GESTIÓN Y SEGURIDAD DE BASES DE DATOS

CÉLIMO RODRÍGUEZ HERRERA

SENA

2019

DISEÑO Y ADMINISTRACIÓN DE UNA BODEGA DE DATOS PARA LA ALCALDÍA SAN

ANTONIO DEL SENA
 CÉLIMO RODRÍGUEZ HERRERA

PROYECTO DE GRADO PARA EXPECIALIZACIÓN GESTIÓN Y SEGURIDAD

DE BASES DE DATOS

“Políticas de Seguridad”

SENA

2019
 POLÍTICAS DE SEGURIDAD

Las políticas de seguridad son un conjunto de reglas, normas y protocolos de

seguimiento y ejecución que se encargan de velar por la seguridad informática-
Datos de la Alcaldía. Se trata de una especie de plan realizado para combatir
todos los riesgos a los que está expuesta la corporación en el mundo digital. De
esta forma mantendremos nuestra organización alejada de cualquier ataque
externo o interno que atente con la integridad del sistema.

Las políticas de seguridad no solo van destinadas a los equipos técnicos e

informáticos de la Alcaldía, sino que van dirigidos a todos los puestos de trabajo
que sean susceptibles de producir algún error o descuido de seguridad.

Cabe destacar que muchos de los problemas de seguridad de las organizaciones

se producen por errores de las personas que no tienen presente la vulnerabilidad
de los datos y la información de las empresas.

Esta política debe concluir en una posición consciente y vigilante del personal por
el uso y limitaciones de los recursos y servicios informáticos críticos de la Alcaldía.

Los mecanismos de seguridad que vamos a implementar en la Alcaldía, tendrán

que plantearse en tres ámbitos de actuación diferentes:

a. Prevención: hace alusión a prevenir, o a anticiparse a un hecho y evitar que

este ocurra
b. Detección: en el caso de tener alguna amenaza será necesario saber cómo
detectar y realizar diagnósticos adecuados sobre los errores recibidos.
c. Actuación: en el caso de que se produzca alguna inviolabilidad del sistema,
es necesario establecer protocolos de actuación que se encaminen a
solucionar cualquier amenaza de la forma más rápida y efectiva posible.

 Responsables

- El Responsable de Seguridad Informática-BD

Cumplirá funciones sujetas a la seguridad de los sistemas de información y

Base de datos, lo cual incluye la supervisión de todos los aspectos inherentes
a los protocolos tratados en la presente política.
Cumplirá la función de cubrir los requerimientos tecnológicos establecidos para
la operación, administración y comunicación de los sistemas y recursos de
tecnología de la Alcaldía.

- El Responsable del Área de Recursos Humanos- Área Legal

Cumplirá la función de notificar a todo el personal que ingresa de sus

obligaciones respecto del cumplimiento de la política de seguridad de la
Información y de todas las normas, procedimientos y prácticas que de ella
surjan. De la misma manera tendrá a su cargo la notificación de la presente
política a todo el personal, de los cambios que en ella se produzcan, la
implementación de la suscripción de los compromisos de confidencialidad y las
tareas de capacitación continua en materia de seguridad.

Verificar el cumplimiento de la presente Política en la gestión de todos los

contratos, acuerdos u otra documentación de la Alcaldía con los funcionarios y
con terceros.

- Los Usuarios de la información

Son responsables de conocer, dar a conocer, cumplir y hacer cumplir la

Política de Seguridad de la Información vigente.

- El responsable de Auditoría Interna

Su función estará encaminada a practicar auditorías periódicas sobre los

sistemas y base de datos y actividades vinculadas con la tecnología de
información, registrando e informando sobre el cumplimiento de las
especificaciones y medidas de seguridad de la información establecidas por la
política de seguridad.

 Ingreso y salida de equipos

- Los equipos externos que ingresen a la Alcaldía deben ser registrados por
el número de serial que lo identifica, marca, propietario y hora de ingreso;
igualmente en la bitácora de registro se describirá en que secretaria estará
ubicado el equipo o si será gestionado dentro de la Alcaldía.
- Para los equipos que salgan de la Alcaldía se debe verificar en la bitácora
de registro de ingreso confrontando el número de serial, marca y fecha y
complementar esta información con la hora de salida y la firma de quien
sale con dicho equipo.
En caso que el equipo saliente sea de propiedad de la Alcaldía debe tener
autorización expresa por el directo responsable del equipo; se establecerá
 constancia de él porque sale el equipo y especificara el tiempo de retorno
del equipo a la corporación.

