Beruflich Dokumente
Kultur Dokumente
Versin : 04
Pgina 1 de 57
1. INTRODUCCION
Las instituciones de cualquier tipo o sector, se enfrentan con riesgos procedentes de una amplia variedad de
amenazas que pueden afectar de forma importante la informacin y sus recursos de procesamiento y
transmisin.
Ante estas circunstancias las organizaciones experimentan la necesidad de establecer estrategias y controles
adecuados que garanticen una gestin segura de los procesos dando mayor proteccin a la informacin. As
mismo, estas estrategias y aspectos para la proteccin y control parten de marcos establecidos a nivel de
elementos normativos que debern ser desarrollados en las entidades pblicas para realizar una gestin y
control adecuado, como es el caso de la implementacin de MECI y recomendaciones de nivel nacional a
travs del Ministerio de Comunicaciones.
La UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA ha reconocido la informacin como un
activo vital en su organizacin. As, para disminuir los riesgos y proteger esta informacin, es necesario
implementar un adecuado conjunto de controles y procedimientos para alcanzar un correcto nivel de
seguridad de la informacin y de igual forma administrar estos controles para mantenerlos y mejorarlos a lo
largo del tiempo.
Para el establecimiento, implementacin y mejoramiento de los controles y procedimientos necesarios se
define un Sistema de Gestin de Seguridad de la Informacin (SGSI), el cual ayudar a identificar y reducir los
riesgos vitales de seguridad, centrar los esfuerzos en la seguridad de la informacin y lograr su proteccin.
1.1. SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
El Sistema de gestin de seguridad de la informacin (SGSI) es parte del sistema integrado de gestin de la
UPTC, basado en un enfoque de gestin de riesgos de seguridad de la informacin de los procesos, en el
contexto de los riesgos globales de la Institucin, para: establecer, implementar, operar, hacer seguimiento,
mantener y mejorar la seguridad de la informacin.
La seguridad de la informacin es una gestin continua para preservar las propiedades de confidencialidad,
integridad y disponibilidad en los activos de informacin que manejan los procesos de la institucin, basados
en su nivel de riesgo.
El SGSI permite a la institucin identificar, implementar, mantener y mejorar los controles que requiere para
tratar los riesgos de seguridad de la informacin, para llevarlos a niveles aceptables, de tal forma que estos
controles sean los mnimos suficientes para proporcionar un ambiente de control y seguridad adecuados.
Los lineamientos del Sistema de gestin de seguridad de la informacin son aplicables a cualquier proceso de
la UPTC, sin importar su tamao o funcin, dado que la implementacin del sistema debe ser proporcional a la
criticidad de los activos de informacin que maneja y los riesgos identificados en los mismos.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 2 de 57
El SGSI de la UPTC establece un sentido general de direccin, gestin y principios para la accin con relacin
a la seguridad de la informacin, orientados en su totalidad por el cumplimiento de la poltica de seguridad de
la informacin de la Universidad, teniendo en cuenta los requisitos normativos internos, los legales o
reglamentarios, y las obligaciones contractuales.
Este documento contiene tres anexos para completar la visin general del SGSI en la Universidad Pedaggica
y Tecnolgica de Colombia:
Anexo 1. Roles y Responsabilidades del SGSI.
Anexo 2. Declaracin de Aplicabilidad.
Anexo 3. Polticas de Seguridad de la Informacin.
1.2. ENFOQUE BASADO EN PROCESOS
El Sistema de Gestin de Seguridad de la Informacin (SGSI), planteado tendr un enfoque basado en
procesos. El SGSI se incorpora a la organizacin mediante la adopcin de un modelo PHVA que define las
etapas de establecimiento, implementacin, operacin seguimiento, mantenimiento y mejora del sistema
frente a la seguridad de la informacin.
Para el funcionamiento eficiente del Sistema de Gestin de Seguridad de la Informacin, se deben identificar y
gestionar las actividades involucradas para la proteccin de la informacin de los procesos de la organizacin
buscando que estas prcticas de seguridad sean integradas en el actuar diario.
Este enfoque basado en procesos para la gestin de seguridad de la informacin hace nfasis en la
importancia de:
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 3 de 57
apoyan el sistema. La Figura 1, ilustra cmo el SGSI toma como elementos de entrada los requisitos de
seguridad de la informacin y las expectativas planteadas por la Universidad, y a travs de las acciones y
procesos diseados para soportar el sistema (SGSI) produce resultados de seguridad de la informacin que
buscan cumplir estos requisitos y expectativas.
En la figura 1 se observa el ciclo PHVA del SGSI en la UPTC y se destacan los procesos y procedimientos
que ayudan en el cumplimiento del Sistema.
Las etapas del modelo de procesos que enmarcan el SGSI se definen de la siguiente forma:
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 4 de 57
Hacer (implementar y operar el SGSI): Implementar y operar la poltica, los controles, procesos y
procedimientos del SGSI.
Verificar (hacer seguimiento y revisar el SGSI): Evaluar y en donde sea aplicable, medir el
desempeo del proceso contra la poltica y los objetivos de seguridad y la experiencia prctica y
reportar los resultados a la direccin para su revisin.
Actuar (mantener y mejorar el SGSI): Emprender acciones correctivas y preventivas con base en
los resultados de la auditora interna del SGSI y la revisin por la direccin, para lograr la mejora
continua del SGSI.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
2.
Pgina 5 de 57
2.2.
2.3.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
2.4.
Versin : 04
Pgina 6 de 57
Mediante la Metodologa de Gestin de riesgos del SGSI, se establecen los criterios contra los cuales se
evalan los riesgos de seguridad de la informacin de la UNIVERSIDAD PEDAGGICA Y TECNOLGICA
DE COLOMBIA para los procesos dentro del alcance del SGSI.
Mediante esta metodologa se llevan a cabo las siguientes actividades generales con respecto a los riesgos:
Identificacin de activos.
Identificacin de amenazas y vulnerabilidades.
Valoracin de los riesgos.
Criterios para la aceptacin del riesgo.
Identificacin de los niveles de riesgos aceptables.
Definicin de planes de accin.
Comunicacin y monitoreo de riesgos.
Mediante esta metodologa se identifican para cada uno de los activos dentro del alcance, los riesgos,
posteriormente se analizan y evalan los riesgos, se identifican y se evalan las opciones para el tratamiento
de los mismos. Se encuentra en la GUIA PARA LA GESTION DEL RIESGO DE ACTIVOS DE
INFORMACION A-RI-P11-G01
2.5.
A continuacin se presentan las actividades que deben ser desarrolladas para la gestin de riesgos en la
etapa de establecimiento del SGSI:
Identificacin de riesgos.
Anlisis y evaluacin de riesgos.
Identificacin y evaluacin de las opciones de tratamiento de riesgos.
Seleccin de los objetivos de control y los controles para el tratamiento de los riesgos.
En la etapa de establecimiento se deben generar y actualizar los siguientes documentos necesarios para el
SGSI: Los procedimientos que soportan el SGSI se observan en el Anexo 1 de este documento.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
2.7.
Versin : 04
Pgina 7 de 57
Ley 1266 de 2008: Por la cual se dictan las disposiciones generales del hbeas data y se regula el
manejo de la informacin contenida en bases de datos personales, en especial la financiera,
crediticia, comercial, de servicios y la proveniente de terceros pases y se dictan otras disposiciones.
Ley 1341 de 2009: Por la cual se definen principios y conceptos sobre la sociedad de la informacin y
la organizacin de las Tecnologas de la Informacin y las Comunicaciones -TIC-, se crea la Agencia
Nacional del Espectro y se dictan otras disposiciones.
Estatuto anticorrupcin: Por la cual se dictan normas orientadas a fortalecer los mecanismos de
prevencin, investigacin y sancin de actos de corrupcin y la efectividad del control de la gestin
pblica
Ley 1437 de 2011: Por la cual se expide el Cdigo de Procedimiento Administrativo y de lo
Contencioso Administrativo.
