POLITICAS DE SEGURIDAD DE LAS BASES DE DATOS

Presentado por:
ALEIXO EDER PINEDA RAMÍREZ
1881772
CLARA JULIETA MARTINEZ USCATEGUI
OSCAR PEREZ SABOGAL
LIZETH VIVIAN JIMENEZ NARANJO

Presentado a:
HUGO TRUJILLO
INSTRUCTOR

ESPECIALIZACIÓN GESTIÓN Y SEGURIDAD DE BASE DE DATOS

OCTUBRE / 2019
MEDELLÍN
 INTRODUCCIÓN

Las políticas definidas en el presente documento son difundidas en cada una de

las Secretarías, donde cada una con su equipo de trabajo ha de estudiarlas de
forma detenida y aprobaran los puntos definidos.

Las políticas de seguridad permiten que en las organizaciones se definan las

formas de realizar los procesos y los lineamientos que apoyan la Labor de
protección de los datos y su disponibilidad al interior de la Alcaldía, de esta forma
cada definición está dirigido a todos los funcionarios y en algunos casos a
clientes externos.
 POLÍTICA DE RESPALDO DE DATOS

Los medios de almacenamiento contienen uno de nuestros activos más

preciados que es la información. Estos dispositivos pueden verse involucrados
en situaciones como robos, incendios, inundaciones, fallos eléctricos, rotura o
fallo del dispositivo, virus, borrados accidentales, etc.
En estos casos nos sería imposible acceder a nuestra información, colocando
en riesgo la continuidad de nuestro negocio.
La empresa debe realizar un inventario de activos de información y una
clasificación de los mismos en base a su criticidad para el negocio. El objetivo
de esta clasificación es tener un registro de todo el software y los datos
imprescindibles para la empresa de manera que sirva para determinar la
periodicidad de los Backups y su contenido.
La empresa identificará a los responsables de realizar los Backups y de definir
el procedimiento para hacer las copias de seguridad y restaurarlas incluirá:

 De qué hacer copia

 El tipo de copia,
 El programa necesario.
 Los soportes.
 La periodicidad.
 La vigencia.
 Su ubicación
 Las pruebas de restauración.

Así mismo se llevará un control de los soportes utilizados, se vigilará que sólo
tiene acceso personal autorizado y que se destruyen los soportes de forma
segura, en caso de tener que desecharlos. Los mismos criterios de seguridad
 serán aplicables en caso de hacer copias en la nube o en proveedores
externos.

No es ninguna novedad el valor que tiene la información y los datos para

nuestros negocios. Los que resulta increíble de esto es la falta de precauciones
que solemos tener al confiar al núcleo de nuestros negocios al sistema de
almacenamiento de lo que en la mayoría de los casos resulta ser una
computadora pobremente armada tanto del punto de vista de hardware como de
software.

Si el monitor, la memoria e incluso la CPU de nuestro computador dejan de

funcionar, simplemente lo reemplazamos, y no hay mayores dificultades. Pero si
falla el disco duro, el daño puede ser irreversible, puede significar la pérdida total
de nuestra información. Es principalmente por esta razón, por la que debemos
respaldar la información importante. Imaginémonos ahora lo que pasaría si esto
le sucediera a una empresa, las pérdidas económicas podrían ser cuantiosas.
Los negocios de todos los tipos y tamaños confían en la información
computarizada para facilitar su operación. La pérdida de información provoca un
daño de fondo:

 Pérdida de oportunidades de negocio

 Clientes decepcionados

 Reputación perdida

 Etc.

Debido a los procesos críticos en la Alcaldía de San Antonio del Sena, procesos
que van desde la preparación de proyectos de acuerdos, resoluciones, decretos
y contratos en la Secretaria General, Coordinación y Auditoria del control de
precios al consumidor, rifas, juegos y espectáculos a cargo de la Secretaria de
Gobierno, El Recaudo de los dineros provenientes del impuesto, la custodia de
los títulos valores, garantías a favor del municipio y la rendición de cuentas de
todo el flujo financiero en la Secretaria de Hacienda, Y la elaboración de
proyectos en conjunto con Contratistas y Entidades expertas en la ejecución de
obras civiles bajo la responsabilidad de La Secretaria de Planeación de Obras
Públicas; la Implementación y actualización de la operación del Sistema Integral
de Información de Salud en cabeza de la Secretaria de Salud, entre otros
corresponden a los procesos de mayor demanda de transacciones y seguridad
de la información sensible que debe ser salvaguardada por medio de una política
clara para todo el personal de la Alcaldía.

