Está en la página 1de 9

ESPECIALIZACIÓN GESTIÓN Y SEGURIDAD DE BASE DE DATOS

ACTIVIDAD AA12-3: DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD.


FICHA 1651502

APRENDIZ
SERGIO EDUARDO ESTEVEZ MONSALVE
CC. 1116776549

INSTRUCTOR
DIANA MARIA DE JESUS RICO MESA

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL


SENA – ANTIOQUIA
2018
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

TABLA DE CONTENIDO

1. ACTIVIDAD AA12-3: DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD. ......................................... 3


1.1. Normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para
proteger la seguridad del sistema. .................................................................................................. 3
Normas Para Establecer un Política de Seguridad. ......................................................................... 3
Protocolo a Seguir para proteger la seguridad del sistema ............................................................ 3
1.2. Delimitación de responsabilidades para las actuaciones técnicas y organizativas. ............ 5
1.3. Elementos claves como: Integridad, Disponibilidad, Privacidad y aspectos de Control,
Autenticación y Utilidad. ................................................................................................................. 6

2
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

1. ACTIVIDAD AA12-3: DEFINICIÓN DE LAS POLÍTICAS DE SEGURIDAD.

1.1. Normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para
proteger la seguridad del sistema.
Normas Para Establecer un Política de Seguridad.
Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada.
Fase de implementación: en esta fase la política es comunicada y acatada (o no cumplida
por alguna excepción).
Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política,
su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar
mantenimiento (actualizarla).
Fase de eliminación: La política se retira cuando no se requiera más.
Protocolo a Seguir para proteger la seguridad del sistema
Separación de tareas. El principio de separación de tareas debe ser aplicado para determinar
la responsabilidad de una etapa en particular para garantizar que los chequeos y ajustes
necesarios sean aplicados. Para proveer una perspectiva más amplia y diferente, un directivo,
o un grupo que sea independiente del proponente, debe revisar la política y una directiva,
superior al proponente, debe encargarse de aprobar la política. O, para disminuir los posibles
conflictos de intereses, la función auditoria (o control interno), como oficina independiente
dentro de la organización, debe ser encargada del monitoreo del cumplimiento de la política,
en tanto que grupos u organizaciones de auditoria externos deben ser invitados a realizar una
evaluación independiente del cumplimiento de las políticas para ser consistentes con el
principio de separación de tareas.
Eficiencia. Adicionalmente, por razones de eficiencia, dependencias diferentes a la
proponente deben tener alguna responsabilidad para la realización de ciertas etapas del ciclo
de vida del desarrollo de una política. Por ejemplo, la difusión y la comunicación de la
política sería mejor realizada si se encomendara a la dependencia encargada de estas
funciones dentro de la organización (por ejemplo, la Secretaría General, las Secretarías de
las sedes o UNIMEDIOS). Por otra parte, basados en la eficiencia, los esfuerzos de
concienciación serían asignados a la función capacitación de la universidad (en este momento
se encuentra en la Dirección Nacional de Personal y las oficinas de personal de las sedes) -
aun cuando puede ocurrir que el personal de capacitación no esté entrenado específicamente
en la labor de la concienciación de la política de seguridad-. En este último caso, sería mejor
que la desarrollara la función de seguridad informática.

