de las personas como el primer
eslabn de una compleja cadena de responsabilidades y que est orientado a preservar los pilares
fundamentales de la seguridad de la informacin:
Autenticidad: Los activos de informacin los crean, editan y custodian usuarios reconocidos quien
es validan su contenido.
Posibilidad de Auditora: Se mantienen evidencias de todas las actividades y acciones que afectan
a los activos de informacin.
Proteccin a la duplicacin: Los activos de informacin son objeto de clasificacin, y se llevanre
gistros de las copias generadas de aquellos catalogados como confidenciales.
No repudio: Los autores, propietarios y custodios de los activos de informacin se
puedenidentificar plenamente.
Legalidad: Los activos de informacin cumplen los parmetros legales, normativos y estatutarios
de la entidad territorial
Confiabilidad de la Informacin: Es fiable el contenido de los activos de informacin que
conserven la confidencialidad, integridad, disponibilidad, autenticidad y legalidad.
3. VISIN ESTRATGICA
La estrategia de Gobierno en lnea contribuye con la construccin de un Estado ms eficiente, ms
transparente y participativo y que presta mejores servicios con la colaboracin de toda la sociedad,
mediante el aprovechamiento de las T
Tecnologas
ecnologas de la Informacin y las Comunicaciones. Lo anterior,
con el fin de impulsar la competitividad y el mejoramiento de la calidad de vida para la prosperidad de
todos los colombianos.1
Para lograr esta visin nacional,, se han adoptado
adoptado, igualmente, los siguientes objetivos:
La arquitectura est compuesta de tres componentes: Una red de servicios, un entorno de colaboracin
y un componente de Gobernabilidad.
3.1.1 La red de servicios, contiene una serie de servicios interrelacionados de informacin,
transaccin y participacin; los cuales son accedidos a travs de diferentes Canales de
Acceso. Entre los canales de acceso que se puede encontrar estn la Televisin, el
Internet, el Celular, los Canales Presenciales, entre otros.
Los servicios de transaccin corresponden a aquellos servicios sobre los cuales los clientes
pueden realizar operaciones con el Estado. Entre estos servicios encontramos la
Ventanilla nica de Registro de Propiedad del Inmueble, el Certificado de Antecedentes
Fiscales, la Solicitud de constancia juramentada por perdida, extravi de documentos o
elementos, entre otros.
3.1.2
Este entorno de colaboracin se soporta en unos componente de apoyo, que involucran tanto
Soluciones de soporte como de Infraestructura Tecnolgica.
Las Soluciones de soporte corresponden a aquellas soluciones que se requieren por uno o
varios servicios, y que facilitan la dinmica del entorno de colaboracin al facilitar la
concentracin de esfuerzos en la construccin de funciones de valor para los clientes.
Entre las soluciones de soporte encontramos la solucin de Autenticacin en lnea,
Notificacin en lnea, Botn de pago, Tramitador en lnea. Estas soluciones pueden ser
provistas tanto por las entidades del Estado, como por terceros, y depender de su uso
estratgico quien las desarrolle.
Desde el punto de vista de seguridad, el modelo que se plantea en este documento busca ayudar a la
entidad en la provisin de servicios confiables a los clientes, a partir de unos procesos con los que se
pueda crear, distribuir y manipular informacin electrnica masiva, protegiendo la informacin del
individuo. Para esto, se ha contemplado tambin que se desarrollen entre otras, competencias
relacionadas con seguridad en la creacin de una cultura digital que aproveche las TIC para crear valor a
los clientes y se generen capacidades de colaboracin entre los funcionarios de las diferentes Entidades,
para poder implementar de manera ms eficiente el modelo.
Por lo tanto, el modelo de seguridad se involucra dentro de la arquitectura como un principio, que debe
regir todo lo que se construya, y a partir de all se entregan una serie de lineamientos, metodologas,
guas y estndares, que estn al servicio de las entidades para la implementacin de la Estrategia, e
incluyen:
Lineamientos:
Organigrama del modelo y Sistema de Atencin de Seguridad de Informacin de Gobierno en
lnea
Estratificacin de Entidades
Control de seguridad
Indicadores de seguridad.
Lineamientos para la implementacin del modelo de seguridad de la informacin.