Los datos en cualquier organización pueden ser destruidos o dañados por el mal
funcionamiento del sistema, medios accidentales o con total intencionalidad.
Siguiendo el principio que la Disponibilidad de la Información es vital para las
operaciones de los negocios, se implementan lineamientos para recuperar
fácilmente la información en caso de ser necesario.

PROPÓSITO:

La presente política tiene como objetivos proteger los datos, aplicaciones y

servicios informáticos contra todo tipo de fallas o desastres tecnológicos, y
establecer directrices que posibiliten la recuperación de la información en el
menor tiempo posible.

ALCANCE:

La aplicación de esta política se extiende a toda la información alojada en

servidores físicos y virtuales, equipos de comunicación y estaciones de trabajo
que contengan datos, aplicaciones y configuraciones de la Alcaldía de San
Antonio de Sena. Así también, rige para todos los usuarios con cargos
administrativos y de docencia que presten servicios a la institución.
La Alcaldía de San Antonio de Sena a través de su área de sistemas garantizará
y facilitará la adquisición de ambientes físicos y virtuales, como también licencias
para la correcta ejecución de la presente política.

Fuentes de Información a Respaldar

La información susceptible de respaldo se encuentra categorizada de la
siguiente forma:
• Servidores físicos y virtuales (Ver Anexo 2, Anexo 3, Anexo 4):
 Bases de dato.
 Código fuente.
 Archivos de configuración.
 Aplicaciones.
 Instaladores.

• Equipos de comunicación:
 Archivos de configuración.

• Equipos de personal administrativo y docente:

 Documentación institucional individual y colaborativa.

Tipos de Respaldo:
• Servidores virtuales: completo e incremental.
• Bases de datos en servidores físicos: completo.
• Equipos de comunicación: completo, luego de cada cambio realizado.
• Equipos del personal administrativo y docente: libre elección del usuario
propietario de la información, quien será el responsable absoluto sobre la
gestión de la misma.

Regla de Respaldo
 La Alcaldía de San Antonio de Sena aplicará la regla 3-2-1, para el
respaldo de la información alojada en su Centro de Datos:
 Por lo menos 3 copias:
 La primera, en el servidor de producción.

 La segunda, La segunda, direccionada al sistema de almacenamiento de

La Alcaldía de San Antonio de Sena (storage).

 La tercera, direccionada al sitio de almacenamiento local alterno (que no

sea el storage) de la Alcaldía de San Antonio de Sena

1. Todos los datos de la aplicación / usuario deben haber documentado los

horarios de frecuencia específica, rotación y retención basados en la criticidad,
los requerimientos del negocio y los requisitos legales los datos y de las
aplicaciones.

2. La criticidad de datos / aplicaciones debe ser determinado, como mínimo,

por el propietario de la aplicación o los datos, con el aporte de un asesor legal,
para garantizar los requisitos mínimos legales de retención.

3. Todos los sistemas almacenamiento de aplicaciones y datos deben ser

respaldados con al menos una copia de seguridad “full3 offsite2”, por mes,
reteniendo cada copia de seguridad mensual durante 1 año.

4. Todas las copias de seguridad de datos de las aplicaciones deben estar

coordinadas con los horarios de procesamiento de la aplicación.

5. La retención de los datos debe cumplir con las siguientes normas mínimas

PERIODICIDAD (On-site) (Off-site)

Diario 1 Semana 2 Semanas
Semanal 2 Semanas 3 Semanas
Mensual Ninguno 1 Año
Anual Ninguno 4 Años

6. El proceso para realizar la copia de seguridad debe ser monitoreado

diariamente y el estado documentado. Problemas o fracasos en el mismo deben
ser escalados inmediatamente al personal y gestión de apoyo responsables.

7. Todos los sistemas de almacenamiento de aplicaciones y datos deben ser

revisados anualmente para verificar que las prioridades y procedimientos de la
copia de seguridad y recuperación se hayan completado
 POLÍTICA PARA LA CREACIÓN Y DESTRUCCIÓN DE DOCUMENTOS

PROPÓSITO:

Proporcionar una política estándar para la creación y destrucción de documentos

que instruya a los funcionarios sobre los protocolos para crear, guardar y la
destruir los documentos.

Cumplir con las obligaciones legales, regulatorias, o de cumplimiento.

Un enfoque sistemático de destrucción evitará consecuencias desfavorables por

los tribunales de litigio.

