Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SENA
2019
DE BASES DE DATOS
“Políticas de Seguridad”
SENA
2019
POLÍTICAS DE SEGURIDAD
Esta política debe concluir en una posición consciente y vigilante del personal por
el uso y limitaciones de los recursos y servicios informáticos críticos de la Alcaldía.
Responsables
- Los equipos externos que ingresen a la Alcaldía deben ser registrados por
el número de serial que lo identifica, marca, propietario y hora de ingreso;
igualmente en la bitácora de registro se describirá en que secretaria estará
ubicado el equipo o si será gestionado dentro de la Alcaldía.
- Para los equipos que salgan de la Alcaldía se debe verificar en la bitácora
de registro de ingreso confrontando el número de serial, marca y fecha y
complementar esta información con la hora de salida y la firma de quien
sale con dicho equipo.
En caso que el equipo saliente sea de propiedad de la Alcaldía debe tener
autorización expresa por el directo responsable del equipo; se establecerá
constancia de él porque sale el equipo y especificara el tiempo de retorno
del equipo a la corporación.
- Inventario de activos
- Clasificación de la información
● Confidencialidad
a. Datos que puede ser conocida y utilizada sin autorización por cualquier
usuario, sea empleado de la Alcaldía o no. Tipo: “Publico”
b. Datos que puede ser conocida y utilizada por todos los funcionarios de la
Alcaldía y algunas entidades externas debidamente autorizadas, y cuya
divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves
para la Alcaldía o terceros. Tipo: “Reservada – Uso interno”
c. Datos que sólo puede ser conocida y utilizada por un grupo de funcionarios,
que la necesiten para ejecutar su función laboral, y cuya divulgación o uso no
autorizados podría ocasionar pérdidas significativas a la Alcaldía o a terceros.
Tipo: “Reservada – Confidencial”
d. Datos que sólo puede ser conocida y utilizada por un grupo muy selecto de
funcionarios, generalmente de la alta gerencia de la Alcaldía, y cuya
divulgación o uso no autorizados podría ocasionar pérdidas graves, al
Gobierno Nacional o a terceros. Tipo: “Reservada secreta”
● Integridad
● Disponibilidad
Para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los
equipamientos. Desde la vinculación de los funcionarios, se deben tener filtros que
permitan verificar la idoneidad e identidad, ética profesional y conducta. Los
términos y condiciones de empleo o trabajo debe establecer la responsabilidad de
los funcionarios, por la seguridad de los activos de información, que van más allá
de la finalización de la relación laboral o contractual, por lo que se debe firmar un
acuerdo de confidencialidad que se hace extensivo a los contratistas y terceros
que tengan acceso a la información.
● Los propietarios de los Datos deben definir los niveles de acceso de cada
usuario.
Los equipos de cómputo deben ser apagados todos los días, exceptuando el
servidor y la UPS -que garantiza la continuidad de energía en caso de corte de la
misma-.
- Servidor
- Software
- Conectividad
- Seguridad
- Almacenamiento
- Backup y continuidad
Soluciones y políticas de backup para el almacenamiento local o externo de
servidor ubicado en el Data Center. Opciones de replicación con RAID 5. Toma y
respaldo de imagen de servidor físico.
Almacenamiento si si si
- Servicios de red
Balanceo de carga para servidor y/o aplicaciones a nivel local o global, NTP, DNS,
Relay de Correo, Replicación de servidor, sistemas operativos, aplicaciones.
- Servicios
Control de amenazas
- Levantamiento de información.
- Análisis de vulnerabilidades y solución.
- Definición de las políticas y reglas de seguridad.
- Configuración de servicios.
- Aseguramiento de la calidad.
- Consultorías para el establecimiento de planes de recuperación ante
desastres y esquemas de continuidad del negocio.
- Administración de la configuración.
- Administración de cambios.
- Gestión de problemas.
- Apoyo en la implementación de políticas y configuraciones de seguridad.
- Apoyo en la operación de contingencia.
- Monitoreo de los equipos.
- Monitoreo de políticas.
- Monitoreo de seguridad 7X24X365.
Mantenimiento de Equipos
● Clasificación de incidentes
a. Acceso no autorizado
b. Modificación de recursos no autorizado (Plagios, Base de datos)
c. Uso inapropiado de recursos (Divulgación)
d. No disponibilidad (Denegación de Servicio)
e. Otros
● Tratamiento de incidentes:
Registro de Usuarios
Acceso a Internet
Los riesgos de alto impacto en una organización, que surgen como consecuencia
de la ocurrencia de incidentes disruptivos o fenómenos naturales y que afectan las
operaciones, deben ser gestionados y controlados. Esto se logra mediante la
gestión de continuidad de las operaciones, cuyo objetivo es proporcionar un
protocolo de referencia para que, a partir de la identificación del impacto probable
de este tipo de riesgos, se generen respuestas planificadas y con la orientación y
capacidad necesarias para salvaguardar al personal, las operaciones, los
intereses, la reputación, el prestigio y la confianza depositada en la Alcaldía.