Metodologas:
Metodologa para gestin de riesgos
Metodologa de clasificacin de activos
Guas:
Encuesta de seguridad
Autoevaluacin de entidades, para el anlisis de brecha
Plantilla de poltica de seguridad del Sistema de Gestin de Seguridad de la Informacin SGSI
para las entidades
Ejemplos de procedimientos estndares usados
Guas de implementacin de poltica
Finalmente, se incluyen una serie de recomendaciones en cada uno de los componentes de la
arquitectura, relacionados en la Red de servicios y el Entorno de colaboracin.
2
Tomado y adaptado del documento INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACIN SISTEMA SANSI SGSI. MODELO DE SEGURIDAD DE LA INFORMACIN PARA
LA ESTRATEGIA DE GOBIERNO EN LNEA, Programa Gobierno en lnea (2008).
La aproximacin se hace a travs del modelo PHVA de la figura, donde se identifican las diferentes
etapas como son la planeacin y publicacin del modelo. El hacer, con la ambientacin de las
entidades y dependencias municipales, formacin de capacitadores e implementacin del SGSI en las
entidades y dependencias, este ltimo desarrollado en detalle en un captulo ms adelante.. El
verificar mediante el seguimiento y control. Y el actuar mediante la revisin y mejoras al modelo.
La ALCALDIA DE TUNJA, para el cumplimiento de su misin, visin, objetivo estratgico y apegado a sus
valores corporativos, establece la funcin de Seguridad de la Informacin en la Entidad, con el objetivo
de:
Minimizar el riesgo en las funciones ms importantes de la entidad.
Cumplir con los principios de seguridad de la informacin.
Cumplir con los principios de la funcin administrativa.
Mantener la confianza de sus clientes, socios y empleados.
Apoyar la innovacin tecnolgica.
Implementar el sistema de gestin de seguridad de la informacin.
Proteger los activos tecnolgicos.
Establecer las polticas, procedimientos e instructivos en materia de seguridad de la informacin.
Fortalecer la cultura de seguridad de la informacin en los funcionarios, terceros, aprendices,
practicantes y clientes.
Garantizar la continuidad del negocio frente a incidentes.
Los mecanismos de control de acceso fsico para el personal y terceros deben permitir el acceso a las
instalaciones y reas restringidas de la Alcalda Municipal de Tunja slo a personas autorizadas para
la salvaguarda de los equipos de cmputo y de comunicaciones.
Los computadores de la Compaa slo deben usarse en un ambiente seguro. Se considera que un
ambiente es seguro cuando se han implantado las medidas de control apropiadas para proteger el
software, el hardware y los datos. Esas medidas deben estar acorde a la importancia de los datos y
la naturaleza de riesgos previsibles.
4.2.2. Controles
El usuario deber reportar de forma inmediata al rea de Sistemas cuando detecte que existan riesgos
reales o potenciales para equipos de cmputo o comunicaciones, como pueden ser fugas de agua,
conatos de incendio u otros.
El usuario tiene la obligacin de proteger las unidades de almacenamiento que se encuentren bajo su
administracin, aun cuando no se utilicen y contengan informacin reservada o confidencial.
Es responsabilidad del usuario evitar en todo momento la fuga de la informacin de la institucin que
se encuentre almacenada en los equipos de cmputo personal que tenga asignados.
Cualquier persona que tenga acceso a las instalaciones de la institucin, deber registrar al Momento
de su entrada, el equipo de cmputo, equipo de comunicaciones, medios de almacenamiento y
herramientas que no sean propiedad de la Institucin, en el rea de recepcin, el cual podrn retirar el
mismo da. En caso contrario deber tramitar la autorizacin de salida correspondiente.
Las computadoras personales, las computadoras porttiles, y cualquier activo de tecnologa de
informacin, podrn salir de las instalaciones de la Coordinacin General Administrativa nicamente con
la autorizacin de salida del rea deInventarios anexando el vale de salida del equipo debidamente por
el secretario de la oficina o la equivalente en las dependencias de la institucin.
Los usuarios debern asegurar que toda la informacin que desean sea respaldada se deber guardar
en los servidores de la Coordinacin General Administrativa ya que el rea de sistemas no se hace
responsable por perdidas de informacin que no se encuentren dentro del servidor.
