PolticadeSeguridaddelaInformacin

Pgina1de20

TERMINOSYCONDICIONESDEUSO
Versinactualdeldocumento:0.0.0.11
ElcontenidodeestetextoesPRIVADOylapresenteversinseconsideraundocumentointernode
trabajo.
NOSEAUTORIZALAREPRODUCCINODIFUSIONPORNINGNMEDIOOMECANISMOSIN
ELDEBIDOCONTROLYAUTORIZACINDELAOFICINAASESORADESISTEMAS.

PolticadeSeguridaddelaInformacin

Pgina2de20

Tabla de Contenido
1.Introduccin...................................................................................................................................... .5.
2.AcercadelaSeguridaddelaInformacin........................................................................................6.
3.OrganizacinparalaSeguridaddelaInformacin............................................................................6.
4.PolticadeSeguridaddelaInformacin............................................................................................8.
4.1Generalidades............................................................................................................................. 8
4.2Alcance....................................................................................................................................... 8
4.3Objetivos.................................................................................................................................... 8
4.4Responsabilidad.......................................................................................................................... 9
5.Identificacin,clasificacinyvaloracindeactivosdeinformacin..................................................10.
6.SeguridaddelainformacinenelRecursoHumano........................................................................10.
6.1ResponsabilidadesdelpersonaldelaUniversidad.....................................................................11
6.2Responsabilidadesdelosestudiantes........................................................................................11
6.3ResponsabilidadesdeUsuariosExternos..................................................................................11
6.4Usuariosinvitadosyserviciosdeaccesopblico.......................................................................12
7.SeguridadFsicaydelentorno.........................................................................................................12.
7.1Acceso........................................................................................................................................ 12
7.2Seguridadenlosequipos...........................................................................................................12
8.Administracindelascomunicacionesyoperaciones......................................................................13.
8.1Reporteeinvestigacindeincidentesdeseguridad...................................................................13
8.2Proteccincontrasoftwaremaliciosoyhacking.........................................................................13
8.3CopiasdeSeguridad.................................................................................................................. 14
8.4AdministracindeConfiguracionesdeRed................................................................................14
8.5IntercambiodeInformacinconOrganizacionesExternas.........................................................15
8.6InternetyCorreoElectrnico......................................................................................................15
8.7InstalacindeSoftware..............................................................................................................15
9.ControldeAcceso........................................................................................................................... .15.
9.1CategorasdeAcceso................................................................................................................. 15
9.2ControldeClavesyNombresdeUsuario...................................................................................16
9.3ComputacinMvil..................................................................................................................... 16
9.4AuditoriaySeguimiento.............................................................................................................. 17
9.5AccesoRemoto.......................................................................................................................... 17
10.Adquisicin,DesarrolloyMantenimientodeSistemasSoftware.....................................................17.
11.AdministracindeContinuidaddelNegocio....................................................................................17.
PolticadeSeguridaddelaInformacin

Pgina3de20

12.Cumplimiento................................................................................................................................. .18.
13.Referencias.................................................................................................................................... .18.
14.TrminosyDefiniciones................................................................................................................. .19.
14.1Informacin............................................................................................................................... 19
14.2ActivodeInformacin............................................................................................................... 19
14.3SistemadeInformacin............................................................................................................ 19
14.4PropietariodeActivosdeInformacin......................................................................................19
14.5TecnologadelaInformacin....................................................................................................19
14.6EvaluacindeRiesgos............................................................................................................ 19
14.7AdministracindeRiesgos......................................................................................................20
14.8ComitdeSeguridaddelaInformacin...................................................................................20
14.9ResponsabledeSeguridadInformtica...................................................................................20
14.10GruporesponsabledeSeguridadInformtica.........................................................................20
14.11IncidentedeSeguridadInformtica........................................................................................20
14.12Cadenadecustodia............................................................................................................... 20

PolticadeSeguridaddelaInformacin

Pgina4de20

1 Introduccin
Enlaactualidadlainformacindelainstitucinsehareconocidocomounactivovaliosoyamedida
quelossistemasdeinformacin apoyancadavezmslosprocesosdemisincrticaserequiere
contarconestrategiasdealtonivelquepermitanelcontrolyadministracinefectivadelosdatos.
Nuestrainstitucin,lossistemasyreddeinformacinenfrentanamenazasdeseguridadqueincluyen,
entre muchas otras: el fraude por computadora, espionaje, sabotaje, vandalismo, fuego, robo e
inundacin.Lasposibilidadesdedaoyprdidadeinformacinporcausadecdigomalicioso,mal
usooataquesdedenegacindeserviciosehacencadavezmscomunes.
ConlapromulgacindelapresentePolticadeSeguridaddelaInformacinlaUniversidadDistrital
Francisco Jos de Caldas formaliza su compromiso con el proceso de gestin responsable de
informacinquetienecomoobjetivogarantizarlaintegridad,confidencialidadydisponibilidaddeeste
importanteactivo,teniendocomoejeelcumplimientodelosobjetivosmisionales.

