Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pgina1de20
TERMINOSYCONDICIONESDEUSO
Versinactualdeldocumento:0.0.0.11
ElcontenidodeestetextoesPRIVADOylapresenteversinseconsideraundocumentointernode
trabajo.
NOSEAUTORIZALAREPRODUCCINODIFUSIONPORNINGNMEDIOOMECANISMOSIN
ELDEBIDOCONTROLYAUTORIZACINDELAOFICINAASESORADESISTEMAS.
PolticadeSeguridaddelaInformacin
Pgina2de20
Tabla de Contenido
1.Introduccin...................................................................................................................................... .5.
2.AcercadelaSeguridaddelaInformacin........................................................................................6.
3.OrganizacinparalaSeguridaddelaInformacin............................................................................6.
4.PolticadeSeguridaddelaInformacin............................................................................................8.
4.1Generalidades............................................................................................................................. 8
4.2Alcance....................................................................................................................................... 8
4.3Objetivos.................................................................................................................................... 8
4.4Responsabilidad.......................................................................................................................... 9
5.Identificacin,clasificacinyvaloracindeactivosdeinformacin..................................................10.
6.SeguridaddelainformacinenelRecursoHumano........................................................................10.
6.1ResponsabilidadesdelpersonaldelaUniversidad.....................................................................11
6.2Responsabilidadesdelosestudiantes........................................................................................11
6.3ResponsabilidadesdeUsuariosExternos..................................................................................11
6.4Usuariosinvitadosyserviciosdeaccesopblico.......................................................................12
7.SeguridadFsicaydelentorno.........................................................................................................12.
7.1Acceso........................................................................................................................................ 12
7.2Seguridadenlosequipos...........................................................................................................12
8.Administracindelascomunicacionesyoperaciones......................................................................13.
8.1Reporteeinvestigacindeincidentesdeseguridad...................................................................13
8.2Proteccincontrasoftwaremaliciosoyhacking.........................................................................13
8.3CopiasdeSeguridad.................................................................................................................. 14
8.4AdministracindeConfiguracionesdeRed................................................................................14
8.5IntercambiodeInformacinconOrganizacionesExternas.........................................................15
8.6InternetyCorreoElectrnico......................................................................................................15
8.7InstalacindeSoftware..............................................................................................................15
9.ControldeAcceso........................................................................................................................... .15.
9.1CategorasdeAcceso................................................................................................................. 15
9.2ControldeClavesyNombresdeUsuario...................................................................................16
9.3ComputacinMvil..................................................................................................................... 16
9.4AuditoriaySeguimiento.............................................................................................................. 17
9.5AccesoRemoto.......................................................................................................................... 17
10.Adquisicin,DesarrolloyMantenimientodeSistemasSoftware.....................................................17.
11.AdministracindeContinuidaddelNegocio....................................................................................17.
PolticadeSeguridaddelaInformacin
Pgina3de20
12.Cumplimiento................................................................................................................................. .18.
13.Referencias.................................................................................................................................... .18.
14.TrminosyDefiniciones................................................................................................................. .19.
14.1Informacin............................................................................................................................... 19
14.2ActivodeInformacin............................................................................................................... 19
14.3SistemadeInformacin............................................................................................................ 19
14.4PropietariodeActivosdeInformacin......................................................................................19
14.5TecnologadelaInformacin....................................................................................................19
14.6EvaluacindeRiesgos............................................................................................................ 19
14.7AdministracindeRiesgos......................................................................................................20
14.8ComitdeSeguridaddelaInformacin...................................................................................20
14.9ResponsabledeSeguridadInformtica...................................................................................20
14.10GruporesponsabledeSeguridadInformtica.........................................................................20
14.11IncidentedeSeguridadInformtica........................................................................................20
14.12Cadenadecustodia............................................................................................................... 20
PolticadeSeguridaddelaInformacin
Pgina4de20
1 Introduccin
Enlaactualidadlainformacindelainstitucinsehareconocidocomounactivovaliosoyamedida
quelossistemasdeinformacin apoyancadavezmslosprocesosdemisincrticaserequiere
contarconestrategiasdealtonivelquepermitanelcontrolyadministracinefectivadelosdatos.
Nuestrainstitucin,lossistemasyreddeinformacinenfrentanamenazasdeseguridadqueincluyen,
entre muchas otras: el fraude por computadora, espionaje, sabotaje, vandalismo, fuego, robo e
inundacin.Lasposibilidadesdedaoyprdidadeinformacinporcausadecdigomalicioso,mal
usooataquesdedenegacindeserviciosehacencadavezmscomunes.