Ley 527 de Agosto de 1999 Comercio electrnico: Define y reglamenta el acceso y uso de los
mensajes de datos (probatoria), del comercio electrnico y de las firmas digitales, se establecen las
entidades de certificacin (parte de una PKI) y se dictan otras disposiciones
Ley 1273 de 2009: Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado - denominado de la proteccin de la informacin y de los datos- y se preservan
integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre
otras disposiciones.
Ley 594 de 2000 Ley General de Archivos (Sector Pblico): Regula la obligacin que tienen las
entidades pblicas y privadas que cumplen funciones pblicas, de elaborar programas de gestin
documental, independientemente del soporte en que se produzca la informacin para su cometido
estatal, del objeto social para el que fueron creadas. ANEXO 11.2 SEGURIDAD DE LA
INFORMACIN: La conservacin en condiciones seguras de estos documentos se efecta en
locales especialmente habilitados, al amparo de desastres naturales o accidentales, de robos o usos
indebidos, de campos magnticos o de diferencias trmicas o hidromtricas excesivas.
Ley 603 de 2000: LA DIAN trabaja con entidades pblicas y privadas que hacen parte del comit
antipiratera del software y de la produccin intelectual, con el fin de extender las auditoras que hace
todos los das, al tema de la informtica.
Ley 794 de 2003: Actos de comunicacin procesal por medios electrnicos
Ley 962 de 2005: Actuaciones administrativas por medios electrnicos
Ley 1150 de 2007: Contratacin del Estado por medios electrnicos
Ley 1273 del 5 de enero 2009: Delitos informticos
Ley 1581 de 2012: Ley Estatutaria 1581 de 2012 mediante la cual se dictan disposiciones generales
para la proteccin de datos personales, en ella se regula el derecho fundamental de hbeas data y
se seala la importancia en el tratamiento del mismo. La ley busca proteger los datos personales
registrados en cualquier base de datos que permite realizar operaciones, tales como la recoleccin,
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 8 de 57
almacenamiento, uso, circulacin o supresin (en adelante tratamiento) por parte de entidades de
naturaleza pblica y privada.
Decreto 1377 del 27 de junio de 2013: El Decreto tiene como objetivo facilitar la implementacin y el
cumplimiento de la ley 1581 reglamentando aspectos relacionados con la autorizacin del titular de la
informacin para el tratamiento de sus datos personales, las polticas de tratamiento de los
responsables y encargados, el ejercicio de los derechos de los titulares de la informacin.
Se tendrn en cuenta algunos estndares de buenas prcticas para ser aplicados en los casos que se
considere, de acuerdo a los servicios que se han implementado.:
Norma NFPA 75 Proteccin contra incendio equipos electrnicos
Norma Data Center TIA 942
Sistemas Arquitectnico, elctrico, de telecomunicaciones, mecnico y de seguridad
Norma ANSI/TIA 942 Telecommunications Infrastructure Standard for Computer center.
Sistema de Cableado de Telecomunicaciones
Norma ANSI/TIA/EIA 568-B, Commercial Building Telecommunications Cabling Standard
Norma ANSI/TIA/EIA 569-A, Comercial Building Standard for Telecommunications Pathways and
Spaces
Norma ANSI/TIA/EIA 606-A, Administration Standard for the Telecommunications Infrastructure of
Commercial Buildings
Norma ANSI/J-STD 607-A, Commercial Building Grounding (Earthing) and Bonding Requirements for
Telecommunications
Sistema de Seguridad
Norma NFPA 101, Life Safety Code
Norma NFPA 2001, Standard on Clean Agent Fire Extinguishing Systems
Norma NFPA 72, National Fire Alarm Code
Norma NFPA 75, Standard for the protection of electronic computer/ data processing equipment.
Norma NFPA 76, Standard for the protection of telecommunications facilities
SIA, Security Industry Association
ITIL V 3.0
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
3.
Pgina 9 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 10 de 57
en el talento humano con el fin que cada vez que se integre un empleado a la Universidad, ste conozca sus
deberes y responsabilidades frente a la Seguridad de la Informacin y el uso adecuado de los servicios
brindados por la Universidad para el manejo de la Informacin.
3.4. NO CONFORMIDADES DE SEGURIDAD DE LA INFORMACION
La UNIVERSIDAD PEDAGGICA Y TECNOLGICA DE COLOMBIA mantendr registros de aquellos
eventos o comportamientos que van en contra de lo establecido en los requerimientos para la implementacin,
operacin y mantenimiento del Sistema de Gestin de Seguridad la Informacin.
Estos elementos permiten establecer elementos de mejora continua teniendo en cuenta en establecer
acciones tendientes a la correccin y a la prevencin de aquellas situaciones que lleven al incumplimiento en
lo dispuesto a nivel de la organizacin en el marco del SGSI basado en la norma ISO 27001.
Se cuenta con el procedimiento Control de Servicio No Conforme (V-EI-P05), para la deteccin, tratamiento,
registro y control de las no conformidades del sistema. Adems se registraran los incidentes de seguridad de
la Informacin a travs del procedimiento de Gestin de Incidentes A-RI-P07 y el procedimiento de acciones
preventivas y Correctivas V-EI-P04.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 11 de 57
Revertir transacciones.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
4.
Pgina 12 de 57
En la definicin del Modelo PHVA, la fase de seguimiento y revisin hacen parte de las etapas de
Verificar, donde se establecen los aspectos a ser desarrollados por los responsables del sistema de
gestin de seguridad de la informacin (SGSI) en todos los niveles, para as, evaluar y en donde sea
aplicable, medir el desempeo del sistema contra la poltica, los objetivos y la experiencia prctica de la
gestin de seguridad de la informacin, a la vez que se reportan los resultados a la direccin para su
revisin y toma de decisiones.
Para el cumplimiento de esta fase, la organizacin desarrolla un conjunto de actividades de seguimiento
donde la Universidad mantendr de manera continua la medicin y verificacin de cumplimiento de los
aspectos planteados en la fase de Planeacin del modelo y la forma como estas actividades se han ido
desarrollando o ejecutando.
Cabe anotar, que estos aspectos de seguimiento y revisin debern ser desarrollados con base en los
resultados obtenidos; y se debern ajustar los aspectos necesarios para que el SGSI sea eficiente y
eficaz en el cumplimiento de los objetivos trazados en la fase de planeacin.
El modelo de seguridad de la informacin desarrollado por la Universidad incluye para la fase de
seguimiento y revisin las actividades detalladas a continuacin.
4.1. REVISION
Se deben llevar a cabo las siguientes actividades:
4.2. SEGUIMIENTO
Se deben llevar a cabo actividades para realizar seguimiento a:
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 13 de 57
Desde el punto de vista del desarrollo de estas actividades su cumplimiento deber estar enmarcado en
el modelo PHVA al interior de los procesos, donde se integran los aspectos de la gestin de la
organizacin que establece para las etapas de verificacin las siguientes tareas:
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
5.
Pgina 14 de 57
Una vez el Sistema de Gestin de Seguridad de la informacin se haya diseado e implementado se hace
necesario cerrar el ciclo con el mejoramiento continuo del mismo. Para esto se disea un plan de auditoras
internas teniendo en cuenta el estado e importancia de los procesos y la criticidad de la informacin y recursos
informticos. Estos planes incluirn el alcance, frecuencia de realizacin, mtodos de la auditoria, pruebas y
seleccin de los auditores.
El objetivo de la auditoras internas es determinar si los objetivos de control, controles, procesos, y
procedimientos del SGSI,
Estas auditoras se encontrarn enmarcadas dentro del procedimiento Auditoras Internas V-EI-03 del Sistema
Integrado de Gestin SIG, que define las responsabilidades y requisitos para la planificacin y realizacin de
las mismas, la presentacin de resultados y mantenimiento de los registros.