En caso de que haya prdida de informacin dentro del servidor podrn recuperar su informacin
solicitndolo con un incidente indicando el nombre del archivo y la ruta del mismo para poder
encontrarlo dentro del sistema de respaldos.
Los centros de cmputo de Institucin son reas restringidas, por lo que slo el personal autorizado
por el Sistemas puede acceder a ellos.
Los usuarios no deben mover o reubicar los equipos de cmputo o de telecomunicaciones, instalar o
desinstalar dispositivos, ni retirar sellos de los mismos sin la autorizacin del rea de Sistemas, en caso
de requerir este servicio deber solicitarlo.
El rea de Inventarios ser la encargada de generar el resguardo y recabar la firma del usuario
informtico como responsable de los activos informticos que se le asignen y de conservarlos en la
ubicacin autorizada por el rea de Sistemas.
El equipo de cmputo asignado, deber ser para uso exclusivo de las funciones de la institucin.
Ser responsabilidad del usuario solicitar la capacitacin necesaria para el manejo de las herramientas
informticas que se utilizan en su equipo, a fin de evitar riesgos por mal uso y para aprovechar al
mximo las mismas.
Es responsabilidad de los usuarios almacenar su informacin nicamente en la particin de disco duro
en el servidor o en mis Mis Documentos ya que las otras estn destinadas para archivos de programa
y sistema operativo.
Mientras se opera el equipo de cmputo, no se debern consumir alimentos o ingerir lquidos.
Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilacin del monitor o del
computador.
Se debe mantener el equipo informtico en un entorno limpio y sin humedad.
Cuando se requiera realizar cambios mltiples del equipo de cmputo derivado de reubicacin de
lugares fsicos de trabajo, stos debern ser notificados con una semana de anticipacin al rea de
Sistemas y Calidad a travs de un plan detallado.
Queda prohibido que el usuario abra o desarme los equipos de cmputo.
nicamente el personal autorizado por el rea de Sistemas y Calidad podr llevar a cabo los servicios y
reparaciones al equipo informtico.
Los usuarios debern asegurarse de respaldar en el servidor la informacin que consideren relevante
cuando el equipo sea enviado a reparacin y borrar aquella informacin sensible que se encuentre en el
equipo, previendo as la prdida involuntaria de informacin, derivada del proceso de reparacin.
El usuario que tenga bajo su resguardo algn equipo de cmputo, ser responsable de su uso y
custodia; en consecuencia, responder por dicho bien de acuerdo a la normatividad vigente en los casos
de robo, extravo o prdida del mismo.
El prstamo de laptops tendr que solicitarse en el rea de Sistemas y Calidad, con el visto bueno del
Secretario de las dependencias de la institucin.
El usuario deber dar aviso inmediato al rea de Sistemas y Calidad, e Inventarios de la desaparicin,
robo o extravo del equipo de cmputo o accesorios bajo su resguardo.
El uso de los grabadores de discos compactos es exclusivo para copias de seguridad de software y
para respaldos de informacin que por su volumen as lo justifiquen.
El usuario que tenga bajo su resguardo este tipo de dispositivos ser responsable del buen uso que se
les d.
Si algn rea por requerimientos muy especficos del tipo de aplicacin o servicio de informacin tiene
la necesidad de contar con uno de ellos, deber ser justificado y autorizado por el departamento de
informtica.
El equipo de cmputo o cualquier recurso de tecnologa de informacin que sufra alguna
descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, se
levantara un reporte de incumplimiento de polticas de seguridad
Los equipos de la Compaa slo deben usarse para actividades de trabajo y no para otros fines, tales
como juegos y pasatiempos.
Debe respetarse y no modificar la configuracin de hardware y software establecida por el
Departamento de Informtica.
Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua).
Deben usarse protectores contra transitorios de energa elctrica y en los servidores deben usarse
fuentes de poder interrumpibles (UPS).
Los equipos deben marcarse para su identificacin y control de inventario. Los registros de inventario
deben mantenerse actualizados.
Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseas robusto y
adems deben configurar el protector de pantalla para que se active al cabo de 15 minutos de
inactividad y que requiera una contrasea al reasumir la actividad. Adems el usuario debe activar el
protector de pantalla manualmente cada vez que se ausente de su oficina.