ALCANCE

Esta política se aplica a todos los funcionarios, contratistas, consultores,

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
secretarias. Cuando ya existan políticas de creación y destrucción de
documentos que las Unidades de Negocio, esta política proporcionará la
instrucción mínima requerida de dirección. Esta política, y las políticas de las
unidades de negocio, deben ser complementarias y cualquier conflicto entre ellas
debe resolverse a favor de proporcionar las garantías necesarias para la
protección, integridad y disponibilidad de la confidencialidad de la información.

POLÍTICA

Para la Creación de documentos Las mejores prácticas recomendadas son:

1. Limitar a una copia maestra cada documento / presentación

2. Limitar el envío de correos electrónicos "CC" y "CCO" y reenvío al azar

3. Limitar el uso de archivos adjuntos.

4. Adoptar de un sistema de manejo de documentos sistemático que elimine

el problema de guardado y eliminación múltiple (con una solución de confianza
para realizar copias de seguridad que permita a los empleados confiar en que la
versión guardada es la "maestra" y se puede restaurar rápidamente).

Para la Destrucción de Documentos / Medios

1. Triture los documentos de papel y medios de comunicación donde se

almacenan los documentos (CD, DVD, disquete, etc.).

2. Limpieza segura de almacenamiento en disco.

3. En el caso de que una estación de trabajo llegue al fin de su vida útil, sea
transferido o dañado, el disco de estaciones de trabajo debe ser limpiado de los
datos bajo parámetros de seguridad. Una práctica generalmente aceptada para
la limpieza segura de un disco es sobrescribir con ceros una vez, luego unos y
luego datos diferentes al azar. La desmagnetización es también una práctica
aceptada para la limpieza de los datos de una unidad de disco o de un disco
magnético. Una norma de referencia es el Departamento de Comercio de
Estados Unidos, el Instituto Nacional de Normas y Tecnología, NIST 800-88.
4. Supresión y sobreescritura de archivos de documentos.

5. La destrucción física de unidades de disco duro, discos y otros medios de

comunicación es una práctica aceptable.
 POLÍTICA DE INTERNET Y USO DE LA DMZ

PROPÓSITO

El propósito de esta política es definir las normas que deben cumplir los todos
los equipos de propiedad y / o operados por la Alcaldía de San Antonio del Sena
ubicados fuera de los cortafuegos del Internet corporativo de La Alcaldía. Estos
estándares están diseñados para minimizar el potencial de exposición de las
Secretarías ante la pérdida de datos sensibles o confidenciales, propiedad
intelectual, daño a la imagen pública, etc., que pueden derivarse de un uso no
autorizado de los recursos.

ALCANCE

Todos los equipos o dispositivos desplegados en una zona desmilitarizada

(DMZ), propiedad y / o operados por funcionarios de la Alcaldía de San Antonio
(incluyendo hosts, routers, switches, etc.) y / o registrados en cualquier dominio
del Sistema de Nombres de Dominio (DNS, por sus siglas en inglés) propiedad
de la Alcaldía, deberá seguir esta política.

POLÍTICA
1. Hardware, sistemas operativos, servicios y aplicaciones deben tener una
revisión de seguridad como parte de la fase de revisión previa al despliegue.
Además, esta revisión debe repetirse de forma anual.

2. El análisis de vulnerabilidades se debe realizar cada tres meses.

Cualquier vulnerabilidad crítica de seguridad debe ser corregida dentro de los 3
meses de identificación.

3. La configuración del sistema operativo debe hacerse de acuerdo con las

normas de seguridad de instalación y configuración de hosting y de router.

4. Los servicios y aplicaciones que no están acorde a los requerimientos de

la Alcaldía de San Antonio del Sena deben ser desactivados.

5. Las relaciones de confianza entre los sistemas sólo pueden ser

introducidas de acuerdo con los requerimientos del negocio, deben ser
documentadas, y deben ser aprobados.

6. Los servicios inseguros o protocolos deben ser reemplazados por sus

equivalentes más seguras siempre que existan.

7. Los sistemas que necesiten ser para accedidos desde la Internet pública
deben ser colocados en un segmento de DMZ, el cual es dirigido usando
direcciones IP registradas públicamente. Administración / desktop / shell remoto
se deben realizar con más seguridad, canales autenticados seguros (por
ejemplo, las conexiones de red cifrados usando SSH o IPSEC) o acceso a la
consola independiente de las redes DMZ. Cuando una metodología para las
conexiones de canal seguras no está disponible, las contraseñas de un solo uso
deben ser utilizados para todos los niveles de acceso.