Adems de los resultados de las auditorias, como entrada a este procedimiento se prev tambin la
retroalimentacin de todos los participantes del sistema y de la institucin, el manejo de no conformidades,
medicin de los indicadores y sugerencias.
Dentro de la fase de mantenimiento y mejora se definen las siguientes acciones:
5.1.
ACCIN CORRECTIVA
El objetivo de estas acciones es eliminar la causa de problemas asociados con los requisitos del SGSI (Estas
no conformidades son el resultado de las auditoras realizadas dentro del seguimiento y revisin del SGSI),
con el fin de prevenir que ocurran nuevamente.
5.2.
Determinar y evaluar las causas de los problemas del SGSI e incidentes de seguridad de la
informacin.
Disear e implementar la accin correctiva necesaria.
Revisar la accin correctiva tomada.
ACCIN PREVENTIVA
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 15 de 57
Se debe identificar los cambios en los riesgos e identificar los requisitos en cuanto acciones preventivas,
enfocando la atencin en los riesgos que han cambiado significativamente. De esta manera la prioridad de las
acciones preventivas se debe determinar con base en los resultados de la valoracin de los riesgos.
Para el cumplimiento de estas acciones se cuenta con el Procedimiento Acciones Preventivas y Correctivas VEI-P04 del Sistema Integrado de Gestin.
5.3.
COMUNICACION
Las acciones de mejora se deben comunicar a todas las partes interesadas, con un nivel de detalle apropiado
a las circunstancias, y en donde sea pertinente llegar a acuerdos sobre cmo proceder.
5.4.
No Conformidades
Acciones correctivas y preventivas.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Pgina 16 de 57
Versin : 04
ROLES
Representa
nte de la
Alta
Direccin
para el SIG
CARGO
Directivo
designado por el
Rector
AUTORIDAD
- Establecer polticas
que
contribuyan
a
implementar
y
mantener el Sistema
Integrado de Gestin
-SIG-.
-Avalar la adopcin y
modificacin de la
documentacin del
Sistema
Integrado
de Gestin SIG.
RESPONSABILIDAD
RENDICION DE
CUENTAS
de
la
de
su
de
Asegurar
el
establecimiento,
implementacin,
operacin,
seguimiento y mejoramiento del SGSI
en sus procesos.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 17 de 57
Hacer seguimiento al
Anomalas del SGSI.
Garantizar
la
clasificacin
y
tratamiento de la informacin de
acuerdo al esquema definido por la
Universidad.
Asegurar que se realizan las
actividades
para
identificar,
documentar
y
satisfacer
los
requisitos del servicio.
Asignar
autorizaciones
y
responsabilidades para asegurar
que se disean, implementan y
mejoran los procesos de gestin del
manejo de
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Comit De
Seguridad.
Comit
Coordinador de
Control Interno..
Pgina 18 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 19 de 57
Llevar a
cabo
las
revisiones
pertinentes a la gestin de la
seguridad de la informacin en la
organizacin
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 20 de 57
Lder
del
Sistema de
Gestin de
Seguridad
de
la
Informacin
.
SGSI.
Informar a la Direccin de la
Universidad acerca del desempeo
del SGSI y de la manera como se
estn
gestionando
los
planes
asociados a la seguridad de la
informacin.
La delegada por la
alta direccin para
tomar las decisiones
acerca del SGSI.
Coordinador
Grupo
Organizacin y
Sistemas.
Reporta al Comit de
Seguridad y a la Alta
Direccin.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Pgina 21 de 57
Versin : 04
Anlisis
riesgos.
Identificacin y evaluacin de
opciones para tratamiento de
riesgos.
Seleccin de objetivos de
control y controles para el
tratamiento de riesgos.
evaluacin
de
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 22 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 23 de 57
seguridad.
Validar
que
se
cumpla
el
establecimiento y mantenimiento de
registros para brindar evidencia de la
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 24 de 57
Lder
de
Proceso.
Velar
por
una
permanente
integracin del Sistema de Gestin
de Seguridad de la Informacin con
el Sistema de Gestin Integral de la
Universidad.
Verificar el cumplimiento de
normatividad de seguridad de
informacin en el proceso.
la
la
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 25 de 57
Validar
la
identificacin,
implementacin y aplicacin de
controles y/o medidas administrativas
a implementar.
Verificar la aplicacin de
procedimientos
de
manejo
incidentes y anomalas.
los
de
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Administrad
or
de
Seguridad.
Profesional
Universitario
Grupo
Organizacin y
Sistemas.
Pgina 26 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 27 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Usuarios
Funcionario
s
que
hacen parte
del SGS y
del SGSI.
Grupo
Organizaci
n
y
Sistemas.
Funcionarios
Grupo
Organizacin y
Sistemas
Pgina 28 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 29 de 57
La definida por el
lder del SGSI y
SGS.
Funcionarios del
Grupo
Organizacin y
Sistemas.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 30 de 57
VERSION
1
FECHA
29-07-2014
ITEM MODIFICADO
COLUMNA EFECTIVIDAD
DEL CONTROL
IMPLEMENTADO.
DESCRIPCION
SE ELIMINA ESTE CAMPO, DEBIDO A QUE NO ES
FUNCIONAL.
.
DECLARACIN DE APLICABILIDAD
Clusula
ISO
27001:2013
Descripcin
Aplica
Justificacin
Control Implementado
A 5. POLITICA DE SEGURIDAD
A 5.1 Poltica de Seguridad de la Informacin
La UPTC demuestra su inters
hacia la seguridad de la
Poltica de Seguridad de
Polticas de seguridad de
informacin
a
travs
del
SI
A 5.1.1
Informacin.
resolucin
la informacin
establecimiento de la poltica del
2094 de 2014.
SGSI y la implementacin del
SGSI.
Revisin anual de la poltica
Asegurar que la poltica se de
seguridad
de
Revisin de la poltica de
mantiene relacionada con los informacin por parte del
SI
A 5.1.2
seguridad de la
requisitos
de
las
partes Comit de Seguridad y en
informacin
interesadas y la evaluacin del la revisin por la Alta
riesgo.
Direccin.
A 6. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACIN
A 6.1 Organizacin Interna
Documento Plan de Gestin
Determinar cada responsabilidad
Roles y responsabilidades
del Servicio. A-RI-L02 Y
en los diferentes niveles dentro
SI
A 6.1.1
para la seguridad de la
Manual
Integrad
del
de la estructura Organizacional
informacin
Sistema
Integrad
de
de la Universidad.
Gestin.P-DS-M01
Los deberes y responsables
de las actividades que se
realizan en el Proceso
Separar los deberes y reas de Gestin
de
Recursos
SI
A 6.1.2
Separacin de deberes
responsabilidad en conflicto para Informticos se encuentran
minimizar la modificacin y el uso documentados
en
los
indebido
de
activos
de procedimientos que hacen
informacin.
parte del proceso.
Mantener el cumplimiento de la
Contacto con las
Procedimiento Contacto con
SI
A 6.1.3
Institucin en el contacto con las
autoridades
las autoridades A-RI-P21.
autoridades pertinentes.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
A 6.1.4
SI
A 6.1.5
Seguridad de la
informacin en la Gestin
de Proyectos
SI
Pgina 31 de 57
A 7.2.1
Responsabilidades de la
direccin
A 7.2.2
Toma de conciencia ,
educacin y formacin en
la seguridad de la
informacin
SI
SI
SI
Es
importante
que
los
involucrados en el SGSI tengan
claras sus responsabilidades
respecto a la seguridad de los
activos de informacin.
Polticas de Dispositivos
mviles en el Manual del
SGSI.
Procesos
institucionales
seleccin
de
Personal
Docente y No docente. AGH-P01 y A-GH-P02.
