Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de Procedimientos de Seguridad y Privacidad de La Información (MPSI) PDF
Manual de Procedimientos de Seguridad y Privacidad de La Información (MPSI) PDF
EQUIPO DE GOBIERNO
Elaboró
CÉSAR NEYITH OSORIO MOLINA
Web Máster, Sistemas y Enlace TIC
TABLA DE CONTENIDO
Contenido
TABLA DE CONTENIDO ........................................................................................................................ 2
INTRODUCCION ................................................................................................................................... 4
MARCO LEGAL ..................................................................................................................................... 5
Derechos de Autor .......................................................................................................................... 5
Propiedad Industrial ....................................................................................................................... 5
Comercio Electrónico y Firmas Digitales ........................................................................................ 6
GLOSARIO ............................................................................................................................................ 8
OBJETIVO GENERAL ........................................................................................................................... 11
OBJETIVO ESPECIFICO ....................................................................................................................... 12
VISIÓN ............................................................................................................................................... 13
MISION .............................................................................................................................................. 13
1. POLITICAS DE SEGURIDAD ......................................................................................................... 14
a.) ACCESO A LA INFORMACION: .......................................................................................... 14
b.) SEGURIDAD DE LA INFORMACION: .................................................................................. 14
c.) SEGURIDAD PARA SERVICIOS INFORMATICOS: ................................................................... 14
Correo Electrónico: ................................................................................................................... 15
d.) Seguridad en estaciones de trabajo: ................................................................................ 15
Administración de usuarios: ............................................................................................. 15
Roles y privilegios de acceso a la información: ............................................................... 15
e.) Seguridad de Comunicaciones: .................................................................................... 15
f.) Software de la Entidad: .................................................................................................... 15
g.) Actualización de hardware: .......................................................................................... 16
h.) Equipos de cómputo personales: ................................................................................. 16
i.) Disposición de la Información: ......................................................................................... 16
j.) Prácticas de uso de Internet:............................................................................................ 16
2. SEGURIDAD LOGICA .................................................................................................................. 18
2.1 INVENTARIO TECNOLOGICO ................................................................................................... 18
2.2 USUARIOS, CONTRASEÑAS Y PRIVILEGIOS ............................................................................ 18
Pasantes o Practicantes ............................................................................................................ 19
3. SEGURIDAD DE COMUNICACIONES .............................................................................................. 20
3.1 TOPOLOGIA DE RED ................................................................................................................ 20
3.2 CONEXIONES ........................................................................................................................... 20
3.3 ANTIVIRUS .............................................................................................................................. 20
4. SEGURIDAD EN APLICACIONES.................................................................................................. 21
Sistemas Operativos ...................................................................................................................... 21
Control de aplicaciones ................................................................................................................. 21
Control de Cambios ....................................................................................................................... 22
5. SEGURIDAD FISICA .................................................................................................................... 23
5.1 Equipamiento .......................................................................................................................... 23
5.2 Controles de Acceso ............................................................................................................... 23
5.3 RIESGOS QUE AFRONTAN LOS SISTEMAS DE INFORMACION E INFRAESTUCTURA
TECNOLOGICA ............................................................................................................................... 24
6. SOPORTE TÉCNICO .................................................................................................................... 26
6.1 REPORTES DE INCIDENCIAS ..................................................................................................... 26
6.2 TIEMPOS DE ATENCION Y RESPUESTA DE SOPORTE TÉCNICO................................................ 27
7. ADMINISTRACION DE DISPOSITIVOS DE RED Y COMUNICACIONES ......................................... 28
7.1 CAPACITACIONES .................................................................................................................... 28
7.2 PLAN DE RESPALDO DE LA INFORMACIÓN.............................................................................. 29
ANEXOS ............................................................................................................................................. 30
FORMATO ALMACENAMIENTO USUARIOS Y CONTRASEÑAS (Anexo 1)....................................... 30
Solicitud de Clave WIFI (Anexo 2) ................................................................................................. 31
ENTREGA DE CORREO ELECTRONICO (Anexo 3) ........................................................................... 32
CONTROL DE CAMBIOS (Anexo 4) ................................................................................................. 33
Control de Salida de Equipos (Anexo 5) ........................................................................................ 34
Copias de Seguridad (Anexo 6) ..................................................................................................... 35
Anexo 7 ......................................................................................................................................... 36
Control de Impresiones (Anexo 8) ............................................................................................... 37
4
INTRODUCCION
MARCO LEGAL
Derechos de Autor
Ley 44 de 1993
Por cual se modifican las Leyes 23 de 1982 y 44 de 1993 y se dictan otras disposiciones.