 Políticas de Gestión de Activos

Todos los empleados y particulares que tengan acceso a los activos de

información de la Alcaldía San Antonio del SENA, tendrán el compromiso
de cumplir las políticas, normas y procedimientos que se dicten en esta
materia, así como reportar los incidentes y/o anomalías que detecten.

- Inventario de activos

Se identificarán cada activo rotulado asociado a cada sistema de información,

sus respectivos propietarios y su ubicación, para luego elaborar un inventario
con dicha información.

Este inventario será actualizado ante cualquier modificación de la información

registrada y revisado con una periodicidad semestral.

El encargado de elaborar el inventario y mantenerlo actualizado es cada

responsable de las diferentes Secretarias.

- Clasificación de la información

Para clasificar un Activo de Información, se establecerá el criterio en función a

estas características:

● Confidencialidad

a. Datos que puede ser conocida y utilizada sin autorización por cualquier
usuario, sea empleado de la Alcaldía o no. Tipo: “Publico”

b. Datos que puede ser conocida y utilizada por todos los funcionarios de la
Alcaldía y algunas entidades externas debidamente autorizadas, y cuya
divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves
para la Alcaldía o terceros. Tipo: “Reservada – Uso interno”

c. Datos que sólo puede ser conocida y utilizada por un grupo de funcionarios,
que la necesiten para ejecutar su función laboral, y cuya divulgación o uso no
autorizados podría ocasionar pérdidas significativas a la Alcaldía o a terceros.
Tipo: “Reservada – Confidencial”
 d. Datos que sólo puede ser conocida y utilizada por un grupo muy selecto de
funcionarios, generalmente de la alta gerencia de la Alcaldía, y cuya
divulgación o uso no autorizados podría ocasionar pérdidas graves, al
Gobierno Nacional o a terceros. Tipo: “Reservada secreta”

● Integridad

a. Datos cuya modificación no autorizada puede repararse fácilmente, o no

afecta la operatoria de la Alcaldía.

b. Datos cuya modificación no autorizada puede repararse aunque podría

ocasionar pérdidas leves para la Alcaldía o terceros.

c. Datos cuya modificación no autorizada es de difícil reparación y podría

ocasionar pérdidas significativas para la Alcaldía o terceros.

d. Datos cuya modificación no autorizada no podría repararse, ocasionando

pérdidas graves a la Alcaldía o a terceros.

● Disponibilidad

a. Datos cuya inaccesibilidad no afecta la operatoria de la Alcaldía.

b. Datos cuya inaccesibilidad permanente durante una semana podría

ocasionar pérdidas significativas para la Alcaldía, al Gobierno Nacional o
terceros.

c. Datos cuya inaccesibilidad permanente durante un día podría ocasionar

pérdidas significativas a la Alcaldía, al Gobierno Nacional o a terceros.

d. Datos cuya inaccesibilidad permanente durante una hora podría ocasionar

pérdidas significativas a la Alcaldía, al Gobierno Nacional o a terceros.

Las pérdidas de datos, se contienen aquellas mesurables (materiales) y no

mesurables (imagen, valor estratégico de la información, obligaciones
contractuales o públicas, disposiciones legales, etc.).

 Políticas de Seguridad de los Recursos Humanos

Para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los
equipamientos. Desde la vinculación de los funcionarios, se deben tener filtros que
permitan verificar la idoneidad e identidad, ética profesional y conducta. Los
términos y condiciones de empleo o trabajo debe establecer la responsabilidad de
los funcionarios, por la seguridad de los activos de información, que van más allá
de la finalización de la relación laboral o contractual, por lo que se debe firmar un
acuerdo de confidencialidad que se hace extensivo a los contratistas y terceros
que tengan acceso a la información.

Se debe tener mecanismos de información y capacitación para los diferentes

usuarios en materia de seguridad, así como de reporte de incidentes que puedan
afectarla. Los funcionarios están sujetos entre sus funciones, a cooperar con los
esfuerzos por proteger la información y ser responsables de actualizarse en cada
materia, así como consultar con el encargado de la seguridad de la información,
en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo
exonera de una acción disciplinaria que derive cuando se incurra en violaciones a
las políticas o normas de seguridad.

● Al asignar un equipo informático a un usuario, este debe hacerse responsable

de el mismo y comprometerse a reportar cualquier falla y entregarlo en perfecto
estado.

● Los propietarios de los Datos deben definir los niveles de acceso de cada
usuario.

● Los nuevos funcionarios deben firmar un acuerdo de confidencialidad ante y

entre todo los niveles de seguridad.

● Se debe realizar capacitaciones periódicas sobre los sistemas de información y

el uso de los mismos.

● Se debe realizar capacitación a todos los funcionarios sobre aspectos de

seguridad informática.