8. Cualquier información clasificada confidencial o superior no se debe

almacenar en los dispositivos ubicados en la zona de distensión (DMZ siglas en
inglés). Los datos solo pueden existir en forma necesaria cuando estén en
tránsito hacia su ubicación de almacenamiento final.

RESPONSABLES

Todas las personas definidas en el marco de esta política cumplirán plenamente

esta política. Los infractores estarán sujetos a medidas disciplinarias que pueden
resultar en la terminación de su empleo. Todas las acciones se ajustarán a las
leyes laborales aplicables.
 POLÍTICA DE RECUPERACIÓN DE DESASTRES

PROPÓSITO

Definir los requisitos mínimos para llevar a cabo la recuperación de desastres

para asegurar que las aplicaciones y los datos más importantes de la empresa
sean preservados y protegidos contra la pérdida y destrucción de datos de forma
adecuada.

ALCANCE

Esta política se aplica a todos los empleados, contratistas, consultores,

empleados temporales y otros trabajadores de la Alcaldía de San Antonio del
Sena y todas sus Unidades de Negocio. Cuando haya políticas que ya existan
dentro de una unidad de negocio, esta política proporciona la instrucción mínima
requerida de dirección. Las políticas de las Secretarías deben ser
complementarias a esta política y no anular los requisitos establecidos en esta
política.

POLÍTICA

1. Todas las aplicaciones de los planes de recuperación de desastres deben

incluir lo siguiente:
Nombre del propietario de la aplicación e información de contacto Propietario
técnico e información del contacto _
Los objetivos de tiempo de recuperación Los objetivos de punto de recuperación
Frecuencia de sincronización de un archivo o imagen _ Si corresponde, el tipo
de protección (replicación basada en archivo o en bloque) Los requisitos de disco
duro
Lista de equipo completo que incluye:

a) Procedencia y modelo del servidor

b) Capacidad y uso del disco duro
c) Ajustes de configuración (dirección IP, etc.)
d) Tipo de servidor (web, app, db, etc)
e) Arquitectura (física o virtual, 32 o 64 bits, etc)
f) Lista de software, incluidas las versiones

Manual de instrucciones para la recuperación (Reconstruir desde cero).

Instrucciones de recuperación del sistema de recuperación de desastres
aplicable.

Priorización de todos los servidores del sistema.

Lista de dependencias, incluyendo otras aplicaciones, red, LDAP, etc.

El propietario de las aplicaciones y el gerente de TI de la Alcaldía de San Antonio

del Sena son conjuntamente responsables de identificar las aplicaciones que
deben protegerse y comunicarse con el coordinador de recuperación de
desastres apropiado.

Cualquier sistema de recuperación de desastres que se propuesto debe cumplir

con los siguientes estándares globales para la recuperación de desastres, con el
fin de considerarse para su uso:
a) Debe ser un sistema autónomo. No puede compartir el almacenamiento
de datos con otros sistemas de producción, de desarrollo o de prueba
b) Debe apoyar la tecnología utilizada en los sistemas de producción
c) No debe estar en la misma ubicación que los sistemas protegidos
d) Debe ser capaz de proteger los datos durante la transferencia o
sincronización (es decir, la encriptación)
e) El hardware debe ser suficiente como para apoyar a los sistemas que se
están protegidos (disco duro, memoria RAM, procesador, etc.)
f) Credenciales de acceso independientes de los sistemas cubiertos.
Todos los planes de recuperación de desastres deben ser almacenados
digitalmente y encriptados en un centro de almacenamiento "fuera de sitio", lo
cual quiere decir que la Alcaldía de San Antonio del Sena debe contar con
servicios externos para el Almacenamiento en la Nube como lo son Empresas
Especializadas para el Almacenamiento en la nube como Terremark, Google,
Amazon etc.
 POLÍTICA DE PRIVACIDAD DE LOS DATOS

PROPÓSITO

Definir la política de la Alcaldía de San Antonio del Sena para el uso aceptable
de los recursos y la privacidad de datos de TI.

ALCANCE

Esta política aplica para todas las Secretarías y dependencias de estas.

Política

Todos los sistemas de TI son activos de la Compañía. Estos sistemas incluyen

equipos de cómputo, software, medios de almacenamiento, y cuentas de red que
proporcionan correo electrónico, correo de voz, Internet, y servicios FTP. Estos
sistemas deben ser utilizados para fines comerciales en el servicio a la Alcaldía
y a los clientes (usuarios externos) en el curso de operaciones comerciales
normales.