Por el cual se reglamente el Registro Nacional del Derecho de Autor y se regula el Deposito Legal.
Por el cual se reglamenta la Decisión Andina 351 de 1993 y la Ley 44 de 1993, en relación con las
Sociedades de Gestión Colectiva de Autor o de Derechos Conexos.
Por el cual se reglamente la inscripción de soporte lógico (software) en el Registro Nacional del
Derecho de Autor.
Propiedad Industrial
Por medio de la cual se aprueba el Acuerdo por el que se establece la Organización Mundial de
Comercio (OMC), suscrito en Marrakech (Marruecos) el 15 de abril de 1994, sus acuerdos
multilaterales anexos y el Acuerdo Plurilateral anexo sobre la Carne de Bovino.
Por medio de la cual se aprueba el “Convenio de París para la Protección de la Propiedad Industrial”,
hecho en París el 20 de Marzo de 1883, revisado en Bruselas el 14 de diciembre de 1900, en
Washington el 2 de junio de 1911, en la Haya el 6 de noviembre de 1925, en Londres el 2 de Junio
de 1934, en Lisboa el 31 de octubre de 1958, en Estocolmo el 14 de julio de 1967 y enmendado el 2
de octubre de 1979.
Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización
de las Tecnologías de la información y las comunicaciones-TIC-, se crea la Agencia Nacional del
Espectro y se dictan otras disposiciones.
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio
electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras
disposiciones.
Por el cual se reglamenta parcialmente la Ley 527 de 199, en los relacionados con las entidades de
certificación, los certificados y las firmas digitales.
Por la cual se fijan los estándares para la autorización y funcionamiento de las entidades de
certificación y sus auditores.
7
Por la cual se dictan las disposiciones generales del Habeas Data y se regula el manejo de la
información contenida en bases de datos personales, en especial la financiera, crediticia, comercial,
de servicios y la proveniente de terceros países y se dictan otras disposiciones.
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –
denominado “de la protección de la información y de los datos”- y se preservan integralmente los
sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones.
Por medio de la cual se crea la ley de transparencia y del derecho de acceso a la información pública
nacional y se dictan otras posiciones.
8
GLOSARIO
Roles y Privilegios: La autenticación para verificar la identidad, para demostrar que una persona es
quien dice ser y también para permitir una política de autorización con el fin de definir qué es lo que
determinada identidad puede "ver y hacer" con la información.
Software: Se conoce como software al equipo lógico o soporte lógico de un sistema informático,
que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización
de tareas específicas, en contraposición a los componentes físicos que son llamados hardware.
Inventario Tecnológico: Se refiere al inventario de dispositivos electrónicos que hacen parte de los
activos de la entidad.
Topología de Red: Se define como el mapa físico o lógico de una red para intercambiar datos. En
otras palabras, es la forma en que está diseñada la red, sea en el plano físico o lógico. El concepto
de red puede definirse como "conjunto de nodos interconectados".
Switch: Dispositivo digital lógico de interconexión de equipos que opera en la capa de enlace de
datos del modelo OSI. Su función es interconectar dos o más segmentos de red, de manera similar
a los puentes de red, pasando datos de un segmento a otro de acuerdo con la dirección MAC de
destino de las tramas en la red y eliminando la conexión una vez finalizada esta.
9
Sistema Operativo: Programa o conjunto de programas de un sistema informático que gestiona los
recursos de hardware y provee servicios a los programas de aplicación de software, ejecutándose
en modo privilegiado respecto de los restantes.