ConlapromulgacindelapresentePolticadeSeguridaddelaInformacinlaUniversidadDistrital
Francisco Jos de Caldas formaliza su compromiso con el proceso de gestin responsable de
informacinquetienecomoobjetivogarantizarlaintegridad,confidencialidadydisponibilidaddeeste
importanteactivo,teniendocomoejeelcumplimientodelosobjetivosmisionales.
PolticadeSeguridaddelaInformacin
Pgina5de20
Vicerrectoracadmicooundelegadoespecializado,
Vicerrectoradministrativooundelegadoespecializado,
JefedelaoficinadePlaneacinoundelegadoespecializado,
JefedelaOficinaAsesoradeSistemasoundelegadoespecializado,
JefedelaReddeDatosoundelegadoespecializado,
Asesorcertificadoenseguridaddelainformacin.
En todo caso, dicha comisin o la mesa de trabajo, deber revisar y actualizar anualmente esta
polticapresentandolaspropuestasalasdirectivasdelainstitucinparasuaprobacin mediante
PolticadeSeguridaddelaInformacin
Pgina6de20
resolucinoactojurdicocorrespondiente.
Losjefesdedependencia,previaidentificacinyvaloracindesusactivosdeinformacin,hacen
parte del grupo de responsable de Seguridad de la Informacin y por tanto deben seguir los
lineamientos de gestin enmarcados en esta poltica y en los estndares, normas, guas y
procedimientosrecomendadosporelComitdeSeguridaddelaInformacinyaprobadosporlas
directivas.
PolticadeSeguridaddelaInformacin
Pgina7de20
4.2 Alcance
Estapolticaesdeaplicacinenelconjuntodedependenciasquecomponenlainstitucin,asus
recursos,alatotalidaddelosprocesosinternosoexternosvinculadosalauniversidadatravsde
contratosoacuerdoscontercerosyatodoelpersonaldelaUniversidadDistritalFranciscoJosde
Caldas,cualquieraseasusituacincontractual,ladependenciaalacualseencuentreadscritoyel
niveldelastareasquedesempee.
4.3 Objetivos
a) Proteger, preservar y administrar objetivamente la informacin de la Universidad Distrital
FranciscoJosdeCaldasjuntoconlastecnologasutilizadaparasuprocesamiento,frentea
amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el
cumplimientodeloscaractersticasdeconfidencialidad,integridad,disponibilidad,legalidad,
confiabilidadynorepudiodelainformacin.
b) Mantener la Poltica de Seguridad de la Informacin actualizada, vigente, operativa y
auditada dentro del marco determinado por los riesgos globales y especficos de la
Universidadparaasegurarsupermanenciayniveldeeficacia.
c) DefinirlasdirectricesdelaUniversidadDistritalFranciscoJosdeCaldasparalacorrecta
valoracin,anlisisyevaluacindelosriesgosdeseguridadasociadosalainformacinysu
impacto, identificando y evaluando diferentes opciones para su tratamiento con el fin de
garantizarlacontinuidadeintegridaddelossistemasdeinformacin.
PolticadeSeguridaddelaInformacin
Pgina8de20
4.4 Responsabilidad
LaPolticadeSeguridaddelaInformacinesdeaplicacinobligatoriaparatodoelpersonaldela
Universidad Distrital Francisco Jos de Caldas, cualquiera sea su situacin contractual, la
dependenciaalacualseencuentreadscritoyelniveldelastareasquedesempee.
LasdirectivasinstitucionalesapruebanestaPolticaysonresponsablesdelaautorizacindesus
modificaciones.
ElComitdeSeguridaddelaInformacindelainstitucinesresponsablederevisaryproponera
lasdirectivasinstitucionalesparasuaprobacin,eltextodelaPolticadeSeguridaddelaInformacin,
las funciones generales en materia de seguridad de la informacin y la estructuracin,
recomendacin, seguimiento y mejora del Sistema de Gestin de Seguridad de la institucin. Es
responsabilidaddedichocomitdefinirlasestrategiasdecapacitacinenmateriadeseguridaddela
informacinalinteriordelaUniversidad.
ElCoordinadordelComitdeSeguridaddelaInformacinserelresponsabledecoordinarlas
accionesdelComitdeSeguridaddelaInformacinydeimpulsarlaimplementacinycumplimiento
delapresentePoltica.
ElgruporesponsabledeSeguridadInformticaserresponsabledecumplirfuncionesrelativasa
laseguridaddelossistemasdeinformacindelaentidad,locualincluyelaoperacindelSGSIy
supervisindelcumplimiento,dentrodeladependencia,deaspectosinherentesalostemastratados
en la presente Poltica. El nivel de supervisin que pueda realizar cada grupo responsable de
seguridad, est relacionado con el talento humano que lo conforma y en todo caso deber ser
aprobadoporelComitdeSeguridaddelaInformacin.