Los empleados son responsables por ejercer el buen juicio en cuanto a la

razonabilidad de uso personal. Se anima a cada agencia a tener una política
detallada que proporcione orientación adicional para la utilización aceptable de
los recursos de tecnología para sus empleados.

Todos los medios de comunicación de software propiedad de la empresa deben

ser almacenados en un lugar seguro con acceso limitado. El software propiedad
de la empresa no debe estar instalado en un ordenador personal en el hogar de
los empleados.

Los equipos informáticos comprados fuera de los métodos aprobados de la

corporación, se consideran hardware de "uso personal". Este hardware no será
apoyado o mantenido por la empresa. Además, el hardware adquirido de esta
manera no se debe unir a las redes de la empresa, y los datos de la empresa no
deben ser transferidos a este dispositivo.

A continuación, se identifican los usos inaceptables de los recursos de TI de la

Alcaldía.

Los sistemas de la red, correo electrónico o correo de voz de la compañía no se

pueden utilizar para solicitar o promover cualquier negocio comercial personal,
causas políticas, o cualquier otro fin que se determina ilegal por la Compañía.
Un individuo no puede leer ni acceder a mensajes que no se dirigen a ellos sin
la aprobación del autor del mensaje.

La duplicación no autorizada de material con derechos de autor, incluyendo, pero

no limitado a, la digitalización y distribución de fotografías de revistas, libros u
otras fuentes con derechos de autor, o música con derechos de autor.
El correo electrónico no puede ser reenviado automáticamente.
El uso no autorizado, o reenvío, de la información del mensaje. La introducción
de programas maliciosos en la red, o efectuar otras interrupciones de la
comunicación en red.
Violación de la seguridad o eludir la autenticación de usuario o la seguridad de
cualquier host, red o cuenta.
 POLÍTICA DE ENCRIPTACIÓN DE LOS DATOS

PROPÓSITO

El propósito de esta política es afirmar que los sistemas de la Alcaldía de San

Antonio del Sena sólo utilizarán sistemas de encriptación que hayan recibido
revisión pública sustancial y sean consideradas como seguros.

ALCANCE

Esta política se aplica a todos los empleados, contratistas, consultores,

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
unidades de negocio (Secretarías).

POLÍTICA

Solamente los algoritmos que hayan resistido el escrutinio y pruebas por la

comunidad criptográfica se pueden utilizar como base para la tecnología de
encriptado dentro de los sistemas de información de la Compañía. Los algoritmos
estándares que son aceptables en el momento de la escritura de esta política
son:
 Criptosistemas simétricos de claves:
 Triple DES (3DES)
 AES (siglas en inglés) Encriptado Avanzado Estándar o RC2, RC4,
RC5 y (Encriptado de Rivest)
  IDEA (siglas en inglés) Algoritmo de encriptado de datos
internacional
 Criptosistemas asimétricas de claves:
 Diffie-Hellman
 El Gamal
 Curva Elíptica
 RSA (Rivest-Shamir-Adleman)
 Firma Digital Estándar:
 RSA
 DSA – DSA

Algoritmo de control seguro

SHA-1 - Secure Hash Algorithm o MD5 - Message Digest
Los sistemas simétricos de clave deben utilizar longitudes de clave de al menos
128 bits.

RESPONSABLES
Todas las personas definidas en el marco de esta política cumplirán plenamente
con la política. Los infractores estarán sujetos a medidas disciplinarias que
pueden resultar en la terminación de su empleo. Todas las acciones se ajustarán
a las leyes laborales aplicables.

POLÍTICA DE DISPOSITIVOS MÓVILES

PROPÓSITO

Busca definir reglas para la utilización de dispositivos móviles dentro de las

Instalaciones de la Alcaldía de San Antonio del Sena.

ALCANCE

Esta política se aplica a todos los empleados, contratistas, consultores,

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
unidades de negocio (Secretarías), a quienes se les asigne un dispositivo móvil
propiedad de la empresa. Todos los dispositivos móviles propiedad de la
empresa están cubiertos por esta política incluyendo teléfonos celulares, PDAs,
teléfonos inteligentes y tabletas.
Política

Todos los dispositivos móviles proporcionados por la Alcaldía de San Antonio del
Sena se van a utilizar principalmente para asuntos oficiales del Grupo y de una
manera segura y rentable siendo consistentes con las políticas de la Alcaldía de
San Antonio del Sena existentes.
Los dispositivos móviles que accedan a aplicaciones de Alcaldía de San Antonio
del Sena, requerirán de configuración de un sistema de gestión de dispositivos
móviles (MDM).