Cuarto de Comunicaciones: Es un área utilizada para el uso exclusivo de equipos asociados con el
sistema de cableado de telecomunicaciones de la entidad. El cuarto de telecomunicaciones debe
ser capaz de albergar los equipos de telecomunicaciones, terminaciones de cable y cableado de
interconexión asociado.
Soporte Técnico: Rango de servicios por medio del cual se proporciona asistencia a los usuarios al
tener algún problema al utilizar un producto o servicio, ya sea este el hardware o software de
una computadora de un servidor de Internet, periféricos, artículos electrónicos, maquinaria, o
cualquier otro equipo o dispositivo.
Red de datos: Una red de datos es un conjunto de ordenadores que están conectados entre si
compartiendo recursos, información, y servicios.
OBJETIVO GENERAL
Promover de forma clara y coherente los elementos que conforman la política de seguridad que
deben cumplir los funcionarios, contratistas y terceros que presten sus servicios o tengan al algún
tipo de relación con la Administración Municipal “Progreso para Nunchía 2016-2019”
12
OBJETIVO ESPECIFICO
VISIÓN
Para el año 2025 Nunchía será un territorio de Paz con una economía propia de impacto local y
regional destacada por una oferta de servicios agroindustriales, turísticos y ambientales, que
generen un desarrollo sostenible y sustentable en lo humano, lo físico, lo económica, lo social y lo
ambiental para todos sus habitantes, quienes gozaran de una mejor calidad de vida con
oportunidades de trabajo digno, inclusión y participación social.
MISION
Nunchía es una entidad territorial comprometida con la prestación eficiente de los servicios públicos
y con el enaltecimiento de los principios y los valores humanos para garantizar bienestar y la calidad
de vida de todos sus habitantes a través de una gerencia pública eficaz en el uso racional de los
recursos humanos, financieros, físicos y tecnológicos, que ayuden a impulsar el desarrollo físico,
humano, económico, social y ambiental del municipio.
14
1. POLITICAS DE SEGURIDAD
Correo Electrónico:
Las cuentas de correo son creadas por el Ministerio de las TIC con el fin de
mejorar la comunicación entre entidades públicas a nivel nacional,
departamental e interno, por lo tanto serán las únicas cuentas de correo
utilizadas para el desarrollo de las actividades y no se deberá reproducir,
copiar y enviar información por distintas cuentas de correo, se hará
excepciones en las cuales el Secretario o quien haga sus veces autorice y será
responsable por la información.
El correo institucional cuenta con un servicio de chat el cual deberá ser usado
de manera responsable para la comunicación interna administrativa con el
fin de reducir costos en llamadas telefónicas e impresiones.
Administración de usuarios:
Cada funcionario deberá crear una contraseña de mínimo 8 caracteres
incluyendo números, letras mayúsculas, letras minúsculas y símbolos,
esta contraseña deberá cambiarse con una periodicidad mensual y no
podrá ser repetida.
2. SEGURIDAD LOGICA
Pasantes o Practicantes
3. SEGURIDAD DE COMUNICACIONES
3.2 CONEXIONES
La conexión a internet será suministrada únicamente para temas relacionados
con el buen desarrollo de las actividades de los funcionarios y/o contratistas
según el manual de funciones o contrato.
Las claves de acceso a internet inalámbrico de la entidad se realizará la solicitud
mediante un formato que será firmado por el Secretario o quien haga sus veces
dirigido a control interno, una vez control interno haga la solicitud al encargado
de sistemas se procederá a facilitar las claves de acceso. (Anexo 2).
Por ningún motivo se permitirán conexiones a internet inalámbrico a terceros
a menos que este en el marco de una actividad institucional o sea autorizado
por el Alcalde Municipal mediante solicitud escrita.
Los funcionarios de la administración municipal no podrán acceder a
configuraciones del equipo de cómputo impresoras u otros dispositivos.
Las redes Wi-Fi que estén a nombre del Concejo Municipal, se realizarán las
conexiones mediante el filtro de Seguridad por número MAC del dispositivo,
para ello se deberá solicitar por escrito al administrador de Sistemas de la
Administración municipal por escrito. (Anexo 07)
3.3 ANTIVIRUS
Se deberá adquirir un software antivirus que se ajuste a las necesidades
de seguridad de la administración municipal bajo los lineamientos
legales y licenciamiento.