Si un computador tiene acceso a datos confidenciales, debe poseer un mecanismo de control de
acceso especial, preferiblemente por hardware.
Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras
personas mediante disposicin apropiada del mobiliario de la oficina y protector de pantalla. Cuando ya
no se necesiten o no sean de utilidad, los datos confidenciales se deben borrar.
Debe implantarse un sistema de autorizacin y control de acceso con el fin de restringir la posibilidad
de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. Estos privilegios deben
definirse de una manera consistente con las funciones que desempea cada usuario.
Para prevenir la intrusin de hackers a travs de puertas traseras, no est permitido el uso de mdems
en computadores que tengan tambin conexin a la red local (LAN), a menos que sea debidamente
autorizado. Todas las comunicaciones de datos deben efectuarse a travs de la LAN de la Compaa.
A menos que se indique lo contrario, los usuarios deben asumir que todo el software de la institucin
est protegido por derechos de autor y requiere licencia de uso. Por tal razn es ilegal y est
terminantemente prohibido hacer copias o usar ese software para fines personales.
Los usuarios no deben copiar a un medio removible (como una USB), el software o los datos
residentes en las computadoras de la Compaa, sin la aprobacin previa de la gerencia.
No pueden extraerse datos fuera de la institucin sin la aprobacin previa de la gerencia. Esta poltica
es particularmente pertinente a aquellos que usan a computadoras porttiles o estn conectados a redes
como Internet.
Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada. Si se
detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar
inmediatamente al Jefe de Seguridad Informtica y poner el computador en cuarentena hasta que el
problema sea resuelto.
Slo pueden descargarse archivos de redes externas de acuerdo a los procedimientos establecidos.
Debe utilizarse un programa antivirus para examinar todo software que venga de afuera o inclusive de
otras dependencias de la institucin.
No debe utilizarse software descargado de Internet y en general software que provenga de una fuente
no confiable, a menos que haya sido comprobado en forma rigurosa y que est aprobado su uso por el
Departamento de Informtica.
Para prevenir demandas legales o la introduccin de virus informticos, se prohbe estrictamente la
instalacin de software no autorizado, incluyendo el que haya sido adquirido por el propio usuario. As
mismo, no se permite el uso de software de distribucin gratuita o shareware, a menos que haya sido
previamente aprobado por el Departamento de Informtica.
Para ayudar a restaurar los programas originales no daados o infectados, deben hacerse copias de
todo software nuevo antes de su uso, y deben guardarse tales copias en un lugar seguro.
No deben usarse USB u otros medios de almacenamiento en cualquier computador de la institucin a
menos que se haya sido previamente verificado que estn libres de virus u otros agentes dainos.
Peridicamente debe hacerse el respaldo de los datos guardados en computadores y servidores y las
copias de respaldo deben guardarse en un lugar seguro, a prueba de hurto, incendio e inundaciones.
Los programas y datos vitales para la operacin de la institucin deben guardarse en otra sede, lejos del
edificio.
Los usuarios de computadores son responsables de proteger los programas y datos contra prdida o
dao. Para sistemas multiusuario y sistemas de comunicaciones, el Administrador de cada uno de esos
sistemas es responsable de hacer copias de respaldo peridicas. Los gerentes de las distintas
dependencias son responsables de definir qu informacin debe respaldarse, as como la frecuencia del
respaldo
(por ejemplo: diario, semanal) y el mtodo de respaldo (por ejemplo: incremental, total).
La informacin de la institucin clasificada como confidencial o de uso restringido, debe guardarse y
transmitirse en forma cifrada, utilizando herramientas de encriptado robustas y que hayan sido
aprobadas por el departamento de Informtica.
No debe borrarse la informacin original no cifrada hasta que se haya comprobado que se puede
recuperar desde los archivos encriptados mediante el proceso de descifrado.
El acceso a las claves utilizadas para el cifrado y descifrado debe limitarse estrictamente a las personas
autorizadas y en ningn caso deben revelarse a consultores, contratistas y personal temporal.
Siempre que sea posible, debe eliminarse informacin confidencial de los computadores y unidades de
disco duro antes de que les mande a reparar. Si esto no es posible, se debe asegurar que la reparacin
sea efectuada por empresas responsables, con las cuales se haya firmado un contrato de
confidencialidad. Alternativamente, debe efectuarse la reparacin bajo la supervisin de un
representante de la institucin.