PolticadeSeguridaddelaInformacin

Pgina5de20

2 Acerca de la Seguridad de la Informacin

Laseguridaddelainformacinseentiendecomolapreservacin,aseguramientoycumplimientode
lassiguientescaractersticasdelainformacin:
Confidencialidad:losactivosdeinformacinsolopuedenseraccedidosycustodiadosporusuarios
quetenganpermisosparaello.
Integridad:Elcontenidodelosactivosdeinformacindebepermanecerinalteradoycompleto.Las
modificacionesrealizadasdebenserregistradasasegurandosuconfiabilidad.
Disponibilidad:Losactivosdeinformacinslopuedenserobtenidosacortoplazoporlosusuarios
quetenganlospermisosadecuados.
Paraelloesnecesarioconsideraraspectostalescomo:
Autenticidad:Losactivosdeinformacinloscrean,editanycustodianusuariosreconocidosquienes
validansucontenido.
PosibilidaddeAuditora:Semantienenevidenciasdetodaslasactividadesyaccionesqueafectan
alosactivosdeinformacin.
Proteccinaladuplicacin:Losactivosdeinformacinsonobjetodeclasificacin,ysellevan
registrosdelascopiasgeneradasdeaquelloscatalogadoscomoconfidenciales.
No repudio: Los autores, propietarios y custodios de los activos de informacin se pueden
identificarplenamente.
Legalidad:Losactivosdeinformacincumplenlosparmetroslegales,normativosyestatutariosde
lainstitucin.
Confiabilidad de la Informacin: Es fiable el contenido de los activos de informacin que
conservenlaconfidencialidad,integridad,disponibilidad,autenticidadylegalidad..
DatosoinformacinpropiedaddelaUniversidadque

3 Organizacin para la Seguridad de la Informacin

LaUniversidadDistritalFranciscoJosdeCaldasgarantizaelapoyoalprocesodeestablecimiento,
implementacin,operacin,seguimiento,revisin,mantenimientoymejoradelSistemadeGestinde
laSeguridaddelaInformacin, delcualhaceparteintegrallapresentepoltica, por mediodela
creacin de una comisin tcnica denominada Comit de Seguridad de la Informacin cuya
composicinyfuncionessernreglamentadasporunamesadetrabajocompuestapor:

Vicerrectoracadmicooundelegadoespecializado,
Vicerrectoradministrativooundelegadoespecializado,
JefedelaoficinadePlaneacinoundelegadoespecializado,
JefedelaOficinaAsesoradeSistemasoundelegadoespecializado,
JefedelaReddeDatosoundelegadoespecializado,
Asesorcertificadoenseguridaddelainformacin.

En todo caso, dicha comisin o la mesa de trabajo, deber revisar y actualizar anualmente esta
polticapresentandolaspropuestasalasdirectivasdelainstitucinparasuaprobacin mediante
PolticadeSeguridaddelaInformacin

Pgina6de20

resolucinoactojurdicocorrespondiente.
Losjefesdedependencia,previaidentificacinyvaloracindesusactivosdeinformacin,hacen
parte del grupo de responsable de Seguridad de la Informacin y por tanto deben seguir los
lineamientos de gestin enmarcados en esta poltica y en los estndares, normas, guas y
procedimientosrecomendadosporelComitdeSeguridaddelaInformacinyaprobadosporlas
directivas.

PolticadeSeguridaddelaInformacin

Pgina7de20

4 Poltica de Seguridad de la Informacin

4.1 Generalidades
Lainformacinesunrecursoque,comoelrestodelosactivos,tienevalorparalainstitucinypor
consiguientedebeserdebidamenteprotegida.
El establecimiento, seguimiento, mejora continua y aplicacin de la Poltica de Seguridad de la
Informacingarantizauncompromisoineludibledeproteccinalamismafrenteaunaampliagama
de amenazas. Con esta poltica se contribuye a minimizar los riesgos asociados de dao y se
aseguraeleficientecumplimientodelasfuncionessustantivasdelaentidadapoyadasenuncorrecto
sistemadeinformacin.
La institucin establecer los mecanismos para respaldar la difusin, estudio, actualizacin y
consolidacintantodelapresentepolticacomodelosdemscomponentesdelSistemadeGestin
delaSeguridaddelaInformacinyalinearlosdeformaefectivaconlosdemssistemasdegestin.

4.2 Alcance
Estapolticaesdeaplicacinenelconjuntodedependenciasquecomponenlainstitucin,asus
recursos,alatotalidaddelosprocesosinternosoexternosvinculadosalauniversidadatravsde
contratosoacuerdoscontercerosyatodoelpersonaldelaUniversidadDistritalFranciscoJosde
Caldas,cualquieraseasusituacincontractual,ladependenciaalacualseencuentreadscritoyel
niveldelastareasquedesempee.

4.3 Objetivos
a) Proteger, preservar y administrar objetivamente la informacin de la Universidad Distrital
FranciscoJosdeCaldasjuntoconlastecnologasutilizadaparasuprocesamiento,frentea
amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el
cumplimientodeloscaractersticasdeconfidencialidad,integridad,disponibilidad,legalidad,
confiabilidadynorepudiodelainformacin.
b) Mantener la Poltica de Seguridad de la Informacin actualizada, vigente, operativa y
auditada dentro del marco determinado por los riesgos globales y especficos de la
Universidadparaasegurarsupermanenciayniveldeeficacia.
c) DefinirlasdirectricesdelaUniversidadDistritalFranciscoJosdeCaldasparalacorrecta
valoracin,anlisisyevaluacindelosriesgosdeseguridadasociadosalainformacinysu
impacto, identificando y evaluando diferentes opciones para su tratamiento con el fin de
garantizarlacontinuidadeintegridaddelossistemasdeinformacin.