Acuerdo de confidencialidad
A-GH-P03-F04
del
procedimiento
de
vinculacin A-GH-P03.
La organizacin informa a
sus funcionarios en el
proceso de vinculacin con
el
acuerdo
de
confidencialidad A-GH-P03F04 . y
en Curso de
induccin
y reinduccin
acerca de la importancia de
la
seguridad
de
la
informacin a travs del
cumplimiento
de
las
polticas.
En Curso de induccin y
reinduccin.
Charlas
a
funcionarios
organizadas
por el Grupo Organizacin y
Sistemas. Difusin a travs
de la pgina web, de la
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
A 7.2.3
Proceso disciplinario
Versin : 04
SI
Pgina 32 de 57
A 7.3.1
Terminacin o cambio de
responsabilidades de
empleo
Asegurar
la
integridad,
confidencialidad y disponibilidad
de los activos de informacin Procedimiento de entrega
SI
durante el proceso de retiro, de cargos A-GH-P05.
licencia
y
movimiento
de
personal.
A 8. GESTIN DE ACTIVOS
Inventario de Activos
SI
A 8.1.2
SI
A 8.1.3
SI
A 8.1.4
Devolucin de activos
SI
Procedimiento Inventario y
Conocer y clasificar los Activos de clasificacin de activos de
informacin
A-RI-P09.
Informacin.
Formato A-RI-P09-F01.
Procedimiento Inventario y
Definir responsabilidades sobre la clasificacin de activos de
informacin. Formato A-RIasignacin de activos.
P09-F01.
Polticas contenidas en el
anexo 4 del Manual de
Contar con polticas para el
seguridad de la Informacin
manejo y
uso de recursos
Polticas para el manejo de
tecnolgicos
la informacin y de Uso de
los Recursos tecnolgicos.
Asegurar
la
integridad,
confidencialidad y disponibilidad
Procedimiento de entrega
de los activos de informacin
de cargos. A-GH-P05
durante el proceso de retiro,
renuncia y traslados de personal.
Clasificacin de la
informacin
SI
A 8.2.2
Etiquetado de la
informacin
SI
A 8.2.3
Manejo de activos
SI
A 8.3.1
SI
A-RI-P22.
Medios
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 33 de 57
uso.
Una vez que activos de
informacin no volvern a ser
utilizados o son destinados para
SI
A 8.3.2
Disposicin de los medios
fines diferentes a los actuales
debe protegerse la informacin,
software y accesos conforme a
las polticas correspondientes.
Procedimientos para el manejo y
almacenamiento
de
la
Transferencia de medios
informacin que eviten el acceso
SI
A 8.3.3
fsicos
no autorizado o uso inadecuado
de
la
informacin
de
la
Universidad.
A 9. CONTROL DE ACCESO
A 9.1 Requisitos del Negocio para el Control de Acceso
Poltica de control de
Controlar el acceso a la
SI
A 9.1.1
acceso
informacin.
Asegurar que los usuarios de la
Acceso a redes y a
SI
A 9.1.2
red slo acceden a los servicios
servicios de red
para los que estn autorizados.
A 9.2 Gestin del Acceso de Usuarios
Asegurar el acceso del usuario
Registro y cancelacin del
autorizado y evitar el acceso no
SI
A 9.2.1
registro de usuarios
autorizado a los sistemas de
informacin y servicios.
Asignar o revocar derechos de
Suministro de acceso a
SI
A 9.2.2
acceso a usuarios para todos los
usuarios
servicios.
Controlar el acceso a la
Gestin de derechos de
SI
A 9.2.3
informacin de los sistemas y
acceso privilegiado
servicios.
Gestin de informacin de
Controlar el acceso a la
SI
A 9.2.4
autenticacin secreta de
informacin de los sistemas y
usuarios
servicios.
Asegurar que cada usuario
Revisin de los derechos
solamente tenga acceso a la
SI
A 9.2.5
de acceso de usuarios
informacin que requiere para sus
funciones.
Asegurar
la
integridad,
confidencialidad y disponibilidad
Retiro o ajuste de los
SI
A 9.2.6
de los activos de informacin
derechos de acceso
durante el proceso de retiro,
renuncia y traslado de personal.
A 9.3 Responsabilidades de los Usuarios
Uso de informacin de
Que los usuarios mantengan su
SI
A 9.3.1
autenticacin secreta
contrasea secreta.
A 9.4 Control de Acceso a Sistemas y Aplicaciones
Evitar
que
usuarios
no
Restriccin del acceso a la
SI
A 9.4.1
autorizados tengan acceso a los
informacin
sistemas de informacin.
Procedimiento
A-RI-P23.
Eliminacin Segura de la
Informacin.
Procedimiento
Gestin
de
Removibles.
A-RI-P22.
Medios
Poltica 12 de Control de
Acceso.
Poltica 12 de Control de
Acceso..
Proceso
Gestin
de
Identidad y Acceso A-RIP20.
Proceso
Gestin
de
Identidad y Acceso A-RIP20.
Proceso
Gestin
de
Identidad y Acceso A-RIP20..
A travs del gestor de
identidad en el portal
http://miclave.uptc.edu.co.
Proceso
Gestin
de
Identidad y Acceso A-RIP20..
Proceso de Entrega de
Cargos A-GH-P05. Proceso
Gestin de Identidad y
Acceso A-RI-P20.
Polticas 2. Uso de los
Recursos Tecnolgicos.
Poltica 12 de Control de
Acceso.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Pgina 34 de 57
Versin : 04
A 9.4.2
Procedimiento de ingreso
seguro
NO
A 9.4.3
Sistema de gestin de
contraseas
SI
A 9.4.4
Uso de programas
utilitarios privilegiados
SI
A 9.4.5
Control de acceso al
cdigo fuente de los
programas
A 10.1.1
A 10.1.2
Gestin de llaves
SI
Poltica
13.
Uso
de
controles Criptogrficos.
Poltica
Llaves
14.
Gestin
de
Permetro de seguridad
fsica
SI
A 11.1.2
Controles de acceso
fsicos
SI
A 11.1.3
Seguridad de oficinas,
recintos e instalaciones
SI
A 11.1.4
Proteccin contra
amenazas externas y
ambientales
SI
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
A 11.1.5
SI
A 11.1.6
SI
Pgina 35 de 57
A 11.2 Equipos
A 11.2.1
Ubicacin y proteccin de
los equipos
A 11.2.2
Servicios de suministro
A 11.2.3
A 11.2.4
Mantenimiento de los
equipos
A 11.2.5
Retiro de activos
A 11.2.6
SI
SI
SI
SI
SI
SI
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 36 de 57
Procedimiento Gestin de
Evitar fugas de informacin
Medios Removibles A-RIpropiedad de la Universidad.
P22.
Evitar el acceso no autorizado a
Equipo de usuario
Poltica 4 de escritorio y
SI
A 11.2.8
equipos de cmputo, cuando el
desatendido
pantalla limpios
usuario no se encuentra.
Poltica de escritorio
Evitar acceso o filtraciones de
Poltica 4 de escritorio y
SI
A 11.2.9
despejado y de pantalla
informacin
a
travs
de
pantalla limpios
despejada
documentos en reas visibles.
A 12. SEGURIDAD DE LAS OPERACIONES
A 12.1 Procedimientos Operacionales y Responsabilidades
Establecer las condiciones de Procedimientos
de
Procedimientos de
operacin
conforme
a
las operacin que hacen parte
SI
A 12.1.1
operacin documentados
necesidades de los procesos de del proceso Gestin de
la Universidad, segn aplique.
Recursos Informticos A-RI.
Procedimiento
Controlar los cambios que afecten
SI
A 12.1.2
Gestin de cambios
Gestin de Cambios A-RIla Seguridad de la Informacin.
P10.