No debe dejarse las impresoras desatendidas, sobre todo si se est imprimiendo (o se va a imprimir)
informacin confidencial de la institucin.
El personal que utiliza un computador porttil que contenga informacin confidencial de la institucin,
no debe dejarlo desatendido, sobre todo cuando est de viaje, y adems esa informacin debe estar
cifrada.
4.3. SWITCHES Y ROUTERS
4.3.1. Poltica
El departamento de Sistemas es absolutamente responsable del manejo de los dispositivos de red
entindase por Routers y Switches de los que dispone la institucin, velando porque estn dispuestos en
lugares seguros y protegidos a nivel fsico as como tambin a nivel lgico.
4.3.2. Controles
Las contraseas predefinidas que traen los dispositivos nuevos, deben cambiarse inmediatamente al
ponerse en servicio el dispositivo.
Se deber designar al personal que efectuara las actividades de instalacin, desinstalacin,
mantenimiento y conexin fsica de estos dispositivos.
Definir procedimientos de recuperacin ante eventualidades fsicas.
Se debe llevar un registro con la informacin necesaria de las personas u organizaciones que debern
ser notificadas en caso de que la red se vea comprometida por un malfuncionamiento o intrusin.
Se debe mantener identificada la informacin relevante a ser capturada y retenida.
Definir procedimientos de respuesta, autoridades y los objetivos de la respuesta despus de un ataque
exitoso, incluir esquemas de preservacin de la evidencia.
Se debern enumerar protocolos, puertos y servicios a ser permitidos o filtrados en cada interface, as
como los procedimientos para su autorizacin.
Se debern identificar los servicios de configuracin dinmica de los Routers, y las redes permitidas
para accesar a dichos servicios
Se deben tener plenamente identificados los protocolos de ruteo a utilizar, y los esquemas de
seguridad que proveen Seguridad en el Router
Se debern designar mecanismos y polticas de actualizacin del reloj (manual o por NTP).
Se deben identificar los algoritmos criptogrficos autorizados para levantar VPNs.
4.4. CORREO ELECTRNICO INSTITUCIONAL
4.4.1. Poltica
El correo electrnico es de carcter personal e intransferible, es deber de cada uno de los usuarios
mantener el uso de este y de su contrasea siguiendo estas dos premisas y por ningn motivo se debe
permitir a otra persona acceder a este recurso
4.4.2. Controles
Los usuarios no deben usar cuentas de correo electrnico asignadas a otras personas, ni recibir
mensajes en cuentas de otros. Si fuera necesario leer el correo de alguien ms (mientras esta persona
se encuentre fuera o de vacaciones) el usuario ausente debe re direccionar el correo a otra cuenta de
correo interno, quedando prohibido hacerlo a una direccin de correo electrnico externa a la institucin,
a menos que cuente con la autorizacin del departamento de informtica.
Los usuarios deben tratar los mensajes de correo electrnico y archivos adjuntos como informacin de
propiedad de la Alcalda Municipal de Tunja. Los mensajes de correo electrnico deben ser manejados
como una comunicacin privada y directa entre emisor y receptor.
Los usuarios podrn enviar informacin reservada y/o confidencial va correo electrnico siempre y
cuando vayan de manera encriptado y destinada exclusivamente a personas autorizadas y en el ejercicio
estricto de sus funciones y atribuciones
Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario de correo
electrnico.
Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar las comunicaciones
electrnicas.
4.5 BASES DE DATOS
4.5.1. Poltica
Es obligacin de la Institucin y en especial del administrador de la base de datos controlar todo tipo
de manejo que se efectu sobre la base de datos y velar por mantenerla protegida contra todo tipo de
ataque dao o intrusin sean de naturaleza externa o interna, y en caso de presentarse este tipo de
situaciones deben aplicarse los procedimientos correctivos necesarios para restaurar el funcionamiento
de la misma sin que ocurra perdida de informacin.
Es poltica de la institucin prohibir la divulgacin, duplicacin, modificacin, destruccin, prdida, mal
uso, robo y acceso no autorizado de informacin propietaria. Adems, es su poltica proteger la
informacin que pertenece a otras empresas o personas y que le haya sido confiada.