● Los usuarios de servicios de Datos, al momento de tomar conocimiento directo o

indirectamente acerca de una debilidad de seguridad, son responsables de
registrar y comunicar las mismas al directo responsable de seguridad de los Datos
y sistemas.

 Políticas de Seguridad Física

Para impedir la violación, deterioro y la perturbación de las instalaciones y Datos.

Deben establecerse áreas seguras para la gestión, almacenamiento y
procesamiento de Datos; éstas deben contar con protecciones físicas y
ambientales acordes a los activos que protegen.

Esta seguridad debe mantenerse en los momentos de mantenimiento, cuando la

información o los equipos que la contienen deben salir de la Alcaldía o cuando se
deben eliminar o dar de baja, para lo cual deben existir los procedimientos
pertinentes.

Los equipos de cómputo deben ser apagados todos los días, exceptuando el
servidor y la UPS -que garantiza la continuidad de energía en caso de corte de la
misma-.

Se deben definir áreas seguras para el alojamiento físico de servidor, routers,

switches, sistema de almacenamiento SAN y UPS.

 Controles de Acceso Físico

Se resguardarán las áreas protegidas mediante el empleo de controles de acceso

físico, los que serán determinados por el Responsable de Seguridad Informática-
Datos, a fin de permitir el acceso sólo al personal autorizado. Estos controles de
acceso físico tendrán, por lo menos, las siguientes características:

- Supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la

fecha y horario de su ingreso, egreso y el porqué de su ingreso. Sólo se
permitirá el acceso mediando propósitos específicos y autorizados e
instruyéndose al visitante en el momento de ingreso sobre los
requerimientos de seguridad del área y los procedimientos de emergencia.
- Controlar y limitar el acceso a la información clasificada y a las
instalaciones de procesamiento de información, exclusivamente a las
personas autorizadas. Se mantendrá un registro protegido para permitir
auditar todos los accesos.

 Dispositivos de Seguridad de la Información

Se presenta de forma general, la descripción de los recursos que constituye la

infraestructura tecnológica y los dispositivos de seguridad que soportan y
garantizan el funcionamiento del sistema tecnológico de la Alcaldía:

Las condiciones técnicas del Data center, mantenimiento, monitoreo y conexión a

Internet permanente a través de enlaces de alta velocidad y con las ventajas de
expansión en el momento requerido, y que garantizan un servicio permanente y
confiable estará sujeto a las siguientes características:

- El Data center estará diseñado con especificaciones TIA/EIA 942,

ofreciendo una disponibilidad de 99,9% (Infraestructura, Clima y Potencia)
- Selección del terreno en un área apropiada para Data center.
 - Terreno certificado con un historial de no inundaciones en los últimos 50
años.
- Ubicación fuera de conos de aproximación aérea.
- Ubicación del edificio en una zona de bajo impacto sísmico.
- Diseño estructural Antiincendios, resistente a inundaciones, vendavales y
descargas eléctricas.
- Muros resistentes a ondas explosivas

El dimensionamiento de los servicios, se realiza de acuerdo a estrictos

procedimientos de análisis de capacidad, en donde se especifican los niveles de
disponibilidad requeridos, plataformas involucradas, previsiones de
crecimiento/decrecimiento, distribución de servicios, incorporación de nuevos
desarrollos, entre otras variables tendrán definidas características y componentes
básicas como:

- Servidor

Homologado con el mejor fabricante y configurado en esquemas de alta

disponibilidad y desempeño.

- Software

Licenciamiento acorde a los requerimientos de la solución. Incluyendo soporte y

actualizaciones con sus fabricantes, distribuidores o agentes autorizados.
Licenciamiento Microsoft por consumo.

- Conectividad

Servicios de conexión Internet, MPLS o de datos desde las sedes de nuestros

clientes a nivel local, regional o mundial hasta la nube de nuestros Data Center.
Diferentes opciones de configuración LAN, según disponibilidad y tráfico
dimensionado. Configuraciones dedicadas a las redes de gestión y monitoreo.

- Seguridad

Servicios de Firewall e IPS (protección contra intrusos) para sus perímetros de

conectividad, para sus capas lógicas. VPN´s SSL e IPSec, Antivirus.

- Almacenamiento

A través de opciones de plataformas con discos en estado sólido (SSD), SATA y

sistema de almacenamiento SAN.

- Backup y continuidad
Soluciones y políticas de backup para el almacenamiento local o externo de
servidor ubicado en el Data Center. Opciones de replicación con RAID 5. Toma y
respaldo de imagen de servidor físico.