PolticadeSeguridaddelaInformacin

Pgina8de20

4.4 Responsabilidad
LaPolticadeSeguridaddelaInformacinesdeaplicacinobligatoriaparatodoelpersonaldela
Universidad Distrital Francisco Jos de Caldas, cualquiera sea su situacin contractual, la
dependenciaalacualseencuentreadscritoyelniveldelastareasquedesempee.
LasdirectivasinstitucionalesapruebanestaPolticaysonresponsablesdelaautorizacindesus
modificaciones.
ElComitdeSeguridaddelaInformacindelainstitucinesresponsablederevisaryproponera
lasdirectivasinstitucionalesparasuaprobacin,eltextodelaPolticadeSeguridaddelaInformacin,
las funciones generales en materia de seguridad de la informacin y la estructuracin,
recomendacin, seguimiento y mejora del Sistema de Gestin de Seguridad de la institucin. Es
responsabilidaddedichocomitdefinirlasestrategiasdecapacitacinenmateriadeseguridaddela
informacinalinteriordelaUniversidad.
ElCoordinadordelComitdeSeguridaddelaInformacinserelresponsabledecoordinarlas
accionesdelComitdeSeguridaddelaInformacinydeimpulsarlaimplementacinycumplimiento
delapresentePoltica.
ElgruporesponsabledeSeguridadInformticaserresponsabledecumplirfuncionesrelativasa
laseguridaddelossistemasdeinformacindelaentidad,locualincluyelaoperacindelSGSIy
supervisindelcumplimiento,dentrodeladependencia,deaspectosinherentesalostemastratados
en la presente Poltica. El nivel de supervisin que pueda realizar cada grupo responsable de
seguridad, est relacionado con el talento humano que lo conforma y en todo caso deber ser
aprobadoporelComitdeSeguridaddelaInformacin.

Los propietariosdeactivosdeinformacin (versudefinicinenelglosario) sonresponsables

delaclasificacin,mantenimientoyactualizacindelamisma;ascomodedocumentarymantener
actualizadalaclasificacinefectuada,definiendoquusuariosdebentenerpermisosdeaccesoala
informacinde acuerdoa sus funciones y competencia. En general, tienen la responsabilidad de
mantenerntegro,confidencial ydisponibleelactivodeinformacinmientrasqueesdesarrollado,
producido,mantenidoyutilizado.
El jefedeRecursosHumanos cumplirlafuncindenotificaratodoelpersonalquesevincula
contractualmenteconlaUniversidad,delasobligacionesrespectodelcumplimientodelaPolticade
SeguridaddelaInformacinydetodoslosestndares,procesos,procedimientos,prcticasyguas
que surjan del Sistema de Gestin de la Seguridad de la Informacin. De igual forma, ser
responsabledelanotificacindelapresentePolticaydeloscambiosqueenellaseproduzcana
todoelpersonal,atravsdelasuscripcindelosCompromisosdeConfidencialidadydetareasde
capacitacin continua en materia de seguridad segn lineamientos dictados por el Comite de
SeguridaddelaInformacin.
El jefedelaOficinaAsesoradeSistemas encoordinacinconel Director delaRedde Datos
UDNET deben seguirloslineamientosdelapresentepolticaycumplirlosrequerimientosqueen
materiadeseguridadinformticaseestablezcanparalaoperacin,administracin,comunicaciny
PolticadeSeguridaddelaInformacin

Pgina9de20

mantenimientodelossistemasdeinformacinylosrecursosdetecnologadelaentidad.
Corresponde a dichas jefaturas determinar el inventario de activos de informacin y recursos
tecnolgicosdeloscualessonpropietariosocustodios,elcualserrevisadoyavaladoporelJefede
AlmacnyelJefedeRecursosFsicos.
EljefedelaOficinaJurdicaverificarelcumplimientodelapresentePolticaenlagestindetodos
loscontratos,acuerdosuotradocumentacindelaentidadconempleadosyconterceros.Asimismo,
asesorarenmaterialegalalaentidadenloqueserefierealaseguridaddelainformacin.
Losusuariosdelainformacinydelossistemasutilizadosparasuprocesamientosonresponsables
deconocerycumplirlaPolticadeSeguridaddelaInformacinvigente.
LaOficinadeControlInternoesresponsabledepracticarauditorasperidicassobrelossistemasy
actividadesvinculadasconlagestindeactivosdeinformacinylatecnologadeinformacin.Essu
responsabilidadinformarsobreelcumplimientodelasespecificacionesymedidasdeseguridaddela
informacinestablecidasporestaPolticayporlasnormas,procedimientosyprcticasquedeella
surjan.

5 Identificacin, clasificacin y valoracin de activos de

informacin.
Cadadependencia,bajosupervisindelComitdeSeguridaddelaInformacin,debeelaborary
mantener un inventario de los activos de informacin que poseen (procesada y producida). Las
caractersticasdelinventario,dondeseincorporelaclasificacin,valoracin,ubicacinyaccesodela
informacin,lasespecificaelComitdeSeguridaddelaInformacin,correspondiendoalaOficina
AsesoradeSistemas brindarherramientasquepermitanlaadministracindelinventarioporcada
dependencia, garantizando la disponibilidad, integridad y confidencialidad de los datos que lo
componen.
La ReddeDatos UDNET encoordinacinconla DivisindeRecursosFsicos yla Seccinde
Almacntienenlaresponsabilidaddemantenerelinventariocompletoyactualizadodelosrecursos
dehardwareysoftwaredelainstitucin.