Se realizaran análisis mensuales con el software antivirus instalado en
los equipos de cómputo de propiedad de la administración Municipal.
Se informará a control interno acerca de la incidencia de virus en los
equipos asignados a los funcionarios de la administración municipal, con
el fin de implementar medidas que eviten la incidencia de esta falla.
21
4. SEGURIDAD EN APLICACIONES
Sistemas Operativos
Control de aplicaciones
Control de Cambios
5. SEGURIDAD FISICA
5.1 Equipamiento
Deberá existir una adecuada protección física por parte de los funcionarios
hacia los equipos y dispositivos de propiedad de la administración municipal,
por otra parte, el funcionario del área de sistemas velara por:
- Mantenimiento de los equipos de cómputo cada 4 meses
- Mantenimiento correctivo de los equipos de cómputo una vez sea
detectado una falla.
-
Mantenimientos lógicos y
físicos preventivos.
Capacitación de
Errores Humanos:
Funcionarios, Copias de
Eliminación de
ALTO Seguridad, Revisiones de
Información,
Acceso a los sistemas de
Configuración o Sabotaje
información
Virus Informáticos: Actualizaciones de Sistemas
Perdida total o parcial de Operativos, Actualización de
información y/o ALTO Software Antivirus, Copias de
configuración Seguridad, Controles
periódicos.
Desastres Naturales:
MEDIO Copias de Seguridad
Destrucción de Equipos
Cambios de Contraseñas 1
Accesos no Autorizados: vez al Mes, Implementación
Filtración no autorizada y seguimiento de las Políticas
BAJO
de información, ataques de seguridad de la
cibernéticos. Información, Copias de
Seguridad.
Robo de Información: Cambio de Contraseñas,
Difusión, publicación o Seguimiento de Políticas de
reproducción de la ALTO Seguridad Informática,
información sin Supervisión y Control de
autorización Acceso a la Información.
Cambio de Contraseñas,
Fraude –Suplantación de Seguimiento de Políticas de
Usuarios: Modificación o BAJO Seguridad Informática,
desvíos de información. Supervisión y Control de
Acceso a la Información.
26
6. SOPORTE TÉCNICO
NIVEL ESCALONAMIENTO
1 Funcionario y/o Contratista encargado del área de sistemas
2 Proveedores de hardware y software de la entidad Municipal
27
Los tiempos que en la siguiente tabla se estipulan serán contados una vez se informé
que la solicitud ha sido recibida, se agendará y se brindará solución mediante el
protocolo de primera en informarse primeras en solucionarse.
7.1 CAPACITACIONES
ANEXOS
__________________ _________________
32
Señor (a)
_______________________
Cordial Saludo
Una vez ingrese a su cuenta de correo deberá cambiar la contraseña de acuerdo a los
lineamientos del Manual de Procedimiento de Seguridad de la Información, en caso de
reposición de contraseña, se cumplirá con los plazos establecidos en el mismo documento.
USUARIO: _____________________
CONTRASEÑA: __________________
Atentamente
QUIEN SISTEMA DE
FUNCIONARIO
FECHA ACTIVIDAD REALIZADA RECIBE EL CARGO INFORMACION FIRMA
RESPONSABLE
SOPORTE O EQUIPO
34
Anexo 7
Cordial Saludo
César Neyith Osorio Molina
Administrador de Sistemas
Administración Municipal
Cordial Saludo
Por medio de la presente me dirijo a usted para solicitar acceso a la red inalámbrica _____(nombre
de la red wi-fi)____ durante el periodo de _____Horas para realizar la actividad de
______________________
Quien se desempeña como ____________________________________________ en las
instalaciones del Concejo Municipal.
(Si el usuario es Concejal, deberá especificar que es concejal)
Atentamente
Los Anexos anteriormente mencionados serán proporcionados por el funcionario del área de
sistemas y estarán sujetos a cambios una vez sea actualizado el MPSI.