Los Backups serán ejecutados con la siguiente periodicidad:

Descripción Diaria Semanal Anual

Política Incremental Total Total

Retención 7 días 4 semanas 12 meses

Almacenamiento si si si

- Servicios de red

Balanceo de carga para servidor y/o aplicaciones a nivel local o global, NTP, DNS,
Relay de Correo, Replicación de servidor, sistemas operativos, aplicaciones.

- Servicios

Administración y operación de plataformas de hardware, aplicaciones, gestión y

monitoreo. Control y gestión de cambios, eventos e incidentes. Monitoreo
avanzado, reporting, Análisis de vulnerabilidad y remediación.

Estas soluciones de hardware, software, comunicaciones y servicios permitirá

alojar Datos estructurados y no estructurados, en ambientes SAN, en discos SSD;
Con una sólida arquitectura de respaldo y recuperación, resuelve el abanico
completo de desafíos de disponibilidad de Datos (99.9%) y mantiene accesibles
los datos de la Alcaldía, garantizando la escalabilidad, rapidez y confiabilidad del
sistema.

 Servicios administrados de Seguridad

El Data Center se constituyen en un conjunto de estrategias de suministro de

plataforma, administración y monitoreo, buscando garantizar alta
disponibilidad, la seguridad lógica de la red, de equipos, servicios, información
y programas de cómputo.

Esto se logra mediante la estructuración de una única solución de seguridad, el

trabajo en equipo de los directos responsables en políticas de seguridad que
 realizan constantemente acuerdos entre las partes involucradas (usuarios y
responsables), análisis, documentación y tareas de mantenimiento con el fin de
garantizar la confianza y tranquilidad requeridas y pertinentes.

- Requerimientos regulatorios y de certificación

● ISO 27001-2013: directrices que describe cómo gestionar la seguridad de la

información en una empresa

● Basilea II: directrices de regulación bancaria

● SARO: Directrices de riesgo operativo a la posibilidad de incurrir en pérdidas

por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos,
la tecnología, la infraestructura o por la ocurrencia de acontecimientos
externos. Incluye el riesgo legal y el reputacional.

● SAS 70: estándar de auditoría reconocido internacionalmente enfocado a los

controles internos y externos que posee una empresa que presta servicios.

 Control de amenazas

Está conformado por un responsable que será el encargado de la política en

seguridad. Orientado a controlar, monitorear y ajustar las políticas de seguridad de
las soluciones que así lo requieren.

Las principales actividades en capacidad de desarrollo por parte del responsable

de seguridad estará encaminada a:

- Levantamiento de información.
- Análisis de vulnerabilidades y solución.
- Definición de las políticas y reglas de seguridad.
- Configuración de servicios.
- Aseguramiento de la calidad.
- Consultorías para el establecimiento de planes de recuperación ante
desastres y esquemas de continuidad del negocio.
- Administración de la configuración.
- Administración de cambios.
- Gestión de problemas.
- Apoyo en la implementación de políticas y configuraciones de seguridad.
- Apoyo en la operación de contingencia.
- Monitoreo de los equipos.
 - Monitoreo de políticas.
- Monitoreo de seguridad 7X24X365.

Algunos de los controles sugeridos por algunas normas internacionales al

respecto, realizados y homologados dentro de las buenas prácticas:

- COBIT DS 5.19.: detección y prevención y correlación de eventos

- COBIT DS 7.5.: monitorización
- COBIT DS 9.: Gerenciamiento de Configuraciones
- COBIT DS 10. Gerenciamiento de Problemas e Incidentes
- NTC-ISO/IEC 27001-2013: Protecciones contra códigos maliciosos
- NTC-ISO/IEC 27001-2013 Sistemas de control de acceso a información

 Protección de Oficinas, Recintos e Instalaciones

En cuanto a área protegida se tendrá en cuenta la posibilidad de daño producido

por incendio, inundación, explosión, agitación civil, y otras formas de desastres
naturales o provocados por el hombre. También se tomarán en cuenta las
disposiciones y normas (estándares) en materia de sanidad y seguridad.
Asimismo, se considerarán las amenazas a la seguridad que representan los
edificios y zonas aledañas, por ejemplo, filtración de agua desde otras
instalaciones.