RESPONSABLES

Los empleados de la Alcaldía de San Antonio del Sena a los que se les asigne
un dispositivo móvil son responsables de:

 Asegurarse de que el dispositivo móvil se utilice principalmente para los

negocios de las Secretarías.
 Dispositivo de manipulación y “jailbreaking” están prohibidos.
 Asegurar la atención adecuada y segura del uso del dispositivo móvil,
incluyendo la seguridad del dispositivo en todo momento.
 Notificar a un supervisor inmediatamente si un dispositivo móvil ha sido
perdido, robado o dañado.
 POLÍTICA DE SEGURIDAD DE REDES

PROPÓSITO

Esta política proporciona orientación y un marco para los administradores y los

gerentes de red para diseñar y tomar decisiones operativas relativas al acceso a
la infraestructura de red de datos de la compañía.

ALCANCE

Esta política va dirigida a todos los funcionarios directos e indirectos, contratistas

de la Alcaldía de San Antonio delo Sena.

POLÍTICA

Esta política define 5 niveles de confianza. El nivel más bajo se designa "Nivel
0" y es considerado como "no fiable". El nivel más alto es el "Nivel 4" y se
considera que es "de confianza". Los niveles intermedios "Parcialmente-
confianza".
A continuación, la tabla que clasifica las redes y su nivel de confianza

NIVEL CONFIANZA NOMBRE USUARIOS SISTEMA

0 NINGUNO INTERNET TODOS PUBLICO
1 PARCIAL PUBLICO FUNCIONARIO PUBLICO
S
2 PARCIAL EXTRANET FUNCIONARIO INTERNO
S
3 PARCIAL INTERNET FUNCIONARIO INTERNO/CONFIDENCIAL
S
4 TOTAL INTERNO FUNCIONARIO INTERNO/CONFIDENCIAL
S
Las redes de diferentes niveles de confianza no se pueden conectar
directamente entre sí. Los dispositivos de filtrado de paquetes (es decir, firewall)
se deben utilizar para controlar la interconexión de estas redes.
La política por defecto en los filtros de paquetes será de negar todo el tráfico
entre redes.
Las desviaciones de la política de "negación predeterminada" para las
conexiones entre dispositivos a través de las redes de los diferentes niveles,
incluidas las conexiones físicas y virtuales, requieren aprobaciones de excepción
por la alta gerencia y personal de seguridad de la información. Las reglas de
control de acceso para estas conexiones deben especificar la red y direcciones
de aplicación / servicio de los sistemas que se conecten.
Los equipos regionales de la red administrarán y mantendrán la distribución y
asignación de direcciones de red de acuerdo con el esquema de asignación de
direccionamiento IP global. Las direcciones empleadas fuera de las redes
asignadas y aprobadas no serán permitidas en la red de la Compañía.

POLÍTICA DE USO DE RECURSOS DE TECNOLOGÍAS DE LA

INFORMACIÓN Y CONTRASEÑAS

PROPÓSITO

Tiene como propósito esta política diseñar mecanismos para la creación y

protección de contraseñas.

ALCANCE

Aplica para todas las secretarias de la Alcaldía de San Antonio del Sena.

POLÍTICA
El uso de contraseñas seguras es un aspecto importante de la seguridad
informática. Las siguientes políticas de contraseñas deben ser seguidas por
todos los funcionarios de las secretarias en la Alcaldía de San Antonio de San
Antonio del Sena:

 Las contraseñas deben tener al menos 8 caracteres de longitud a

menos que existan limitaciones en el sistema operativo o
dispositivo utilizado.
 Las contraseñas de usuario no deben contener el nombre del
usuario o Identificación.
 Cuentas genéricas y contraseñas de grupo no se permiten; esto
para que la responsabilidad individual se pueda mantener en todo
momento.
 Las cuentas del sistema para los servicios o aplicaciones según
sea necesario deben ser seguras.
 El tiempo mínimo antes de cambiar la contraseña es de un mínimo
de 7 días.
 El número de intentos incorrectos permitidos antes de la
contraseña se suspenda es 4.
 Deshabilitar el ajuste de suspender la contraseña en los
dispositivos móviles. Al décimo intento el dispositivo móvil se
limpia.