6 Seguridad de la informacin en el Recurso Humano

TodoelpersonaldelaUniversidadDistritalFranciscoJosdeCaldas,cualquieraseasusituacin
contractual,ladependenciaalacualseencuentreadscritoyelniveldelastareasquedesempee
debe tener asociado un perfil de uso de los recursos de informacin, incluyendo el hardware y
softwareasociado.LaOficinaAsesoradeSistemasencoordinacinconlaReddeDatosUDNET
debenmantenerundirectoriocompletoyactualizadodetalesperfiles.
ElComitdeSeguridaddelaInformacindeterminacualessonlosatributosquedebendefinirse
paralosdiferentesperfiles.
ElComitdeSeguridaddelaInformacindebeelaborar,mantener,actualizar,mejorarydifundirel
PolticadeSeguridaddelaInformacin

Pgina10de20

manualdeResponsabilidadesPersonalesparalaSeguridaddelaInformacinenlaUniversidad
DistritalFranciscoJosdeCaldas.
Laresponsabilidaddecustodiadecualquierarchivomantenido,usadooproducidoporelpersonal
queseretira,ocambiadecargo,recaeeneljefededepartamentoosupervisordelcontrato;entodo
casoelprocesodecambioenlacadenadecustodiadelainformacindebehacerparteintegraldel
procedimientodeterminacindelarelacincontractualodecambiodecargo.

6.1 Responsabilidades del personal de la Universidad

TodoelpersonaldelaUniversidadDistritalFranciscoJosdeCaldas,cualquieraseasusituacin
contractual,ladependenciaalacualseencuentreadscritoylastareasquedesempeedebefirmar
unacuerdoquecontengalostrminosycondicionesqueregulanelusoderecursosdeTIylasreglas
yperfilesqueautorizanelusodelainformacininstitucional.
Losprocedimientosparaobtenertalesperfilesylascaractersticasdecadaunodeellosdebenser
mantenidosyactualizadosporcadadependencia,deacuerdoaloslineamientosdadosporlaOficina
Asesoradesistemas,encuantoalainformacin yla ReddeDatosUDNET,encuantoalos
dispositivoshardwareyloselementossoftware.

ElEstatutoGeneralyelEstatutoDocentedebencontemplarprocesosysancionesdisciplinariaspara
loscasosenquesepresenteusosdeinformacinyTIqueviolenlostrminosycondiciones.
La OficinadeRecursosHumanos juntoconla OficinaAsesoradeSistemas seencargarnde
crear,actualizar,manteneryejecutarunplandecapacitacinenseguridaddelainformacinque
propendaporelcrecimientocontinuodelaconcienciaindividualycolectivaentemasdeseguridadde
lainformacin.
La Oficina Asesora de Sistemas en conjunto con la Red de Datos UDNET y la Seccin de
Biblioteca se encargarn de crear y mantener un centro documental de acceso general con
informacinrelacionadacontemasdeseguridaddelainformacintalescomoresponsabilidadenla
administracindearchivos,buenasprcticas,amenazasdeseguridad,entreotros.

6.2 Responsabilidades de los estudiantes.

ParapoderusarlosrecursosdeTIdelaUniversidad,losestudiantesdebenleeryaceptarencada
matrculadesemestreunacuerdoconlostrminosycondiciones.LaOficinaAsesoradeSistemas
debeasegurarlosmecanismosparaladifusinyaceptacindedichascondicionespormediode
registrosymanualesenlnea.
Elestatutoestudiantildebecontemplarprocesosysancionesdisciplinariasparaloscasosenquese
presenteusosdeinformacinyTIqueviolenlostrminosycondiciones.

6.3 Responsabilidades de Usuarios Externos

Todos los usuarios externos y personal de empresas externas deben estar autorizados por un
PolticadeSeguridaddelaInformacin

Pgina11de20

miembro del personal de la Universidad quien ser responsable del control y vigilancia del uso
adecuadodelainformacinylosrecursosdeTIinstitucionales.Losprocedimientosparaelregistro
detalesusuariosdebesercreadoymantenidoporlaOficinaAsesoradeSistemasenconjuntoconla
ReddeDatosUDNETylaOficinadeRecursosHumanos.
Losusuariosexternosdebenaceptarporescritolostrminosycondicionesdeusodelainformaciny
recursosdeTIinstitucionales.Lascuentasdeusuariosexternosdebenserdeperfilesespecficosy
tenercaducidadnosuperioratres(3)meses,renovablesdeacuerdoalanaturalezadelusuario.

6.4 Usuarios invitados y servicios de acceso pblico.

Elaccesodeusuariosnoregistradossolodebeserpermitidoalsitiowebdeinformacininstitucional.
Elaccesoyusoacualquier otrotipoderecursodeinformaciny TI noespermitidoausuarios
invitadosonoregistrados.