Gestionar
los
recursos Procedimiento Gestin de la
SI
A 12.1.3
Gestin de la capacidad
tecnolgicos de la Universidad.
Capacidad A-RI-P12
Separacin de los
Preservar activos e informacin Se cuenta con equipos
SI
A 12.1.4
ambientes de desarrollo,
de operacin / produccin ante donde se trabaja cada uno
pruebas y operacin
desarrollos o cambios.
de los ambientes.
A 12.2 Proteccin contra Cdigos Maliciosos
Poltica 2. Uso de Recursos
Tecnolgicos.
Evitar daos al
software y
Documento de Controles
Controles contra cdigos
hardware de la Organizacin con
SI
A 12.2.1
contra cdigos maliciosos
maliciosos
controles
contra
cdigos
en la base de datos del
maliciosos.
conocimiento del sistema
mesa de ayuda.
A 12.3 Copias de Respaldo
Respaldo de la
Mantener disponible e integra la Poltica 7. Copias de
SI
A 12.3.1
informacin
informacin.
Respaldo.
A 12.4 Registro y Seguimiento
Se mantienen los siguientes
registros de eventos:
1. En la base de datos log
de alertas contiene
eventos, errores de la
base de datos y
archivos de traza que
Mantener
registro
de
las
se van generando. Se
SI
A 12.4.1
Registro de eventos
operaciones de los usuarios
revisan
realizadas en las bases de datos.
quincenalmente.
2. Registro de eventos en
los sistemas operativos
de acceso de errores,
de aplicacin y se
revisan
peridicamente.
La
A 11.2.7
Disposicin segura o
reutilizacin de equipos
SI
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Pgina 37 de 57
Versin : 04
frecuencia de revisin
la
establece
el
administrador de cada
equipo.
3. La rotacin se realiza
de
acuerdo
a
la
capacidad
de
almacenamiento
disponible
en
los
equipos
4. Se mantienen registros
de auditoria de los
sistemas
de
informacin SIRA y
HUMANO a nivel de
aplicacin
para
detectar los cambios
relacionados con la
informacin sensible.
Solo los Administradores de
el historial
los equipos tienen acceso a
la informacin de registro.
A 12.4.2
Proteccin de la
informacin de registro
SI
Mantener y proteger
de logs.
A 12.4.3
Registros del
administrador y del
operador
SI
Mantener
registro
de
operaciones realizadas.
A 12.4.4
Sincronizacin de relojes
SI
SI
protocolo
Instalacin de software en
sistemas operativos
Se genera Documento de
identificacin de controles
de vulnerabilidades tcnicas
en la base de datos de
conocimiento del sistema
mesa de ayuda.
Poltica 2 Uso de los
Recursos Tecnolgicos.
Numeral
3.8
Realizar auditoras para verificar
consideraciones
sobre
Controles de auditoras de
los sistemas operativos para
SI
A 12.7.1
auditorias de Sistemas de
sistemas de informacin
minimizar las interrupciones en
Informacin en el Manual
los procesos.
del SGSI A-RI-M02
A 13 SEGURIDAD DE LAS COMUNICACIONES
A 13.1 Gestin de la Seguridad de las Redes
SI
A 13.1.1
Controles de las redes
Gestin y control de las redes El profesional encargado de
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
A 13.1.2
SI
A 13.1.3
SI
Pgina 38 de 57
para
proteger informacin en la red realiza la gestin para
sistemas y aplicaciones.
los equipos activos se
monitoreando
comportamiento del trfico
sobre puerto de conexin
de los servidores en el
Switch.
Monitoreo de trfico de la
red con WHIRESHARP
La
gestin
sobre
aplicaciones se realiza a
travs del monitoreo con
NATGIOS.
Documento de Seguridad
Asegurar los servicios en red.
de los servicios de red..
Administracin de la red, se
tiene una segmentacin
Evitar que el trfico de una para la parte acadmica,
subred afecte a las dems.
administrativa, inalmbrica.
Videoconferencias
y
RENATA
A 13.2.1
Polticas y procedimientos
para el intercambio de
informacin
SI
A 13.2.2
Acuerdos sobre
transferencia de
informacin
SI
A 13.2.3
Mensajera electrnica
SI
Poltica 8. Intercambio de
Informacin.
Acuerdo de confidencialidad
con terceros.
Polticas 1. Manejo de la
Informacin.
Acuerdos
de
Asegurar la confidencialidad y
confidencialidad
para
SI
A 13.2.4
garantizar la proteccin de la
funcionarios
y
para
informacin.
terceros.
A 14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
A 14.1 Requisitos de Seguridad de los Sistemas de Informacin
Los
nuevos
sistemas
de
Anlisis y especificacin
informacin deben especificar los
Guia para el Desarrollo de
de los requisitos de
requerimientos de controles de
SI
A 14.1.1
Sistemas de Informacin. Aseguridad de la
seguridad
necesarios
para
RI-P01-G01
informacin
cumplir los lineamientos en
materia de seguridad del negocio.
Acuerdos de
confidencialidad o de no
divulgacin
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
A 14.1.2
Seguridad de servicios de
las aplicaciones en redes
pblicas
A 14.1.3
Proteccin de
transacciones de los
servicios de las
aplicaciones
Pgina 39 de 57
Versin : 04
SI
Proteger
de
actividades
fraudulentas la informacin de los
servicios que utilizan redes
pblicas.
SI
16.
Desarrollo
Procedimiento gestin de
Cambios A-RI-P10.
Procedimiento gestin de
Cambios A-RI-P10.
Procedimiento gestin de
Cambios A-RI-P10.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
A 14.2.6
Ambiente de desarrollo
seguro
Versin : 04
SI
A 14.2.7
Desarrollo contratado
externamente
SI
A 14.2.8
Pruebas de seguridad de
sistemas
SI
A 14.2.9
SI
Garantizar
ambientes
desarrollo seguros para todas
actividades del ciclo de vida
desarrollo
de productos
software.
Pgina 40 de 57
de
las Restriccin en el ingreso a
de los lugares de desarrollo,
de con avisos impresos.
La supervisin de los
Validar el procesamiento de los contratos de desarrollo ser
sistemas antes de ponerlos en realizada
por
la
produccin.
coordinacin del Grupo
organizacin y Sistemas.
Gua para el Desarrollo de
Realizar pruebas de seguridad
Sistemas de Informacin. Adurante el desarrollo.
RI-P01-G01
Gua para el Desarrollo de
Determinar la posible afectacin a Sistemas de Informacin. Ala operacin de la Universidad y RI-P01-G01. Formato A-RIel adecuado uso de los recursos. P01-I01-F04.
Acta
de
Realizacin de Pruebas.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
A 15.2.2
Versin : 04
Pgina 41 de 57
servicios
provistos
por
terceros.
Mantener la operacin de la Los proveedores deben
Gestin cambios en los
SI
Universidad
controlando
el referir al procedimiento
servicios de los
impacto de los servicios de
Gestin de Cambios A-RIproveedores
terceros ante cambios.
P10.
A 16. GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN
A 16.1.1
Responsabilidades y
procedimientos
A 16.1.2
SI
A 16.1.3
SI
SI
A 16.1.4
Evaluacin de eventos de
seguridad de la
informacin y decisiones
sobre ellos
SI
A 16.1.5
Respuesta a incidentes de
seguridad de la
informacin
SI
Procedimiento
para
atender
incidentes de seguridad de la
informacin.
A 16.1.6
Aprendizaje obtenido de
los incidentes de
seguridad de la
informacin
SI
Procedimiento
para
la
Gestin de Incidentes A-RIP07.
Gua para la Gestin de
Incidentes de Seguridad de
la Informacin A-RI-P07G01.
Procedimiento
para
la
Gestin de Incidentes A-RIP07.
Procedimiento
para
la
Gestin de Incidentes A-RIP07.