Se establecen las siguientes medidas de protección para áreas protegidas:

- Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder

personal no autorizado.
- Establecer que las puertas y ventanas permanecerán cerradas cuando no
haya vigilancia. Se agregará protección externa a las ventanas, en
particular las que se encuentran en planta baja o presenten riesgos
especiales.
- Separar las instalaciones de procesamiento de información administradas
por la Alcaldía de aquellas administradas por terceros.
- Restringir el acceso público a las guías telefónicas y listados de teléfonos
internos que identifican las ubicaciones de las instalaciones de
procesamiento de información sensible.
- Almacenar los materiales peligrosos o combustibles en lugares seguros a
una distancia prudencial de las áreas protegidas de la Alcaldía.
 - Almacenar los equipos redundantes y la información de resguardo (back
up) en un sitio seguro y distante del lugar de procesamiento, para evitar
daños ocasionados ante eventuales contingencias en el sitio matriz.
- Adoptar controles adecuados para minimizar el riesgo de amenazas
potenciales, por: robo o hurto, incendio, explosivos, humo, inundaciones o
filtraciones de agua (o falta de suministro), polvo, vibraciones, efectos
químicos, interferencia en el suministro de energía eléctrica (cortes de
suministro, variación de tensión), radiación electromagnética, derrumbes.

 Mantenimiento de Equipos

Para asegurar su disponibilidad e integridad permanentes de los equipos, se

realizara mantenimiento preventivo a considerar:

- El equipamiento se someterá a tareas de mantenimiento preventivo, de

acuerdo con los intervalos de servicio y especificaciones recomendados por
el proveedor o fabricantes y con la autorización formal de la alta gerencia.
La dirección mantendrá un listado actualizado del equipamiento con el
detalle de la frecuencia en que se realizará el mantenimiento preventivo.
- Establecer que sólo el personal de mantenimiento autorizado puede brindar
mantenimiento y llevar a cabo reparaciones en el equipamiento.
- Registrar todas las fallas supuestas o reales y todo el mantenimiento
preventivo y correctivo realizado.
- Registrar el retiro de equipamiento de las instalaciones de la Alcaldía para
su mantenimiento.
- Eliminar la información confidencial que contenga cualquier equipamiento
que sea necesario retirar, realizándose previamente las respectivas copias
de resguardo.

 Políticas de Escritorios y Pantallas Limpias.

La política de escritorios limpios para proteger documentos en papel y la política

de pantallas limpias en las instalaciones de procesamiento de información, a fin de
reducir los riesgos de acceso no autorizado, pérdida y daño de la información,
tanto durante el horario normal de trabajo como fuera del mismo, estará
encaminada con los siguientes lineamientos:
 - Almacenar bajo llave, cuando corresponda, los documentos en papel y los
medios informáticos, en gabinetes y/u otro tipo de mobiliario seguro cuando
no están siendo utilizados, especialmente fuera del horario de trabajo.
- Guardar bajo llave la información sensible o crítica de la Alcaldía
(preferentemente en una caja fuerte o gabinete a prueba de incendios)
cuando no está en uso, especialmente cuando no hay personal en la
oficina.
- Desconectar de la red, sistema en servicio, las computadoras personales,
terminales e impresoras asignadas a funciones críticas, cuando están
desatendidas. Las mismas deben ser protegidas mediante cerraduras de
seguridad, contraseñas u otros controles cuando no están en uso (como por
ejemplo la utilización de protectores de pantalla con contraseña). Los
responsables de cada área mantendrán un registro de las contraseñas o
copia de las llaves de seguridad utilizadas en el sector a su cargo. Tales
elementos se encontrarán protegidos en sobre cerrado o caja de seguridad
para impedir accesos no autorizados, debiendo dejarse constancia de todo
acceso a las mismas, y de los motivos que llevaron a tal acción.
- Proteger los puntos de recepción y envío de correo electrónico y postal y
las máquinas de fax no atendidas.

 Retiro de los Bienes

Los equipos, los Datos y el software no serán retirados de la Alcaldía sin

autorización formal. Periódicamente, se llevarán a cabo comprobaciones
puntuales para detectar el retiro no autorizado de activos de la Alcaldía, las que
serán llevadas a cabo. Los funcionarios serán puestos en conocimiento de la
posibilidad de realización de dichas comprobaciones.

 Procedimientos de Manejo de Incidentes

- Todos los incidentes relacionados con la seguridad de la información

tendrán que ser reportados mediante el centro de soporte, el cual informará
al área encargada de la seguridad de la información esto, siempre y cuando
se presenten indicios que involucren la seguridad de la información.
- Se socializara entre funcionarios, proveedores, usuarios y terceros los
medios de comunicación establecidos para comunicar estos incidentes.
- Los incidentes de seguridad confirmados serán clasificados dentro del
centro de soporte como incidente de seguridad de los Datos, allí se
documentaran y evidenciaran todas las acciones realizadas ante el
incidente.
- Se le informara a las personas que reportan el incidente el estado de
avance y el resultado obtenido una vez gestionado y concluido el incidente.