7 Seguridad Fsica y del entorno

7.1 Acceso
Sedebeteneraccesocontroladoyrestringidoaloscuartosdeservidoresprincipales,subsidiariosya
loscuartosdecomunicaciones.LaReddeDatosUDNETenconjuntoconlaOficinaAsesorade
Sistemaselaborarnymantendrnlasnormas,controlesyregistrosdeaccesoadichasreas.

7.2 Seguridad en los equipos

Los servidores que contengan informacin y servicios institucional deben ser mantenidos en un
ambienteseguroyprotegidoporlosmenoscon:
Controlesdeaccesoyseguridadfsica.
Deteccindeincendioysistemasdeextincindeconflagraciones.
Controlesdehumedadytemperatura.
Bajoriesgodeinundacin.
Sistemaselctricosreguladosyrespaldadosporfuentesdepotenciaininterrumpida(UPS).
Todainformacininstitucionalenformatodigitaldebesermantenidaenservidoresaprobadosporla
Oficina Asesora de Sistemas o la Red de Datos UDNET. El Comit de Informtica y
Telecomunicaciones define el lmite de responsabilidades de las dependencias. No se permite el
alojamientodeinformacininstitucionalenservidoresexternossinquemedieunaaprobacinpor
escritodelComitdeSeguridaddelaInformacin.
Equipos claves de comunicaciones deben se alimentados por sistemas de potencia elctrica
reguladosyestarprotegidosporUPS.
LaReddeDatosUDNETdebeasegurarquelainfraestructuradeserviciosdeTIestecubiertapor
mantenimientoysoporteadecuadosdehardwareysoftware.
PolticadeSeguridaddelaInformacin

Pgina12de20

Las estaciones de trabajo deben estar correctamente aseguradas y operadas por personal de la
institucin el cual debe estar capacitado acerca del contenido de esta poltica y de las
responsabilidadespersonalesenelusoyadministracindelainformacininstitucional.
Losmediosquealojancopiasdeseguridaddebenserconservadosdeformacorrectadeacuerdoa
laspolticasyestndaresqueparatalefectoelaboreymantengael ComitdeSeguridadenla
Informacin.
Las dependencias tienen la responsabilidad de adoptar y cumplir las normas definidas para la
creacinyelmanejodecopiasdeseguridad.

8 Administracin de las comunicaciones y operaciones

8.1 Reporte e investigacin de incidentes de seguridad
El personal de la Universidad debe reportar con diligencia, prontitud y responsabilidad presuntas
violacionesdeseguridadatravsdesujefededependenciaalaOficinaAsesoradeSistemasola
Red de Datos UDNET. En casos especiales dichos reportes podrn realizarse directamente a la
Oficina Asesora de Sistemas, la cual debe garantizar las herramientas informticas para que
formalmenteserealicentalesdenuncias.
ElComitdeSeguridaddelaInformacindebepreparar,mantenerydifundirlasnormas,procesos
yguasparaelreporteeinvestigacindeincidentesdeseguridad.
En conformidad con la ley, la Universidad podr interceptar o realizar seguimiento a las
comunicaciones por diferentes mecanismos previa autorizacin del Comit de Informtica y
Telecomunicaciones,yentodocasonotificandopreviamentealosafectadosporestadecisin.
La Oficina Asesora de Sistemas en conjunto con la Red de Datos UDNET mantendr
procedimientosescritosparalaoperacindesistemascuyanodisponibilidadsupongaunimpactoalto
eneldesarrollonormaldeactividades.Adichossistemassedeberealizarseguimientocontinuodel
desempeoparaasegurarlaconfiabilidaddelservicioqueprestan.

8.2 Proteccin contra software malicioso y hacking.

Todoslossistemasinformticosdebenserprotegidosteniendoencuentaunenfoquemultinivelque
involucre controles humanos, fsicos tcnicos y administrativos. El Comit de Seguridad de la
Informacinelaborarymantendrunconjuntodepolticas,normas,estndares,procedimientosy
guasquegaranticenlamitigacinderiesgosasociadosaamenazasdesoftwaremaliciosoytcnicas
dehacking.
En todo caso y como control mnimo, las estaciones de trabajo de la Universidad deben estar
protegidasporsoftwareantivirusconcapacidaddeactualizacinautomticaencuantoafirmasde
PolticadeSeguridaddelaInformacin

Pgina13de20

virus.Losusuariosdelaestacionesnoestnautorizadosadeshabilitarestecontrol.
LaUniversidadatravsdelaOficinaAsesoradeSistemasolaReddeDatosUDNETpodrhacer
seguimientoaltrficodelaredcuandosetengaevidenciasdeactividadinusualodetrimentosenel
desempeo. La dependencia que realice dicho seguimiento deber informar a la comunidad
universitariaatravsdecorreoelectrnicoonoticiasenelportalinstitucionaldelaejecucindeesta
tarea.
LaReddeDatosUDNETylaOficinaAsesoradeSistemasdebenmanteneractualizadaunabase
dedatosconalertasdeseguridadreportadaspororganismoscompetentesyactuarenconformidad
cuando una alerta pueda tener un impacto considerable en el desempeo de los sistemas
informticos.