Procedimiento
para
la
Gestin de Incidentes A-RIP07.
Gua para la Gestin de
Incidentes de Seguridad de
la Informacin A-RI-P07G01.
Gua para la Gestin de
Incidentes de Seguridad de
la Informacin A-RI-P07G01.
Se publica el conocimiento
adquirido en la base de
datos del conocimiento.
Recoleccin de evidencias
SI
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
A 17.1.2
Implementacin de la
continuidad de la
seguridad de la
informacin
SI
A 17.1.3
Verificacin, revisin y
evaluacin de la
continuidad de la
seguridad de la
informacin
SI
Pgina 42 de 57
Documento
Recuperacin
desastres.
Plan
de
ante
Documento
Recuperacin
desastres.
Plan
de
ante
A.17.2 Redundancias
Implementar con redundancia
suficiente las instalaciones de
procesamiento de informacin
SI
A 17.2.1
para
Cumplir con el requisito de
disponibilidad
18. CUMPLIMIENTO
A 18.1 Cumplimiento de los Requisitos Legales y Contractuales
Identificacin de la
legislacin aplicable y de
Determinar el marco legal al que
SI
A 18.1.1
los requisitos
debe alinearse el SGSI.
contractuales
Asegurar el cumplimiento de los
requisitos
legislativos
de
reglamentacin y contractuales
Derechos de propiedad
SI
A 18.1.2
relacionados con los derechos de
intelectual (DPI)
propiedad intelectual y el uso de
productos
de
software
patentados.
Proteger los registros contra
prdida, destruccin, falsificacin,
SI
A 18.1.3
Proteccin de registros
acceso no autorizado y liberacin
no autorizada.
Cuidar las bases de datos y
expedientes
con
datos
personales como parte de las
Privacidad y proteccin de
buenas prcticas de seguridad
SI
A 18.1.4
informacin de datos
para evitar violar los derechos de
personales
seguridad en la informacin y
ocasionar daos al personal o a
los clientes.
Disponibilidad de
instalaciones de
procesamiento de
informacin
A 18.1.5
Reglamentacin de los
controles criptogrficos
SI
Actualmente se maneja a
travs
de
mquinas
virtualizadas para operacin
crtica.
Documento de Derechos de
propiedad intelectual en la
base
de
datos
de
conocimiento del Sistema
Mesa de Ayuda.
Procedimiento Control de
Registros. A-ED-P01
Ley 1588 de Proteccin de
datos personales.
Resolucin 3842 de 2013,
por la cual se establece la
poltica de proteccin de
datos personales de la
UPTC.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 43 de 57
Procedimiento de Auditorias
Internas V- EI-P04.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 44 de 57
ANEXO 3.
Contenido
1.
INTRODUCCION .............................................................................................................................. 1
2.
3.
4.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 45 de 57
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 46 de 57
5.
1.
2.
3.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 47 de 57
4.
5.
6.
7.
8.
9.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 48 de 57
Este documento tiene como objeto dar a conocer las polticas Seguridad Informtica que debern cumplir los
usuarios de servicios de tecnologas de informacin, para proteger adecuadamente los activos de informacin
de la Universidad Pedaggica y Tecnolgica de Colombia.
De igual manera, establecen las reglas bsicas con las cuales la UPTC debe manejar sus activos de
informacin, a travs de la implantacin de normas y procedimientos de modo que aumente la proteccin de
stos recursos. As mismo, identifican responsabilidades y establecen requerimientos mnimos para una
proteccin apropiada y consistente de los activos de informacin de la Institucin.
En este documento se entiende como usuarios a la Comunidad Universitaria (funcionarios pblicos,
funcionarios oficiales, docentes, aspirantes, estudiantes, egresados, contratistas internos y externos) en
General, que hacen uso de servicios de tecnologa de la informacin de la Institucin.
1.
Esta poltica tiene como finalidad establecer las directrices para proteger la informacin contra uso no
autorizado, divulgacin o publicacin, modificacin, dao o prdida y establecer el cumplimiento
de
reglamentaciones y leyes aplicables a la Universidad Pedaggica y Tecnolgica de Colombia.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Pgina 49 de 57
La cuenta de correo electrnico debe ser usada para el desempeo de las funciones asignadas dentro de
la UPTC, as mismo podr ser utilizada para uso personal, siempre y cuando se realice de manera tica,
razonable, responsable, no abusiva y sin afectar la productividad
Los usuarios no deben propagar cadenas de mensajes de cualquier tipo y la comunicacin de tipo
comercial, poltico, religioso y en general cualquier contenido ofensivo para los funcionarios de la
Universidad.
Los funcionarios de la Universidad deben cumplir fidelidad como producto de las tareas que les fueron
asignadas y guardar la discrecin correspondiente, o la reserva absoluta con respecto a la informacin de
la Institucin de la cual tengan conocimiento en el ejercicio de sus funciones.
Todos los mensajes enviados deben respetar el estndar de formato e imagen corporativa definido por
UPTC y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad.
Es deber de los funcionarios verificar la identidad de todas aquellas personas, a quienes se les entrega
informacin por telfono, por fax, por correo electrnico o por correo certificado, entre otros.
Equipos de procesamiento de datos tipo servidor: Los administradores de servidores, bases de datos
y dems roles que manejen informacin clasificada como semiprivada y privada, deben garantizar la
confidencialidad de la informacin y el uso de credenciales de administracin (usuario y contrasea), sin
excepcin
Equipos de procesamiento de datos tipo servidor: La administracin de los equipos de procesamiento
de datos tipo servidor que soportan servicios institucionales debe ser realizada por el Grupo Organizacin
y Sistemas. Los servidores que no sean administrados por el Grupo Organizacin y Sistemas, el
responsable del activo de informacin, debe presentar por escrito los motivos y justificacin de esto a la
Coordinacin del Grupo Organizacin y Sistemas.
2.
Versin : 04
Credenciales de Acceso: Los usuarios son los nicos responsables por la seguridad de sus
credenciales de acceso (Usuario y Contrasea), las cuales son de uso exclusivo e intransferible.
Para la asignacin y/o eliminacin de credenciales de acceso de usuarios institucionales administrativos,
docentes y contratistas se har de acuerdo al procedimiento de vinculacin de servidores pblicos AGH-P03 y entrega de cargos A-GH-P05, y se tendr en cuenta los lineamientos por el Grupo
Organizacin y Sistemas en el procedimiento de Gestin de Identidad y Acceso A-RI-P20.
Instalacin, Mantenimiento y Actualizacin de Hardware: El personal adscrito al Grupo Organizacin y
Sistemas es el nico autorizado para instalar aplicaciones y realizar mantenimientos preventivos y
correctivos en los equipos de cmputo de la Institucin.
Uso de los Equipos de Cmputo: Los equipos de cmputo (computadores, impresoras, porttiles,
servidores, tablas y dems elementos similares) de la Institucin sern utilizados nicamente por el
personal autorizado para el desarrollo de las actividades asignadas.
Todo funcionario, contratista y/o docente de la Institucin es responsable del equipo que le sea asignado;
el cual ser asignado a su inventario personal, de acuerdo con el procedimiento Egreso de Bienes de
Almacn A-AB-P05.
Est prohibido retirar de las instalaciones de la Universidad cualquier equipo de cmputo. Si es necesario
hacerlo, debe contar con la autorizacin de Servicios Generales con el Visto bueno del Jefe Inmediato. El
personal de vigilancia deber registrar la orden de salida de los equipos para su movilizacin fuera de las
instalaciones de la UPTC.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 50 de 57
Los dispositivos mviles (porttiles, tablets, celulares) propiedad de la Universidad, no deben ser
desatendidos. El usuario deber tomar las medidas de seguridad pertinentes que permitan garantizar la
integridad y confidencialidad del activo de informacin.