POLÍTICA DE ACCESO REMOTO A LA RED

PROPÓSITO

Esta política establece los requisitos para la conexión a la red del grupo de
entidades (empresas, proveedores, usuarios) de sistemas o hosts que no son
parte de la red de datos de la compañía. Esta actividad se conoce generalmente
como acceso remoto.
La posibilidad de acceder a los sistemas de datos de la compañía desde
cualquier lugar en el mundo aumenta en gran medida la productividad de los
usuarios móviles. En algunos casos, esto es el único medio disponible para hacer
una conexión de red.
ALCANCE

Esta política se aplica a todos los funcionarios, contratistas, consultores, los

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
secretarias (unidades de negocio).

POLÍTICA

El acceso remoto a todos los sistemas de datos de la Alcaldía de San Antonio

del Sena, sólo se permite en las actividades de administración aprobadas.
El acceso remoto a todos los sistemas de datos de la Alcaldía de San Antonio
del Sena, deben adherirse a estrictos controles de contraseña y protección.
Se requiere autenticación de usuario para obtener acceso a las redes
corporativas y el sistema. Cada usuario que está autorizado a utilizar el acceso
remoto tendrá una cuenta de inicio de sesión único. Queda prohibido el
intercambio de cuentas de acceso.
Equipos o sistemas que se utilizan para las conexiones de acceso remoto no
deben también estar conectados a otras redes durante la sesión de acceso
remoto, con la excepción de las redes personales que están bajo el control
completo del usuario. En circunstancias en las que esto ocurre, el sistema remoto
debe estar asegurado por un cortafuegos (Firewall).
Todos los equipos que se utilizan para las conexiones de acceso remoto deben
cumplir con las normas de la empresa para la detección de virus.
 POLÍTICA DE SOFTWARE COMO UN SERVICIO

PROPÓSITO

Esta política proporciona la autoridad para revisar y aprobar de cualquier uso o

propuesta de uso de capacidades de " Software como un Servicio " (SaaS1: por
sus siglas en inglés). También proporciona un conjunto mínimo de requisitos y
riesgos que deben ser abordados en esas revisiones.
Cuando se contratan servicios de terceros para contar con Acceso a CRM
(Customer Relationships Management), ERP (Enterprise Resource Planning) o
cualquier otro aplicativo que no esté físicamente en las Instalaciones de la
Alcaldía, sino en servidores de terceros en otras partes del mundo, esto implica
que información del negocio, estará en el poder de este tercero y se deben tomar
medidas para evitar divulgación de información sensible.

ALCANCE

Aplica para cualquier Secretaría (unidad de negocio) que utiliza software de

terceros para procesar su trabajo.

POLÍTICA
En el área de IT, se debe verificar que los proveedores de soluciones
tecnológicas tipo SAAS cumplan con los siguientes lineamientos:
Cumplimiento de la normativa aplicable. Acceso y confiabilidad de la red.
Disposiciones del contrato y la fijación de precios.
Seguridad de los datos y la ubicación física de los datos.

Integración con los servicios existentes o planeados al interior de la Alcaldía,

aplicaciones y capacidades de la empresa.

Administración y gobierno de acceso a datos.

Cumplimiento del contrato del cliente en el uso de estos servicios, según

corresponda.

Cumplimiento de las políticas de la Alcaldía de San Antonio del Sena.

Fiabilidad del servicio, compromiso SLA, mantenimiento de la integridad de los

datos y propiedad y control de datos.
Revisión de las capacidades de seguridad, certificaciones y prácticas del
proveedor. Revisión de las prácticas y procesos de desarrollo de aplicaciones de
los proveedores. Uso de procesos y herramientas de desarrollo de aplicaciones
seguras. Capacidades de los proveedores para realizar copias de seguridad y
recuperación de desastres.

RESPONSABLES

Todas las personas definidas en el marco de esta política se cumplirán

plenamente con la política. Los infractores estarán sujetos a medidas
disciplinarias que pueden resultar en la terminación de su empleo. Todas las
acciones se ajustarán a las leyes laborales aplicables.
El Jefe de Información de la Alcaldía de San Antonio del Sena es responsable
del mantenimiento y la distribución de esta política y de proporcionar orientación
a la Administración Ejecutiva sobre los requisitos de conformidad de esta política.
La Administración Ejecutiva es responsable de la ejecución y cumplimiento de
esta política dentro de sus respectivas Unidades de Negocio.
 POLÍTICA DE SEGURIDAD DE REDES INALÁMBRICAS

PROPÓSITO

La conexión de nodos por medio de ondas electromagnéticas que permiten que

las personas estén conectadas al Router sin necesidad de un cable UTP, es más
conocido como las Redes Inalámbricas y dentro de la Alcaldía se requiere que
este tipo de red sea monitoreado y que cuente con software especializado que
verifique la entrada y salida de paquetes, debido a que en reuniones o acceso a
clientes o usuarios será necesario dar un acceso restringido para consultar datos
como impuestos, planes y demás procesos importantes para brindar un
excelente servicio al público.