8.3 Copias de Seguridad

Todainformacinquepertenezcaalamatrizdeactivosdeinformacininstitucionaloqueseade
intersparaunprocesooperativoodemisincrticadebeserrespaldadaporcopiasdeseguridad
tomadas de acuerdo a los procedimientos documentados por el Comit de Seguridad de la
Informacin.Dichoprocedimientodebeincluirlasactividadesdealmacenamientodelascopiasen
sitiosseguros.
LasdependenciasdelaUniversidaddeberealizarpruebascontroladasparaasegurarquelascopias
deseguridadpuedensercorrectamenteledasyrestauradas.
Losregistrosdecopiasdeseguridaddebenserguardadosenunabasededatoscreadaparatalfin.
LaOficinaAsesoradeSistemasdebeproveerlasherramientasparaquelasdependenciaspuedan
administra la informacin y registros de copias de seguridad. La Oficina de Control Interno debe
efectuarauditorasaleatoriasquepermitandeterminarelcorrectofuncionamientodelosprocesosde
copiadeseguridad.
Las copias de seguridad de informacin crtica debe ser mantenida de acuerdo a cronogramas
definidos y publicados por la Oficina Asesora de Sistemas en conjunto con la Red de Datos
UDNET.
La creacin de copias de seguridad de archivos usados, custodiados o producidos por usuarios
individuales es responsabilidad exclusiva de dichos usuarios. Los usuarios deben entregar al
respectivojefededependencialascopiasdeseguridadparasuregistroycustodia.

8.4 Administracin de Configuraciones de Red

La configuracin de enrutadores, switches, firewall, sistemas de deteccin de intrusos y otros
dispositivos de seguridad de red; debe ser documentada, respaldada por copia de seguridad y
mantenidaporlaReddeDatosUDNET.

PolticadeSeguridaddelaInformacin

Pgina14de20

TodoequipodeTIdebeserrevisado,registradoyaprobadoporlaReddeDatosUDNETantesde
conectarseacualquiernododelaReddecomunicacionesydatosinstitucional.Dichadependencia
debe desconectar aquellos dispositivos que no estn aprobados yreportar tal conexin como un
incidentedeseguridadaserinvestigado.

8.5 Intercambio de Informacin con Organizaciones Externas.

Laspeticionesdeinformacinporpartedeentesexternosdecontroldebenseraprobadasporla
Vicerrectora Administrativa y Financiera, y dirigida por dichos entes a los responsables de su
custodia.
Todalainformacininstitucionaldebesermanejadadeacuerdoalalegislacin.(Seccin12deesta
Poltica)

8.6 Internet y Correo Electrnico

LasnormasdeusodeInternetydelosserviciosdecorreoelectrnicosernelaboradas,mantenidas
yactualizadasporelComitdeSeguridaddelaInformacinyentodocasoestecomitdebevelar
por el cumplimientodel cdigo de tica institucional y el manejo responsable de los recursos de
tecnologasdelainformacin.

8.7 Instalacin de Software

Todas las instalaciones de software que se realicen sobre sistemas de la Universidad deben ser
aprobadas por la Oficina Asesora de Sistemas o la Red de Datos UDNET, de acuerdo a los
procedimientos elaborados para tal fin por dichas dependencias. El Comit de Informtica y
Telecomunicacionesdefinirelmbitoenelcualactuarcadadependencia.
Nosepermitelainstalacindesoftwarequeviolelasleyesdepropiedadintelectualyderechosde
autorenespeciallaley23de1982yrelacionadas.LaOficinaAsesoradeSistemasyla Redde
DatosUDNETdebendesinstalarcualquiersoftwareilegalyregistrarestehechocomounincidentede
seguridadquedebeserinvestigado.
CorrespondealaOficinaAsesoradeSistemasenconjuntoconlaReddeDatosUDNETmantener
unabasededatosactualizadaquecontengauninventariodelsoftwareautorizadoparasuusoe
instalacinenlossistemasinformticosinstitucionales.

9 Control de Acceso
9.1 Categoras de Acceso
Elaccesoalosrecursosdetecnologasdeinformacininstitucionalesdebenestarrestringidossegn
losperfilesdeusuariodefinidosporelComitdeSeguridaddelaInformacin.
PolticadeSeguridaddelaInformacin

Pgina15de20

9.2 Control de Claves y Nombres de Usuario

El acceso a informacin restringida debe estar controlado. Se recomienda el uso de sistemas
automatizadosdeautenticacinquemanejencredencialesofirmasdigitales.
CorrespondealaOficinaAsesoradeSistemasenconjuntoconlaReddeDatosUDNETelaborar,
mantener y publicar los documentos de servicios de red que ofrece la institucin a su personal,
estudiantes,docentesyterceros.
La Oficina Asesora de Sistemas en conjunto con la Red de Datos UDNET deben elaborar,
mantenerypublicarprocedimientosdeadministracindecuentasdeusuarioparaelusodeservicios
dered.
Elaccesoasistemasdecmputoylosdatosquecontienenesresponsabilidadexclusivadelpersonal
encargadodetalessistemas.
LaUniversidaddebepropenderpormanteneralmnimolacantidaddecuentasdeusuarioqueel
personal,losestudiantes,docentesytercerosdebenposeerparaaccederalosserviciosdered.
El control de las contraseas de red y uso de equipos es responsabilidad de la Red de Datos
UDNET.Dichascontraseasdebensercodificadasyalmacenadasdeformasegura.
Lasclavesdeadministradordelossistemasdebenserconservadasporladireccindela Red de
Datos UDNET ydebensercambiadasenintervalosregularesdetiempoyentodocasocuandoel
personal adscrito al cargo cambie. Se excepta de lo anterior las claves de administrador de
servidoresyequiposdeescritorioadscritosalaOficinaAsesoradeSistemaslascualesdebenser
conservadas por la Jefatura de la Oficina Asesora de Sistemas y deben ser cambiadas en
intervalosregularesdetiempoyentodocasocuandoelpersonaladscritoalcargocambie.
La ReddeDatos UDNET encoordinacinconla OficinaAsesoradeSistemas debenelaborar,
manteneryactualizarelprocedimientoylasguasparalacorrectadefinicin,usoycomplejidadde
clavesdeusuario.
ComorequisitoparalaterminacinderelacincontractualolaboraldelpersonaldelaUniversidad,
la Red de Datos UDNET debe expedir un certificado de cancelacin de las cuentas de usuario
asignadasparaelusoderecursosdetecnologasdelainformacindelainstitucin.