Pgina9de20
mantenimientodelossistemasdeinformacinylosrecursosdetecnologadelaentidad.
Corresponde a dichas jefaturas determinar el inventario de activos de informacin y recursos
tecnolgicosdeloscualessonpropietariosocustodios,elcualserrevisadoyavaladoporelJefede
AlmacnyelJefedeRecursosFsicos.
EljefedelaOficinaJurdicaverificarelcumplimientodelapresentePolticaenlagestindetodos
loscontratos,acuerdosuotradocumentacindelaentidadconempleadosyconterceros.Asimismo,
asesorarenmaterialegalalaentidadenloqueserefierealaseguridaddelainformacin.
Losusuariosdelainformacinydelossistemasutilizadosparasuprocesamientosonresponsables
deconocerycumplirlaPolticadeSeguridaddelaInformacinvigente.
LaOficinadeControlInternoesresponsabledepracticarauditorasperidicassobrelossistemasy
actividadesvinculadasconlagestindeactivosdeinformacinylatecnologadeinformacin.Essu
responsabilidadinformarsobreelcumplimientodelasespecificacionesymedidasdeseguridaddela
informacinestablecidasporestaPolticayporlasnormas,procedimientosyprcticasquedeella
surjan.
Pgina10de20
manualdeResponsabilidadesPersonalesparalaSeguridaddelaInformacinenlaUniversidad
DistritalFranciscoJosdeCaldas.
Laresponsabilidaddecustodiadecualquierarchivomantenido,usadooproducidoporelpersonal
queseretira,ocambiadecargo,recaeeneljefededepartamentoosupervisordelcontrato;entodo
casoelprocesodecambioenlacadenadecustodiadelainformacindebehacerparteintegraldel
procedimientodeterminacindelarelacincontractualodecambiodecargo.
ElEstatutoGeneralyelEstatutoDocentedebencontemplarprocesosysancionesdisciplinariaspara
loscasosenquesepresenteusosdeinformacinyTIqueviolenlostrminosycondiciones.
La OficinadeRecursosHumanos juntoconla OficinaAsesoradeSistemas seencargarnde
crear,actualizar,manteneryejecutarunplandecapacitacinenseguridaddelainformacinque
propendaporelcrecimientocontinuodelaconcienciaindividualycolectivaentemasdeseguridadde
lainformacin.
La Oficina Asesora de Sistemas en conjunto con la Red de Datos UDNET y la Seccin de
Biblioteca se encargarn de crear y mantener un centro documental de acceso general con
informacinrelacionadacontemasdeseguridaddelainformacintalescomoresponsabilidadenla
administracindearchivos,buenasprcticas,amenazasdeseguridad,entreotros.
Pgina11de20
miembro del personal de la Universidad quien ser responsable del control y vigilancia del uso
adecuadodelainformacinylosrecursosdeTIinstitucionales.Losprocedimientosparaelregistro
detalesusuariosdebesercreadoymantenidoporlaOficinaAsesoradeSistemasenconjuntoconla
ReddeDatosUDNETylaOficinadeRecursosHumanos.
Losusuariosexternosdebenaceptarporescritolostrminosycondicionesdeusodelainformaciny
recursosdeTIinstitucionales.Lascuentasdeusuariosexternosdebenserdeperfilesespecficosy
tenercaducidadnosuperioratres(3)meses,renovablesdeacuerdoalanaturalezadelusuario.
Pgina12de20
Las estaciones de trabajo deben estar correctamente aseguradas y operadas por personal de la
institucin el cual debe estar capacitado acerca del contenido de esta poltica y de las
responsabilidadespersonalesenelusoyadministracindelainformacininstitucional.
Losmediosquealojancopiasdeseguridaddebenserconservadosdeformacorrectadeacuerdoa
laspolticasyestndaresqueparatalefectoelaboreymantengael ComitdeSeguridadenla
Informacin.
Las dependencias tienen la responsabilidad de adoptar y cumplir las normas definidas para la
creacinyelmanejodecopiasdeseguridad.
Pgina13de20
virus.Losusuariosdelaestacionesnoestnautorizadosadeshabilitarestecontrol.