3
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

Alcance del control. Límites en el alcance del control que la dependencia proponente puede
ejercer tiene impacto sobre quién debe ser el ponente de una política específica.
Normalmente, el proponente sólo puede jugar un papel limitado en el monitoreo y en la
garantía del cumplimiento de la política debido a que él no puede estar en todos los sitios, en
todo momento, donde ésta debe ser implementada.
Autoridad. Límites en la autoridad que un individuo o una dependencia ejerce, puede
determinar la habilidad para desarrollar exitosamente una etapa del ciclo de vida de una
política. La efectividad de una política, a menudo. La efectividad de una política, en muchos
casos, depende de la autoridad en la cual la política se soporta. Para que una política tenga
un soporte en toda la organización, el directivo que la aprueba debe tener un reconocido grado
de autoridad. Normalmente, la función de seguridad informática de la organización no goza
del nivel de reconocimiento ideal a través de toda la organización y requiere el soporte de
directivas de nivel superior para cumplir con su misión. En consecuencia, la aceptación y el
cumplimiento de las políticas de seguridad informática tienen mayor probabilidad de darse
cuando la autoridad que la aprueba es de nivel superior.
Conocimiento. El empleo de un comité que realice la evaluación de políticas puede ofrecer
un entendimiento más amplio de las operaciones que afectará la política. Un organismo de
este tipo puede ayudar a garantizar que la política sea escrita con el fin de promover su
aceptación y su implementación exitosa y puede ser útil para prever problemas de
implementación y para evaluar efectivamente situaciones donde las excepciones a la política
pueden ser justificadas. De acuerdo con el alcance de la política, la labor de evaluación puede
ser realizada por el comité nacional de informática o los comités de informática de las sedes.
Aplicabilidad. Finalmente, la aplicabilidad de la política también afecta la responsabilidad
en las etapas de desarrollo del ciclo de vida de la política. ¿La política aplica a una sola
dependencia, sólo a los usuarios de una tecnología en particular o a toda la empresa? Si la
aplicabilidad de una política está limitada a una sola dependencia, entonces la jefatura de la
dependencia debe tener su propia política. Sin embargo, si la política es aplicable a toda la
empresa, entonces una dependencia de alto nivel debe asumir la responsabilidad en relación
con la política.
POLÍTICA GLOBAL DE SEGURIDAD DE LA INFORMACIÓN
La información es un activo fundamental para la prestación de sus servicios y la toma de
decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus
propiedades más significativas como parte de una estrategia orientada a la continuidad del
negocio, la administración de riesgos y la consolidación de una cultura de seguridad.
Consciente de las necesidades actuales la Alcaldía de San Antonio del SENA, implementa
un modelo de gestión de seguridad de la información como la herramienta que permite
identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción

4
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

de costos operativos y financieros, establece una cultura de seguridad y garantiza el


cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio
vigentes. Los funcionarios, personal externo, proveedores y todos aquellos que tengan
responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la
información de la Alcaldía de San Antonio del SENA, deben adoptar los lineamientos
contenidos en el presente documento y en los documentos relacionados con él, con el fin de
mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información.
La Política Global de Seguridad de la Información de la Alcaldía de San Antonio del SENA,
se encuentra soportada por políticas, normas y procedimientos específicos los cuales guiarán
el manejo adecuado de la información. Adicionalmente, se establecerán políticas específicas
de seguridad de la información las cuales se fundamentan en los dominios y objetivos de
control del Anexo de la norma internacional ISO 27001:2013.
El Comité de Seguridad tendrá la potestad de modificar la Política Global o las Políticas
Específicas de Seguridad de la Información de acuerdo con las necesidades de revisión
establecidas periódicamente o a la aplicabilidad de las mismas.
1.2. Delimitación de responsabilidades para las actuaciones técnicas y organizativas.
COMPROMISO DE LA DIRECCION
La Junta Directiva de la Alcaldía de San Antonio del SENA, aprueba esta Política de
Seguridad de la Información como muestra de su compromiso y apoyo en el diseño e
implementación de políticas eficientes que garanticen la seguridad de la información de la
entidad. La Junta Directiva y la Alta Dirección de la entidad demuestran su compromiso a
través de:
La revisión y aprobación de las Políticas de Seguridad de la Información contenidas en este
documento.
La promoción activa de una cultura de seguridad.
Facilitar la divulgación de este manual a todos los funcionarios de la entidad.
El aseguramiento de los recursos adecuados para implementar y mantener las
políticas de seguridad de la información.
La verificación del cumplimiento de las políticas aquí mencionadas.
SANCIONES PARA LAS VIOLACIONES A LAS POLÍTICAS DE SEGURIDAD DE
LA INFORMACIÓN
Las Políticas de Seguridad de la Información pretenden instituir y afianzar la cultura de
seguridad de la información entre los funcionarios, personal externo y proveedores de la