9.3 Computacin Mvil

La Universidad reconoce el alto grado de exposicin que presenta la informacin y los datos
almacenados en dispositivos porttiles (computadores porttiles, notebooks, PDA, celulares, etc).
CorrespondealaOficinadeRecursosHumanosenconjuntoconlaOficinaAsesoradeSistemas
elaborar, mantener e implementar planes de capacitacin que propendan por la formacin y
mantenimientodelaconcienciaencuestindeseguridaddelainformacin.
Las redes inalmbricas potencialmente introducen nuevos riesgos de seguridad que deben ser
PolticadeSeguridaddelaInformacin

Pgina16de20

identificados,valoradosytratadosdeacuerdoaloslineamientosdela PolticadeSeguridaden
redesinalmbricasquedebeelaborarelComitdeSeguridaddelaInformacin..

9.4 Auditoria y Seguimiento

TodousoquesehagadelosrecursosdetecnologasdelainformacinenlaUniversidaddebenser
seguidosyauditadosdeacuerdoconloslineamientosdelCdigodeticaydelCdigodeUsode
Recursos de Tecnologas de la Informacin, el cual debe ser elaborado por el Comit de
SeguridaddelaInformacin.

9.5 Acceso Remoto

ElaccesoremotoaserviciosderedofrecidosporlaUniversidaddebeestarsujetoamedidasde
control definidas por la Red de Datos UDNET, las cuales deben incluir acuerdos escritos de
seguridaddelainformacin.

10 Adquisicin, Desarrollo y Mantenimiento de Sistemas

Software
ParaapoyarlosprocesosoperativosyestratgicoslaUniversidaddebehacerusointensivodelas
TecnologasdelaInformacinylasComunicaciones.Lossistemasdesoftwareutilizadospuedenser
adquiridosatravsdeterceraspartesodesarrolladosporpersonalpropio.
LaOficinaAsesoradeSistemasdebeelegir,elaborar,mantenerydifundirelMtododeDesarrollo
de Sistemas Software en la Universidad Distrital Francisco Jos de Caldas que incluya
lineamientos,procesos,buenasprcticas,plantillasydemsartefactosquesirvanpararegularlos
desarrollos de software internos en un ambiente de mitigacin del riesgo y aseguramiento de la
calidad.
TodoproyectodedesarrollodesoftwareinternodebecontarconundocumentodeIdentificaciny
ValoracindeRiesgosdelproyecto.LaUniversidadnodebeemprenderprocesosdedesarrolloo
mantenimientodesistemassoftwarequetenganasociadosriesgosaltosnomitigados.
Los sistemas software adquiridos a travs de terceras partes deben certificar el cumplimiento de
estndaresdecalidadenelprocesodedesarrollo.

11 Administracin de Continuidad del Negocio

LaAdministracindeContinuidaddelNegociodebeserparteintegraldelPlandeAdministracinde
RiesgodelaUniversidad.

PolticadeSeguridaddelaInformacin

Pgina17de20

12 Cumplimiento
TodousoyseguimientodeusoalosrecursosdeTIenlaUniversidadDistritalFranciscoJosde
Caldasdebeestardeacuerdoalasnormasyestatutosinternosascomoalalegislacinnacionalen
lamateria,incluidoperonorestringidoa:

ConstitucinPolticadeColombia
Ley5271999Leydecomercioelectrnico.
NTC27001:2006.SistemadeGestindeSeguridaddelaInformacin.
ISO/IEC17799:2005InformationtechnologySecuritytechniquesCodeofpracticeforinformation
securitymanagement
ProyectoUniversitarioInstitucional
Acuerdo027dediciembre23de1993. EstatutoEstudiantildelaUniversidadDistritalFrancisco
JosdeCaldas
EstatutoDocentedelaUniversidadDistritalFranciscoJosdeCaldas
CdigodeticadelaUniversidadDistritalFranciscoJosdeCaldas
MECI1000:2005 LineamientosgeneralesparalaimplementacindelModeloEstndardeControl
InternoparaelEstadoColombiano
NTCGP1000:2004NormaTecnicaColombianadelaGestionPublica
PIGAPlanInstitucionaldeGestinAmbiental

13 Referencias
[1]ISO27001:2005.SistemasdegestindeSeguridadenlaInformacinRequerimientos.
[2] ISO/IEC 133351:2004. Tecnologa de la informacin Tcnicas de seguridad Gestin de
seguridadentecnologadeinformacinycomunicacionesParte1:Conceptosymodelosparala
gestindeseguridadenlatecnologadelainformacinycomunicaciones.
[3]ISO/IECTR133353:1998.LineamientosparalaGestindeSeguridadTIParte3:Tcnicaspara
lagestindelaseguridadTI.
[4]ISO/IEC133354:2000.LineamientosparalaGestindelaSeguridadTIParte4:Seleccinde
salvaguardas.
[5]ISO14001:2004.SistemasdegestinambientalRequerimientosconlineamientoparasuuso
[6] ISO/IEC TR 18044:2004.Tecnologa de la informacin Tcnicas de seguridad Gestin de
incidentesenlaseguridaddelainformacin.