LaUniversidadatravsdelaOficinaAsesoradeSistemasolaReddeDatosUDNETpodrhacer
seguimientoaltrficodelaredcuandosetengaevidenciasdeactividadinusualodetrimentosenel
desempeo. La dependencia que realice dicho seguimiento deber informar a la comunidad
universitariaatravsdecorreoelectrnicoonoticiasenelportalinstitucionaldelaejecucindeesta
tarea.
LaReddeDatosUDNETylaOficinaAsesoradeSistemasdebenmanteneractualizadaunabase
dedatosconalertasdeseguridadreportadaspororganismoscompetentesyactuarenconformidad
cuando una alerta pueda tener un impacto considerable en el desempeo de los sistemas
informticos.
PolticadeSeguridaddelaInformacin
Pgina14de20
TodoequipodeTIdebeserrevisado,registradoyaprobadoporlaReddeDatosUDNETantesde
conectarseacualquiernododelaReddecomunicacionesydatosinstitucional.Dichadependencia
debe desconectar aquellos dispositivos que no estn aprobados yreportar tal conexin como un
incidentedeseguridadaserinvestigado.
9 Control de Acceso
9.1 Categoras de Acceso
Elaccesoalosrecursosdetecnologasdeinformacininstitucionalesdebenestarrestringidossegn
losperfilesdeusuariodefinidosporelComitdeSeguridaddelaInformacin.
PolticadeSeguridaddelaInformacin
Pgina15de20
Pgina16de20
identificados,valoradosytratadosdeacuerdoaloslineamientosdela PolticadeSeguridaden
redesinalmbricasquedebeelaborarelComitdeSeguridaddelaInformacin..
PolticadeSeguridaddelaInformacin
Pgina17de20
12 Cumplimiento
TodousoyseguimientodeusoalosrecursosdeTIenlaUniversidadDistritalFranciscoJosde
Caldasdebeestardeacuerdoalasnormasyestatutosinternosascomoalalegislacinnacionalen
lamateria,incluidoperonorestringidoa:
ConstitucinPolticadeColombia
Ley5271999Leydecomercioelectrnico.
NTC27001:2006.SistemadeGestindeSeguridaddelaInformacin.
ISO/IEC17799:2005InformationtechnologySecuritytechniquesCodeofpracticeforinformation
securitymanagement
ProyectoUniversitarioInstitucional
Acuerdo027dediciembre23de1993. EstatutoEstudiantildelaUniversidadDistritalFrancisco
JosdeCaldas
EstatutoDocentedelaUniversidadDistritalFranciscoJosdeCaldas
CdigodeticadelaUniversidadDistritalFranciscoJosdeCaldas
MECI1000:2005 LineamientosgeneralesparalaimplementacindelModeloEstndardeControl
InternoparaelEstadoColombiano
NTCGP1000:2004NormaTecnicaColombianadelaGestionPublica
PIGAPlanInstitucionaldeGestinAmbiental
13 Referencias
[1]ISO27001:2005.SistemasdegestindeSeguridadenlaInformacinRequerimientos.
[2] ISO/IEC 133351:2004. Tecnologa de la informacin Tcnicas de seguridad Gestin de
seguridadentecnologadeinformacinycomunicacionesParte1:Conceptosymodelosparala
gestindeseguridadenlatecnologadelainformacinycomunicaciones.
[3]ISO/IECTR133353:1998.LineamientosparalaGestindeSeguridadTIParte3:Tcnicaspara
lagestindelaseguridadTI.
[4]ISO/IEC133354:2000.LineamientosparalaGestindelaSeguridadTIParte4:Seleccinde
salvaguardas.
[5]ISO14001:2004.SistemasdegestinambientalRequerimientosconlineamientoparasuuso
[6] ISO/IEC TR 18044:2004.Tecnologa de la informacin Tcnicas de seguridad Gestin de
incidentesenlaseguridaddelainformacin.
PolticadeSeguridaddelaInformacin
Pgina18de20
[7] ISO/IEC 19011:2002. Lineamientos para la auditora de sistemas de auditora y/o gestin
ambiental
[8]ISO/IECGua62:1996.Requerimientosgeneralesparalosorganismosqueoperanlaevaluaciny
certificacin/registrodesistemasdecalidad.
[9] ISO/IEC Gua 73:2002. Gestin de riesgo Vocabulario Lineamientos para el uso en
estndares.
[10]NISTSP80030.GuadeGestindeRiesgoparalosSistemasdeTecnologadelaInformacin.
[11]ISO9001:2000.SistemasdegestindecalidadRequerimientos.
14 Trminos y Definiciones
14.1 Informacin
Todaformadeconocimientoobjetivoconrepresentacinfsicaolgicaexplcita.
Pgina19de20
PolticadeSeguridaddelaInformacin
Pgina20de20