4.5.2. Controles
Es funcin del administrador especificar los privilegios que un usuario tiene sobre la base de datos
La base de datos debe estar protegida contra el fuego, el robo y otras formas de destruccin.
Secretaria de Planeacin
Se debe garantizar que los datos sean reconstruidos en caso de dao, efectuando peridicamente un
respaldo de la informacin
Los datos deben poder ser sometidos a procesos de auditoria. La falta de auditoria en los sistemas de
computacin ha permitido la comisin de grandes delitos.
El sistema debe disearse a prueba de intromisiones. Los programadores, por ingeniosos que sean, no
deben poder pasar por alto los controles.
El sistema debe tener capacidad para verificar que sus acciones han sido autorizadas. Las acciones de
los usuarios deben ser supervisadas, de modo tal que pueda descubrirse cualquier accin indebida o
errnea.
Se deber demorar la respuesta de la base de datos ante claves errneas aumentando la demora cada
vez y se alertara si hay demasiados intentos.
Registrar todas las entradas cada vez que un usuario entra, se debe chequear cundo y desde dnde
entr la vez anterior.
Hacer chequeos peridicos de claves fciles de adivinar, procesos que llevan demasiado tiempo
corriendo, permisos errneos, actividades extraas (por ejemplo cuando usuario est de vacaciones).
Identificar y autorizar a los usuarios: uso de cdigos de acceso y palabras claves, exmenes,
impresiones digitales, reconocimiento de voz, barrido de la retina, etc.
Se deber contar con un sistema de manejo de autorizaciones con el fin de usar derechos de acceso
dados por el terminal, por la operacin que puede realizar o por la hora del da.
Uso de tcnicas de cifrado para proteger datos en la base de datos
Diferentes tipos de cuentas que contaran con permisos para: creacin de cuentas, concesin y
revocacin de privilegios y asignacin de los niveles de seguridad.
Manejo de la tabla de usuarios con cdigo y contrasea, control de las operaciones efectuadas en cada
sesin de trabajo por cada usuario y anotadas en la bitcora, lo cual facilita la auditora de la BD.
4.6. CIRCUITOS LAN Y RED TRONCAL
4.6.1. Poltica
Ser considerado como un ataque a la seguridad y una falta grave, cualquier actividad no autorizada
por el departamento de informtica, en la cual los usuarios realicen la exploracin de los recursos
informticos en la red de la institucin, as como de las aplicaciones que sobre dicha red operan, con
fines de detectar y explotar una posible vulnerabilidad
4.6.2. Controles
El usuario debe asegurarse que los cables de conexin no sean pisados o pinchados al colocar otros
objetos encima o contra ellos en caso de que no se cumpla solicitar un reacomodo de cables con el
personal de Sistemas y Calidad.
La administracin remota de equipos conectados a Internet no est permitida, salvo que se cuente con
el visto bueno y con un mecanismo de control de acceso seguro autorizado por el dueo de la
informacin y del rea de Tecnologas de la Informacin. Todos los cambios en la central telefnica y
en los servidores y equipos de red de la institucin, incluyendo la instalacin del nuevo software, el
cambio de direcciones IP, la reconfiguracin de Routers y Switches, deben ser documentados y
debidamente aprobados, excepto si se trata de una situacin de emergencia. Todo esto es para evitar
problemas por cambios apresurados y que puedan causar interrupcin de las comunicaciones, cada de
la red, denegacin de servicio o acceso inadvertido a informacin confidencial.
El acceso a Internet provisto a los usuarios de la institucin es exclusivamente para las actividades
relacionadas con las necesidades del puesto y funcin que desempea.
Todos los accesos a Internet tienen que ser realizados a travs de los canales de acceso provistos por
la institucin, en caso de necesitar una conexin a Internet especial, sta tiene que ser notificada y
aprobada por el rea de Sistemas y Calidad.
Los usuarios de Internet de la institucin tienen que reportar todos los incidentes de seguridad
informtica al rea de Sistemas y Calidad inmediatamente despus de su identificacin, indicando
claramente que se trata de un incidente de seguridad informtica.