En caso de presentarse una falla o problema de hardware o software en una estacin de trabajo o equipo
porttil propiedad de la Universidad, el usuario responsable del mismo deber informarlo al Grupo
Organizacin y Sistemas a travs de la mesa de ayuda, para una asistencia especializada y, por ningn
motivo, deber intentar resolver el problema.
Artculos de Decoracin en Equipos de Cmputo: Se debe mantener el equipo de cmputo libre de
fotos, calcomanas y cualquier otro elemento que lo pueda deteriorar o comprometer su integridad.
Software en los Equipos de Cmputo: Para todos los equipos de cmputo propiedad de la Institucin,
se instalar nicamente el software que cuente con licencia autorizada para uso en la Universidad. El
software que no cumpla con estos lineamientos se debe desinstalar de manera inmediata para garantizar
el cumplimiento de la Ley antipiratera.
Software Antivirus: Para todos los equipos de cmputo propiedad de la Institucin, se instalar
nicamente el software antivirus que el Grupo Organizacin y Sistemas establezca.
Los usuarios que hacen uso de los servicios de Tecnologa de Informacin y Comunicacin, deben
realizar tareas de escaneo de archivos y directorios, no deben cambiar o eliminar la configuracin del
software de antivirus en los equipos de cmputo propiedad de la Institucin.
Los usuarios nicamente deben descargar archivos adjuntos que provengan de fuentes conocidas para
evitar contaminacin por virus informticos y/o instalacin de software malicioso en sus estaciones de
trabajo o equipos porttiles.
Aplicaciones de Ofimtica: La suite de ofimtica permitida por la Institucin para equipos con sistema
operativo Windows y Mac, son las versiones de Microsoft Office licenciadas por la Universidad. Adems,
se permite el uso de la versin libre de Open Office, en los equipos de cmputo propiedad de la
Institucin.
Sistemas propietarios Desarrollos in House. La instalacin de productos de software desarrollados por
el Grupo Organizacin y Sistemas de la Universidad se realizar en los equipos de cmputo propiedad
de la institucin designados para tal fin.
Sistemas de informacin de entes de control: El licenciamiento de los sistemas de informacin a
travs de los cuales se reporta informacin, es responsabilidad del ente de control respectivo.
Acceso a Cdigo Fuente de Aplicaciones: Est prohibido manipular el cdigo fuente de una aplicacin
sin la autorizacin correspondiente del Grupo Organizacin y Sistemas, para generar cambios o mejoras
a la misma. Si se requiere tener acceso al cdigo fuente de una aplicacin desarrollada en la institucin,
se debe solicitar permiso al GOS. Si se trata de una aplicacin desarrolla por un proveedor externo, se
deben revisar las condiciones del contrato.
Gestin de Cambios: Se deben documentar todos los cambios que se realicen a los recursos
tecnolgicos de la Universidad de acuerdo con el procedimiento A-RI-P10 Procedimiento para la Gestin
de Cambios y Entregas.
Documentacin de Pruebas: Se deben documentar todas las pruebas que se realicen a los recursos
tecnolgicos de la Institucin. de acuerdo con el procedimiento A-RI-P10 Procedimiento para la Gestin
de Cambios y Entregas.
Monitoreo de Equipos: La Institucin se reserva el derecho de monitorear los equipos de cmputo,
conectados a la red de datos de la universidad, de los cuales se sospeche que estn comprometiendo la
confidencialidad, integridad y disponibilidad de la informacin.
Los usuarios solamente tendr acceso a los servicios de red para cuyo uso estn especficamente
autorizados segn su perfil.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 51 de 57
La universidad dispone de un Data Center, como lugar adecuado para el alojamiento de los equipos de
procesamiento de datos tipo servidor.
El Grupo Organizacin y Sistemas gestiona el mantenimiento peridico para el Data Center junto con los
elementos que lo componen, para garantizar la integridad, disponibilidad y confidencialidad de los activos
de informacin que se encuentran all alojados.
Los usuarios no pueden portar informacin de la Universidad clasificada como privada sin la previa
autorizacin del propietario del activo de informacin independiente del medio que utilice.
La instalacin de un nuevo componente en la red de datos debe estar autorizada por la Coordinacin del
Grupo Organizacin y Sistemas.
La adopcin y uso de Tecnologas de la informacin y la comunicacin orientados a la gestin de
servicios institucionales, sern aprobados por el Grupo Organizacin y Sistemas.
3.
El Servicio de acceso remoto permite el acceso a la red de datos institucional a aquellos usuarios
externos e internos expresamente autorizados por el Lder del Proceso de Gestin de Recursos
Informticos, para que lo hagan desde redes externas o internas, el cual debe estar sujeto a autenticacin
con un nivel adecuado de proteccin.
Solo Los equipos de procesamiento de datos tipo servidor y de comunicacin tendrn habilitado el
servicio de conexin de acceso remoto. Los clientes para acceder a estos recursos sern previamente
identificados y autorizados.
4.
El propsito de esta poltica es establecer una cultura de seguridad de entorno informtico para la
Universidad. Un esfuerzo eficaz de escritorio limpio y pantalla limpia con la participacin y el apoyo de todos
los funcionarios de la Institucin, tiene como objetivo garantizar que la informacin confidencial que se
encuentran en los medios magnticos como los computadores se protege con el uso de contraseas en los
protectores de pantalla y los medios fsicos como los documentos en papel que contienen informacin propia
de la Institucin, se encuentran resguardados en los escritorios de los funcionarios que laboran en la
Universidad.
El Grupo Organizacin y Sistemas y los usuarios deben configurar las estaciones de trabajo para que
activen en forma automtica el uso de protector de pantalla con contrasea, despus de 2 minutos de
inactividad. As mismo, todas las estaciones de trabajo debern usar el papel tapiz Institucional.
Es responsabilidad de los usuarios no modificar las configuraciones de proteccin de pantalla
implantadas por el Grupo Organizacin y Sistemas.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Los usuarios no deben dejar CDs, pendrives, dispositivos de almacenamiento USB y medios removibles
en general, olvidados en los computadores. Adicionalmente, se requiere que la informacin sensible que
se enva a las impresoras sea recogida de manera inmediata.
Todos los escritorios o mesas de trabajo deben permanecer limpios para proteger documentos en papel y
dispositivos de almacenamiento como CD, Memorias USB y otros dispositivos de almacenamiento, con
fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin durante el horario
normal de trabajo y fuera del mismo. Los dispositivos de almacenamiento deben ser guardados bajo llave,
especialmente aquellos en los que se hayan realizado copias de respaldo de archivos magnticos.
En largos perodos de tiempo fuera de su escritorio, se espera que los documentos sensibles del trabajo
sean colocados en cajones cerrados con llave.
Todos los usuarios son responsables de bloquear la sesin de su estacin de trabajo en el momento en
que se retiren del puesto de trabajo, la cual se podr desbloquear solo con la contrasea del usuario.
Cuando finalicen sus actividades, se deben cerrar todas las aplicaciones, dejar los equipos apagados, el
escritorio en orden y los documentos guardados.
Guarde bajo llave los dispositivos informticos porttiles, como ordenadores porttiles o dispositivos PDA.
Los usuarios deben tratar los dispositivos de almacenamiento masivo como CD-ROM, DVD o unidades
USB como sensibles y fijarlos en un cajn cerrado con llave.
Cierre con llave su escritorio y archivadores en la final de la jornada.
5.
Pgina 52 de 57
Con el fin de proteger permetros en los cuales se encuentre informacin Institucional, la Universidad
instalar los elementos necesarios para restringir el acceso del personal no autorizado al campus
universitario.
Con el fin de evitar accesos a personal no autorizado, la Universidad instalar un lector de huella como
control de acceso en el rea del Data Center, que funcionar en conjunto con tarjeta inteligente, clave y
llave fsica.