● Clasificación de incidentes

Dependiendo del caso se clasificaran los incidentes dentro de las siguientes

categorías:

a. Acceso no autorizado
b. Modificación de recursos no autorizado (Plagios, Base de datos)
c. Uso inapropiado de recursos (Divulgación)
d. No disponibilidad (Denegación de Servicio)
e. Otros

● Tratamiento de incidentes:

a. Una vez se reporta el incidente, se procederá a recolectar evidencias que

permitan la adecuada clasificación del mismo, y se establecerá una prioridad
que puede cambiar si el incidente los amerita.

b. El responsable del tratamiento de incidentes se encargara de anexar las

evidencias y hallazgos encontrados durante el primer contacto, con el fin de
clasificar y priorizar de la manera más adecuada el incidente.

c. Con la recopilación de información de la evidencia, se realizara un proceso

de análisis de investigación con el fin de orientar de manera más concisa la
acción que se tomara frente al incidente. También se consultaran las lecciones
aprendidas para recopilar información que permita dar una solución más rápida
y si el caso lo amerita se contactara a los proveedores para plantear y generar
soluciones o aportes de información.

d. Se realizara una contención con el fin de controlar propagaciones y la

generación de posibles daños potenciales en información o arquitectura de TI.
Para ello se establecerá en el momento la estrategia más adecuada para evitar
los mencionados daños.
 e. Realizada la contención se procederá a realizar la erradicación y depuración
del incidente, posteriormente si es necesario se realizara un proceso para
restablecer información, servicios o sistemas.

f. Depurada la incidencia se adicionara como documento o como nota dentro

del centro de soporte las lecciones aprendidas, estas tendrán que ser descritas
al detalle:

En qué consistió el incidente, cuáles fueron las herramientas utilizadas, los

daños causados y cuál fue el procedimiento utilizado para dar solución al
incidente.

g. Se comunicara al funcionario y/ o usuario que reportó el incidente los

resultados obtenidos con la respectiva gestión.
h. Para terminar, se realizara el cierre del incidente a satisfacción del afectado
y del responsable del soporte.

 Políticas de Control de Acceso a los Datos

Las medidas de control de acceso a las dependencias de cada entidad y a los

diferentes niveles de la plataforma tecnológica, tales como la red, sistemas
operativos y aplicaciones, así como a la información física que tenga un
componente de seguridad. Estas medidas estarán soportadas en el desarrollo de
la cultura de seguridad de los funcionarios que laboran en la Alcaldía y buscarán
limitar y monitorear el acceso a los activos de información requeridos para el
trabajo, de acuerdo con su clasificación y manejando controles, en dispositivos y
servicios que permitan identificar los niveles de acceso que los usuarios deben
tener.

Los usuarios en general serán responsables de realizar un adecuado uso de las

herramientas de seguridad que se ponen a su disposición mediante las siguientes
reglas:

- Indicar expresamente si las reglas son obligatorias u optativas

- La premisa a seguir es: “Todo debe estar prohibido a menos que se
permita expresamente” y no sobre la premisa inversa de “Todo está
permitido a menos que se prohíba expresamente”.
- Controlar y registrar los cambios en los rótulos de información que son
iniciados automáticamente por herramientas de procesamiento de
información, de aquellos que son iniciados a discreción del usuario
 - Controlar y registrar los cambios en los permisos de usuario que son
iniciados automáticamente por el sistema de información y aquellos que son
iniciados por el administrador.
- Controlar las reglas que requieren la aprobación del administrador o del
Propietario de la Información de que se trate, antes de entrar en vigencia, y
aquellas que no requieren aprobación.

 Registro de Usuarios

El Responsable de Seguridad definirá los protocolos de registro de usuarios para

otorgar y revocar el acceso a todos los sistemas, bases de datos y servicios de
Datos, el cual se determinan:

- Utilizar identificadores de usuario únicos, de manera que se pueda

identificar a los usuarios por sus acciones evitando la existencia de
múltiples perfiles de acceso para un mismo funcionario y/o usuario
- Verificar que el usuario tiene autorización del Propietario de los Datos para
el uso del sistema, Base de datos o servicio de información.
- Verificar que el nivel de acceso otorgado es adecuado para el propósito de
la función del usuario y es coherente con la Política de Seguridad de la
Alcaldía.
- Entregar a los usuarios en detalle y por escrito de sus derechos de acceso.
- Requerir que los usuarios firmen declaraciones señalando que comprenden
y aceptan las condiciones para el acceso.
- Garantizar que los proveedores de servicios no otorguen acceso hasta que
se hayan completado los protocolos de autorización.
- Mantener un registro formal de todas las personas registradas.
- Cancelar inmediatamente los derechos de acceso de los usuarios que
cambiaron sus tareas, o de aquellos a los que se les revocó la autorización,
se desvincularon de la Alcaldía o sufrieron la pérdida/robo de sus
credenciales de acceso.
- Efectuar revisiones periódicas con el objeto de cancelar cuentas de usuario
redundante, inhabilitar cuentas inactivas por más de 30 días.
- En el caso de existir excepciones, deberán ser debidamente justificadas y
aprobadas.
- Garantizar que los identificadores de usuario redundantes no se asignen a
otros usuarios.
- Incluir cláusulas en los contratos de servicios que especifiquen sanciones si
el personal o los agentes que prestan un servicio intentan accesos no
autorizados.
  Administración de Privilegios