5
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

Alcaldía de San Antonio del SENA, por tal razón, es necesario que las violaciones a las
Políticas Seguridad de la Información sean clasificadas, con el objetivo de aplicar medidas
correctivas conforme con los niveles de clasificación definidos y mitigar posibles
afectaciones contra la seguridad de la información. Las medidas correctivas pueden
considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de
acuerdo con las circunstancias, si así lo ameritan.
POLÍTICAS DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
La Alcaldía de San Antonio del SENA, establecerá un esquema de seguridad de la
información en donde existan roles y responsabilidades definidos que consideren actividades
de administración, operación y gestión de la seguridad de la información.
POLITICA PARA USO DE CONEXIONES REMOTAS
La Alcaldía de San Antonio del SENA, establecerá las circunstancias y requisitos para el
establecimiento de conexiones remotas a la plataforma tecnológica; así mismo, suministrará
las herramientas y controles necesarios para que dichas conexiones se realicen de manera
segura.
POLÍTICAS DE GESTIÓN DE ACTIVOS DE INFORMACIÓN
La Alcaldía de San Antonio del SENA, como propietario de la información física, así como
de la información generada, procesada, almacenada y transmitida con su plataforma
tecnológica, otorgará responsabilidad a las áreas sobre sus activos de información,
asegurando el cumplimiento de las directrices que regulen el uso adecuado de la misma. La
información, archivos físicos, los sistemas, los servicios y los equipos (ej. estaciones de
trabajo, equipos portátiles, impresoras, redes, Internet, correo electrónico, herramientas de
acceso remoto, aplicaciones, teléfonos y fases, entre otros) propiedad de la Alcaldía de San
Antonio del SENA, son activos de la institución y se proporcionan a los funcionarios y
terceros autorizados, para cumplir con los propósitos del negocio.
1.3. Elementos claves como: Integridad, Disponibilidad, Privacidad y aspectos de Control,
Autenticación y Utilidad.
Confidentiality (Confidencialidad): Indica que la información solo es revelada a usuarios
autorizados en tiempos precisos, es decir SOLO en horarios asignados.
Integrity (Integridad): Se refiere a la modificación de la información, para ello se debe
identificar muy bien los roles de los usuarios y así definir los niveles de acceso para la
manipulación de los datos
Availability (Disponibilidad): Se refiere a la disponibilidad de la información. Para este
proceso, desde el área técnica, se deben establecer medidas de seguridad, cuyo objetivo
6
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

fundamental es reducir cualquier riesgo asociado, algunas de estas medidas de seguridad


pueden ser:
• Identificación y autenticación de usuarios.
• Control de flujo de información.
• Confidencialidad.
• Integridad.
• No Autorización.
Estas medidas de seguridad se ponen en práctica mediante mecanismos de protección como:
Autenticación: Este término se refiere a la verificación que se realiza a la identidad del
usuario; este proceso generalmente se lleva a cabo cuando se ingresa al sistema, a la red o a
cualquier base de datos.
Confidencialidad: La contraseña solo la debe manejar el usuario, no puede ser conocida por
nadie más. Un error muy común, es que los usuarios se prestan las contraseñas o que las
escriben en un papel y éste lo dejan pegado en el escritorio, lo que permite que cualquier otro
usuario conozca la contraseña, comprometiendo a la empresa y al propio dueño.
Control de Acceso: Todos los sistemas que no sean de libre acceso deberán contar con
control de acceso basado en roles. La autorización deberá realizarse sobre el mismo sujeto
que se autentica o también podrá requerirse mayor información que permita obtener la
autorización con granularidad más fina, lo que implica que se adquieren muchos recursos
para administrar el bloqueo, pero se asegura la consistencia de los datos.
Cifrado de Datos: Mediante la evaluación de riesgos se identificará el nivel requerido de
protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la
longitud de las claves criptográficas a utilizar.
Firma Digital: Las firmas digitales proporcionan un medio de protección de la autenticidad
e integridad de los documentos electrónicos. Se implementan mediante el uso de una técnica
criptográfica sobre la base de dos claves relacionadas de manera única, donde una clave,
denominada privada, se utiliza para crear una firma y la otra, denominada pública, para
verificarla.
Controles Criptográficos: Se utilizarán sistemas y técnicas criptográficas para la protección
de la información en base a un análisis de riesgo efectuado, con el fin de asegurar una
adecuada protección de su confidencialidad e integridad.
Servicios de No Repudio: Estos servicios se utilizarán cuando sea necesario resolver
disputas acerca de la ocurrencia de un evento o acción. Su objetivo es proporcionar

7
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

herramientas para evitar que aquél que haya originado una transacción electrónica niegue
haberla efectuado.

8
Fecha: 15-03-2018
Especialización Gestión y
Seguridad de Base de Datos
Ficha: 1651502
CENTRO DE SERVICIOS Y
GESTIÓN EMPRESARIAL
ANTIOQUIA

BIBLIOGRAFIA
Consulta Pagina Web, 2018.
https://es.scribd.com/doc/303015500/AA12-3-Politicas-de-Seguridad
https://edoc.site/aa12-ev3-definicion-de-las-politicas-de-seguridad-san-antonio-del-
senagrupo3-pdf-free.html
https://docs.microsoft.com/en-us/sql/ssms/tutorials/scripting-ssms?view=sql-server-2017
https://docs.microsoft.com/es-es/dotnet/framework/data/adonet/sql/server-and-database-
roles-in-sql-server
https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
https://pressroom.hostalia.com/white-papers/ataques-inyeccion-sql
https://edoc.site/informe-aa11-2-pdf-free.html