PolticadeSeguridaddelaInformacin

Pgina18de20

[7] ISO/IEC 19011:2002. Lineamientos para la auditora de sistemas de auditora y/o gestin
ambiental
[8]ISO/IECGua62:1996.Requerimientosgeneralesparalosorganismosqueoperanlaevaluaciny
certificacin/registrodesistemasdecalidad.
[9] ISO/IEC Gua 73:2002. Gestin de riesgo Vocabulario Lineamientos para el uso en
estndares.
[10]NISTSP80030.GuadeGestindeRiesgoparalosSistemasdeTecnologadelaInformacin.
[11]ISO9001:2000.SistemasdegestindecalidadRequerimientos.

14 Trminos y Definiciones
14.1 Informacin
Todaformadeconocimientoobjetivoconrepresentacinfsicaolgicaexplcita.

14.2 Activo de Informacin

DatosoinformacinpropiedaddelaUniversidadquesealmacenaencualquiertipodemedioyque
es considerada por la misma como sensitiva o crtica para el cumplimiento de los objetivos
misionales.
Definirinformacinsensitivaocrtica...

14.3 Sistema de Informacin

Conjuntoordenadodeelementos cuyaspropiedades serelacionaneinteraccionanpermitiendola
recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin utilizando
diferentesmediosymecanismostantoautomatizadoscomomanuales.

14.4 Propietario de Activos de Informacin

EnelcontextodelanormaNTC27001,unpropietariodeactivosdeinformacinescualquierpersona
o entidad a la cual se le asigna la responsabilidad formal de custodiar y asegurar un activo de
informacinounconjuntodeellos.

14.5 Tecnologa de la Informacin

Conjuntodehardwareysoftwareoperadosporlaentidadoporunterceroensunombre,que
componenlaplataformanecesariaparaprocesaryadministrarlainformacinquerequierelaentidad
parallevaracabosusfunciones.

14.6 Evaluacin de Riesgos

Evaluacindelasamenazasyvulnerabilidadesrelativasalainformacinyalasinstalacionesde
procesamientodelamisma,laprobabilidaddequeocurranysupotencialimpacto.
PolticadeSeguridaddelaInformacin

Pgina19de20

14.7 Administracin de Riesgos

Procesodeidentificacin,controlyreduccinoeliminacin,auncostoaceptable,delosriesgosde
seguridadquepodranafectaralainformacin.Dichoprocesoescclicoydebellevarseacaboen
formaperidica.

14.8 Comit de Seguridad de la Informacin

ElComitdeSeguridaddelaInformacin,esuncuerpointegradopordiferentesrepresentantesdela
Universidad,destinadoagarantizarelapoyomanifiestodelasdirectivasalasiniciativasdeseguridad.
Sufuncinprincipalesdefinir,estructurar,recomendar,hacerseguimientoymejorarelSistemade
Gestin de Seguridad de la Informacin (SGSI) de la institucin. Depende directamente de la
Vicerrectora Administrativa y Financiera, y complementa el trabajo del Comit de Informtica y
Telecomunicacionessirviendocomoconsultortcnicoentemasrelacionadosconlaseguridaddela
informacin.

14.9 Responsable de Seguridad Informtica

CoordinadorgeneraldelComitdeSeguridaddelaInformacin.Sufuncinprincipalessupervisarel
cumplimientodelapresentePolticayloslineamientosdelSGSI.

14.10 Grupo responsable de Seguridad Informtica

GruposdeapoyocreadoendependenciasdelaUniversidadquemanejaninformacinsensibleo
crticayqueseencargandevelarporlaoperacindelSGSI.Estnconformadosporfuncionarioso
contratistasdeladependenciaquetenganformacinentemasdeseguridaddelainformacin.

14.11 Incidente de Seguridad Informtica

Unincidentedeseguridadinformticaesuneventoadversoenunsistemadecomputadoras,oredde
computadoras, que compromete la confidencialidad, integridad, disponibilidad, legalidad o
confiabilidaddelainformacin.
Puede ser causado mediante la explotacinde alguna vulnerabilidadoun intentoo amenazade
romperlosmecanismosdeseguridadexistentes.

14.12 Cadena de custodia

EnelmbitodelaseguridaddelainformacinLacadenadecustodiaeslaaplicacindeunaseriede
normasyprocedimientostendientesaasegurar,depositaryprotegercadaactivodeinformacinpara
evitarlaprdidadeintegridad,disponibilidadoconfidencialidad.

PolticadeSeguridaddelaInformacin

Pgina20de20