Se limitará y controlará la asignación y uso de privilegios, debido a que el uso

inadecuado de los privilegios del sistema resulta frecuentemente en el factor más
importante que contribuye a la falla y los incidentes de los sistemas a los que se
ha accedido ilegalmente. Se deben tener en cuenta los siguientes pasos:

- Identificar los privilegios asociados a cada producto del sistema, por

ejemplo sistema operativo, sistema de administración de Bases de datos y
aplicaciones, y las categorías de funcionarios a las cuales deben asignarse
los productos.
- Priorizar los privilegios a individuos sobre la base de la necesidad de uso y
evento por evento para el cumplimiento óptimo de sus funciones
- Mantener un proceso de autorización y un registro de todos los privilegios
asignados. Los privilegios no deben ser otorgados hasta que se haya
completado el protocolo formal de autorización.
- Determinar un período de vigencia para el mantenimiento de los privilegios
(en base a la utilización que se le dará a los mismos) luego del cual los
mismos serán revocados.

 Administración de Contraseñas de Usuario

Las contraseñas de usuario serán asignadas partiendo de los protocolos de

seguridad respetando los siguientes pasos:

- Condicionar que los usuarios firmen una declaración por la cual se

comprometen a mantener sus contraseñas personales en secreto. Esta
declaración estará incluida en el Compromiso de Confidencialidad.
- Garantizar que los usuarios cambien las contraseñas iniciales que les han
sido asignadas la primera vez que ingresan al sistema. Las contraseñas
provisorias, que se asignan cuando los usuarios olvidan su contraseña, sólo
debe suministrarse una vez identificado el usuario.
- Generar contraseñas provisorias seguras para otorgar a los usuarios. Se
debe evitar la participación de terceros o el uso de mensajes de correo
electrónico sin protección; ha de estar sujeto a los datos propios del usuario
suministrados con anterioridad. El mecanismo de entrega de la contraseña
y los usuarios deben dar acuse de recibo cuando la reciban.
- Almacenar las contraseñas sólo en sistemas informáticos protegidos.
- Configurar los sistemas de tal manera que:
 a. La contraseña tengan no menos de 8 caracteres que estén compuesta
como mínimo de tres letras y una de ella en mayúscula, y el resto en números
arábigos.

b. Suspensión o bloqueen permanentemente al usuario luego de 3 intentos de

entrar con una contraseña incorrecta (deberá pedir la rehabilitación ante quien
corresponda).

c. Solicitar el cambio de la contraseña cada 45 días.

d. Impedir que las últimas 15 contraseñas sean reutilizadas.

 Responsabilidades del Usuario

Los usuarios deben seguir buenas prácticas de seguridad en la selección y uso de

contraseñas. Las contraseñas constituyen un medio de validación y autenticación
de la identidad de un usuario, y consecuentemente un medio para establecer
derechos de acceso a la Alcaldía o servicios de procesamiento de Datos.

Los usuarios deben cumplir las siguientes directrices:

- Mantener las contraseñas en secreto.

- Pedir el cambio de la contraseña siempre que exista un posible indicio de
compromiso del sistema o de la contraseña.
- Seleccionar contraseñas de calidad, de acuerdo a las prescripciones
informadas por el Responsable del sistema de que se trate, donde:

a. Sean fáciles de recordar.

b. No estén basadas en algún dato que otra persona pueda adivinar u obtener
fácilmente mediante información relacionada directamente con la persona, por
ejemplo nombres, números de teléfono, fecha de nacimiento, etc.
c. No tengan caracteres idénticos consecutivos o grupos totalmente numéricos o
totalmente alfabéticos.

- Cambiar las contraseñas cada vez que el sistema se lo solicite y evitar

reutilizar o reciclar viejas contraseñas.
- Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”).
- Evitar incluir contraseñas en los procesos automatizados de inicio de
sesión, por ejemplo, aquellas almacenadas en una tecla de función o
macro.
 - Notificar cualquier incidente de seguridad relacionado con sus contraseñas:
pérdida, robo o indicio de pérdida de confidencialidad.