La Coordinacin del Grupo Organizacin y Sistemas elaborar un listado del personal autorizado para
ingresar al Data Center. Estrictamente se debe registrar a las personas que por el rol de sus funciones
debe ingresar.
El acceso a personal no autorizado al Data Center, deber ser autorizado por el lder del proceso Gestin
de Recursos informticos.
No se permiten las visitas al Data Center.
Como mecanismo de prevencin todos los empleados y visitantes no deben comer, fumar o beber en el
Data Center o en instalaciones donde haya equipos tecnolgicos.
No se debe proveer informacin sobre la ubicacin del Data Center o de los lugares crticos, como
mecanismo de seguridad.
Cualquier persona que tenga acceso a las instalaciones de la UPTC deber registrar al momento de su
entrada en las porteras, el ingreso de equipos de cmputo, equipo de comunicaciones, medios de
almacenamiento y herramientas que no sean propiedad de la UPTC, el cual podrn retirar el mismo da.
En caso contrario deber tramitar la autorizacin de la salida correspondiente.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Las puertas de acceso al Data Center, el rea de Tecnologa de Informacin y los Centros de Cableado
deben permanecer siempre cerradas y aseguradas. De igual manera, todos los gabinetes y puertas de los
equipos que se encuentran en estos lugares deben permanecer cerrados.
Todos los funcionarios deben portar el carn que los identifica como empleados de la Universidad,
mientras permanezcan dentro de las instalaciones de la Institucin.
6.
7.
El Grupo Organizacin y Sistemas debe respaldar con copias de seguridad la informacin Institucional
que sea de misin crtica, dichas copias deben ser tomadas y probadas de acuerdo al procedimiento ARI-P03 Copias de Seguridad de la Informacin.
El Grupo Organizacin y Sistemas debe garantizar copia de la informacin de configuracin contenida en
la plataforma tecnolgica de la Institucin como equipos tipo servidores, equipos activos de red y
dispositivos de red inalmbricos, dichas copias deben ser tomadas y probadas de acuerdo al
procedimiento A-RI-P03 Copias de Seguridad de la Informacin.
El Grupo Organizacin y Sistemas debe garantizar copia de los productos de software que administra,
dichas copias deben ser tomadas y probadas de acuerdo al procedimiento A-RI-P03 Copias de Seguridad
de la Informacin.
Los medios magnticos que tienen informacin crtica deben ser almacenados en otra ubicacin diferente
a las instalaciones donde se encuentra ubicada. El sitio externo donde se resguardan dichas copias, solo
tendr acceso el Grupo Organizacin y Sistemas.
Es de responsabilidad exclusiva de los usuarios, la creacin de copias de seguridad de archivos usados,
custodiados o producidos por estos. Para esto, deben tener en cuenta la Gua para Proteger Informacin
en Equipos Computacionales A-RI-P03-G01.
8.
Pgina 53 de 57
El intercambio de informacin manual, solo debe utilizar los servicios de correos autorizados en la
Universidad. De ser entregada por mano, debe ser entregada personalmente al destinatario en sobre
sellado y su entrega debe quedar registrada.
Toda informacin enviada a travs del correo Institucional, debe incluir en su pie de pgina, una
advertencia en cuanto a su uso y autorizaciones al respecto, quedando bajo responsabilidad del receptor
el cuidado y resguardo de la informacin.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Pgina 54 de 57
Todo intercambio de informacin a travs de acceso remoto, debe cumplir con la Poltica de Acceso
Remoto establecida por la Institucin.
El intercambio de informacin privada a o semiprivada por va telefnica no se est permitido.
9.
Versin : 04
Todos los incidentes y peticiones solicitados por los usuarios de la Institucin deben ser canalizados a
travs del sistema mesa de ayuda.
Toda la informacin relativa a los incidentes reportados, debe ser manejada con total confidencialidad.
La Universidad solicitar la asesora legal para las acciones a realizar en incidentes relacionados con:
suplantacin de identidad, acceso a informacin confidencial e incidentes relacionados con ingeniera
social.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 55 de 57
El lder del proceso Gestin Normativa tiene la responsabilidad de identificar la legislacin vigente que
debe cumplir la Universidad
en funcin de la proteccin de la informacin y divulgar estos
requerimientos. Adems, debe servir de apoyo en la interpretacin, asistencia y manejo de dicha
legislacin.
Todos los funcionarios de la Universidad deben cumplir con la Normatividad vigente adoptada por la
Institucin, leyes de derechos de autor, acuerdos de licenciamiento de software y acuerdos de
confidencialidad.
El control de acceso a todos los Sistemas de Informacin de la entidad debe realizarse por medio de
cdigos de identificacin y palabras claves o contraseas nicos para cada usuario.
El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de informacin de UPTC
debe ser asignado de acuerdo a la identificacin previa de requerimientos de seguridad y de la Institucin,
que se definan por las diferentes dependencias de la Universidad, as como normas legales o leyes
aplicables a la proteccin de acceso a la informacin presente en los sistemas de informacin.
Los responsables de la administracin de la infraestructura tecnolgica de UPTC asignan los accesos a
plataformas, usuarios y segmentos de red de acuerdo Al proceso Gestin de Identidad y Acceso A-RIP20.
Del control de acceso al equipo de cmputo. Todos y cada uno de los equipos son asignados a un
responsable, por lo que es de su competencia hacer buen uso de los mismos.
Del control de acceso local a la red. El Grupo de Organizacin y Sistemas es responsable de
proporcionar a los usuarios el acceso a los recursos informticos.
El acceso lgico a equipo especializado de cmputo (servidores, enrutadores, bases de datos, etc.)
conectado a la red es administrado por el Grupo de Organizacin y Sistemas.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 56 de 57
Las llaves criptogrficas utilizadas para el cifrado de los datos deben estar clasificadas como Confidencial
y ser protegidas contra divulgacin, uso indebido o sustitucin no autorizada restringiendo al mnimo el
nmero de custodios necesarios y guardndola de forma segura en la menor cantidad de ubicaciones y
formas posibles.
Para reducir la probabilidad de compromiso, las llaves tendrn fechas de inicio y caducidad de vigencia.
15. POLITICA DE DISPOSITIVOS MOVILES
Las caractersticas en las capacidades de los equipos sern definidos en funcin de la importancia de la
informacin procesada o almacenada en cada tipo de usuario que utiliza un dispositivo mvil de la
Institucin.
Todos los usuarios de dispositivos mviles que contengan informacin Confidencial o de Uso Interno
deben usar la ltima o la ms segura versin de los productos de software. Los parches o
actualizaciones sern obtenidos de manera formal, provenientes del fabricante.
Los usuarios que utilicen dispositivos mviles como computadores porttiles, en su puesto de trabajo,
para el cumplimiento de las funciones asignadas debern mantener el equipo asegurado con guaya.
Los usuarios de dispositivos mviles deben mantener actualizado el software antivirus del dispositivo.
16. POLITICA DE DESARROLLO SEGURO
Para apoya los procesos operativos y estratgicos la Universidad debe hacer uso intensivo de las
Tecnologas de la Informacin y las comunicaciones. Los productos de software pueden ser adquiridos a
travs de terceras partes o desarrollado por personal propio.
El Grupo Organizacin y Sistemas debe elaborar, mantener y aplicar un procedimiento para la
incorporacin de sistemas de informacin, el cual debe incluir lineamientos, procesos, buenas prcticas,
plantillas y guas que sirvan para regular los desarrollos de productos de software internos en un
ambiente de aseguramiento de calidad.
Los productos de software adquiridos a travs de terceras partes deben cumplir con el procedimiento de
incorporacin de sistemas de informacin establecido por la Universidad.
17. PROHIBICIONES
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTION DE RECURSOS INFORMATICOS
MANUAL DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Cdigo : A-RI-M02
Versin : 04
Pgina 57 de 57