ALCANCE
Aplica para todos los funcionarios, clientes o proveedores que, debido a su
trabajo, requieren utilizar la red inalámbrica para presentaciones o consultas de
vital importancia que no comprometerán la seguridad de la red LAN interna.

POLÍTICA

El control de la Red Lan Interna y la Red Wlan es diferente, debido a que los
procesos del día a día deben necesariamente por medio de la Red Lan, pero
aquellos procesos que no sean tan robustos, consultas, reportes y procesos
livianos deben controlarse por medio de la Red Wifi Lan, así que las políticas
aquí descritas no se mezclan en los dos tipos de redes, solo aplica para la Red
Inalámbrica.
Las redes inalámbricas deben emplear el uso de al menos uno de los siguientes
mecanismos de autenticación.

Implementar protocolo de autenticación extensible (EAP) y IEEE 802.1X para

proporcionar control de acceso autenticado en el punto de acceso inalámbrico
(AP).
Donde se implementen huéspedes inalámbricos se requiere autenticación de
usuario y autorización de acceso.
Las redes inalámbricas deben emplear el uso de los siguientes mecanismos de
encriptación.
AES - Estándar de encriptación avanzado
WPA2-empresarial con EAP-TTLS - Wi-Fi protegido
acceso2

La encriptación es obligatoria para cualquier acceso a la red WLAN corporativa.

Redes de huéspedes inalámbricos no pueden tener acceso a la red de la Alcaldía
de San Antonio del Sena.
Los Puntos de Acceso (AP) deben estar asegurados físicamente para evitar el
robo.
Sólo se puede usar dispositivos inalámbricos, puntos de acceso, y las redes
aprobados por la administración. El uso y la instalación de los dispositivos
inalámbricos o sistemas no autorizados están prohibido. La instalación o el uso
de estos dispositivos "clandestinos" están sujetos a una acción disciplinaria.
Las redes WLAN son susceptibles a ataques de negación de servicios; los
dispositivos que requieren alta disponibilidad no deben confiar en redes WLAN
como el único método de conexión.
Todo el acceso a redes WLAN debe estar registrado y regularmente auditado
para determinar que se cumplan todos los requisitos de la política y que los
usuarios no autorizados sean detectados.

Responsables
Todas las personas (Funcionarios, Contratistas, Proveedores o Clientes) que por
sus operaciones deben estar conectados a la Red inalámbrica, deben cumplir
esta política.

GLOSARIO

Cifrado o encriptado: Una transformación criptográfica que opera sobre

caracteres o bits.
Criptosistema: Un conjunto de transformaciones desde el espacio de un mensaje
hasta el espacio de texto cifrado.
Clave: Información o una secuencia que controla el cifrado y descifrado de
mensajes.
PGP (por sus siglas en inglés) (Privacidad bastante buena): Un sistema público
de cifrado de claves.
Criptografía Pública (asimétrica) de claves: Un tipo de cifrado que utiliza dos
claves, una clave pública y una privada. Sólo el remitente conoce la clave
privada, mientras que la clave pública está disponible para cualquier persona.
Criptografía de clave secreta (clave simétrica): Un tipo de cifrado en el que el
emisor y el receptor comparten la misma clave secreta.
 CONCLUSIONES

La seguridad de los datos implica protegerlos de operaciones indebidas que

pongan en peligro su definición, existencia, consistencias e integridad
independiente de la persona que lo accede. Esto se logra mediante mecanismos
que permiten estructurar y controlar el acceso y actualización de los mismos sin
necesidad de modificar el diseño del modelo de datos
 FUENTES DE INTERNET

 https://www.pucesa.edu.ec/wp-
content/uploads/2019/04/PoliticaRespaldoInformaci%C3%B3nVresumida.pdf

 https://www.monografias.com/trabajos14/respaldoinfo/respaldoinfo.shtml

 https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/copias-
seguridad.pdf

 https://senaintro.blackboard.com/bbcswebdav/pid-113668223-dt-content-rid-
127941869_4/institution/semillas/217219_1_VIRTUAL/OAAPs/OAAP6/recursos/guia_
para_elaborar_politicas_v1_0.pdf

 www2.sgc.gov.co › Paginas › politica-seguridad-informatica

www2.sgc.gov.co › Paginas › politica-seguridad-informatica

1.