 Acceso a Internet

- El acceso a Internet será utilizado con propósitos autorizados o con el

destino por el cual fue provisto.
- Se definirá procedimientos para solicitar y aprobar accesos a Internet. Los
accesos serán autorizados formalmente por el Responsable del sistema al
personal que lo solicite. Asimismo, se definirán las pautas de utilización de
Internet para todos los usuarios.
- Se evaluará la conveniencia de generar un registro de los accesos de los
usuarios a Internet, con el objeto de realizar revisiones de los accesos
efectuados o analizar casos particulares.
- Dicho control será comunicado a los usuarios de acuerdo a lo establecido
en el punto “Compromiso de Confidencialidad”.

 Identificación y Autenticación de los Usuarios

El sistema de administración de contraseñas debe:

- Imponer el uso de contraseñas individuales para determinar

responsabilidades.
- Permitir que los usuarios seleccionen y cambien sus propias contraseñas
(luego de cumplido el plazo mínimo de mantenimiento de las mismas) e
incluir un procedimiento de confirmación para contemplar los errores de
ingreso.
- Imponer una selección de contraseñas de calidad según lo señalado en el
punto “Uso de Contraseñas”.
- Imponer cambios en las contraseñas en aquellos casos en que los usuarios
mantengan sus propias contraseñas, según lo señalado en el punto “Uso de
Contraseñas”.
- Obligar a los usuarios a cambiar las contraseñas provisorias en su primer
procedimiento de identificación, en los casos en que ellos seleccionen sus
contraseñas.
- Mantener un registro de las últimas contraseñas utilizadas por el usuario, y
evitar la reutilización de las mismas.
- Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.
- Almacenar en forma separada los archivos de contraseñas y los Datos.
  Políticas para la Continuidad de la Operación

Los riesgos de alto impacto en una organización, que surgen como consecuencia
de la ocurrencia de incidentes disruptivos o fenómenos naturales y que afectan las
operaciones, deben ser gestionados y controlados. Esto se logra mediante la
gestión de continuidad de las operaciones, cuyo objetivo es proporcionar un
protocolo de referencia para que, a partir de la identificación del impacto probable
de este tipo de riesgos, se generen respuestas planificadas y con la orientación y
capacidad necesarias para salvaguardar al personal, las operaciones, los
intereses, la reputación, el prestigio y la confianza depositada en la Alcaldía.

La política de continuidad de la operación se instrumenta mediante planes de

continuidad en los que se establecen las estrategias diseñadas para enfrentar los
incidentes, asignando de manera eficaz y eficiente los recursos necesarios para
lograrlo.

La presente políticas contienen los principios generales de actuación en materia

de continuidad de las operaciones, con base en conceptos y directrices que
orienten sobre las acciones a seguir:

- Priorizar la integridad física de las personas

- Plan de Continuidad de las Operaciones

Documento en el que se establecen procedimientos y estrategias a

implementar ante la interrupción de las operaciones de la Alcaldía, enfocado a
la administración de la crisis y vuelta a la normalidad.

- Dar una respuesta ordenada y coordinada a incidentes disruptivos o

fenómenos naturales
- El establecimiento, implementación, operación, revisión y mejora del
Sistema para la Continuidad, será coordinado, implementado y
retroalimentado por el directo responsable(s), para tal fin.
- La Alcaldía dispondrá los recursos necesarios que deban destinarse a la
continuidad operativa y propondrá un esquema de prioridad para su
asignación al plan de continuidad de acuerdo a lo que demanden en
función de su nivel de criticidad.
- Los funcionarios colaborarán en la implementación de estrategias de
continuidad operativa poniendo a disposición los recursos de I+D.
 - Todos los funcionarios que intervengan en los procedimientos establecidos
en los planes de continuidad de las operaciones deberán participar en los
simulacros y pruebas que se lleven a cabo.

 Políticas para el Cumplimiento y Normatividad Legal

Al establecimiento y control de los requisitos y normas necesarios para asegurar

que, en el seno de la Alcaldía y/ o terceros, se cumple con el marco normativo
imperante interno sujeto a la legalidad nacional colombiana e internacional.

El cumplimiento de requisitos legales es un dominio de control importante dentro

de la ISO 27001; Estos requisitos legales pueden estar relacionados con el
manejo de la propiedad intelectual, el uso y disposición de los registros contables
de la Alcaldía, el manejo de las obligaciones contractuales entre otro tipo de
características que pueden ser inherentes a la actividad económica de la
corporación.

En consideración con lo anterior, en este mismo dominio de control se contempla

el hecho de que se debe garantizar la conformidad de los sistemas con las
políticas y estándares de seguridad que fueron definidos por la Alcaldía y la
importancia que tiene la auditoría del sistema para garantizar su mejoramiento
continuo como actuante social.