Los usuarios del servicio de navegacin en Internet, al aceptar el servicio estn aceptando que:
Sern sujetos de monitoreo de las actividades que realiza en Internet.
Saben que existe la prohibicin al acceso de pginas no autorizadas.
Saben que existe la prohibicin de transmisin de archivos reservados o confidenciales no autorizados.
Saben que existe la prohibicin de descarga de software sin la autorizacin del rea de Sistemas y
Calidad.
La utilizacin de Internet es para el desempeo de su funcin y puesto en la CGADM y no para
propsitos personales.
Los servidores de red y los equipos de comunicacin (Routers, switches, etc.) deben estar ubicados en
locales apropiados, protegidos contra daos y robo. Debe restringirse severamente el acceso a estos
locales y a los cuartos de cableado a personas no autorizadas mediante el uso de cerraduras y otros
sistemas de acceso.
Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. Acciones de
esta naturaleza se consideran violatorias de las polticas de la Compaa, pudiendo ser causal de
despido.
Para tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de informacin debe
capturarse, grabarse y guardarse cuando se sospeche que se est llevando a cabo abuso, fraude u otro
crimen que involucre los sistemas informticos.
Los archivos de bitcora (logs) y los registros de auditora (audit trails) que graban los eventos
relevantes sobre la seguridad de los sistemas informticos y las comunicaciones, deben revisarse
peridicamente y guardarse durante un tiempo prudencial de por lo menos tres meses. Dicho archivos
son importantes para la deteccin de intrusos, brechas en la seguridad, investigaciones, y otras
actividades de auditora. Por tal razn deben protegerse para que nadie los pueda alterar y que slo los
pueden leer las personas autorizadas.
4.8. CUMPLIMIENTO SEGURIDAD INFORMTICA
4.8.1. Poltica
El departamento de sistemas de la Alcalda Municipal de Tunja tiene como una de sus funciones la de
proponer y revisar el cumplimiento de la polticas de seguridad, que garanticen acciones preventivas y
correctivas para el respaldo de equipos e instalaciones de cmputo, as como la de los bancos de datos
de informacin automatizada en general.
4.8.2. Controles
Los sistemas desarrollados por personal interno o externo que controle el rea de Sistemas y Calidad
son propiedad intelectual de la Alcalda Municipal de Tunja.
El departamento de informtica podr implantar mecanismos de control que permitan identificar
tendencias en el uso de los recursos informticos por parte del personal interno o externo. El mal uso de
los recursos informticos que sea detectado debe ser reportado
Esta absolutamente prohibido el uso de herramientas de hardware o software para violar los controles
de seguridad informtica. A menos que se autorice por el departamento de informtica
Ningn empleado de la Alcalda Municipal de Tunja puede intentar probar fallas en la Seguridad, a
menos que estas pruebas sean controladas y aprobadas por el departamento de Informtica.
Se prohbe absolutamente la escritura, generacin, compilacin, copia, coleccin, propagacin,
ejecucin o intento de introducir cualquier tipo de cdigo malicioso o potencialmente daino conocidos
como virus, gusanos o caballos de Troya, diseados con el nico fin de auto replicarse para daar o
afectar el desempeo o
acceso a los centros de cmputo, redes o informacin de la Alcalda Municipal de Tunja.
4.9 PROCEDIMIENTOS: MANEJO DE INCIDENTES ESTNDAR PARA TRATAMIENTO DE
FALLOS
Entindase por Incidente todo aquel evento extraordinario que ocurra con los activos evaluados de la
Alcalda Municipal de Tunja: por ejemplo Mantenimiento preventivo de uno o todos los computadores
(Anual o Preventivo), Fallo de Activos, etc. El procedimiento en cualquiera de estos casos se debe
registrar teniendo en cuenta los siguientes pasos:
1. Tipo de Solicitud.
Incidente
2. Estado de la solicitud.
Cerrado
Abierto
En espera
Resuelto
3. Modo de solicitud.
E-mail
Va Web
4. Nombre del usuario solicitante.
En este punto se agrega el nombre con la falla o el problema.
5. Tcnico.
Es el responsable de resolver el problema en cuestin.
6. Prioridad.
Alta (1 Hora)
Baja ( 8 Horas)
Media( 2 Horas)
Normal( 4 Horas)
Sin tiempo de respuesta (51 Das)