POLITICAS DE SEGURIDAD

PRESENTADO POR
HENRRY HARVEY HEREDIA NORIEGACC 92.032.783
RODOLFO JOSE GARCIA HERNANDEZ CC 1.049.934.821

INSTRUCTOR
Nelson Ruiz Gamba
SERVICIO NACIONAL DE APRENDIZAJE SENA

SINCELEJO 2019
 ESTRUCTURA DE CONTENIDO

1. Introducción……………………………………………………………………..3
2. Objetivos…………………………………………………………………….......3
6. Políticas de la Seguridad de la Información…..……………….………….....10

7. Conclusión……………………………………………………………………...12
8. Web grafía……………………………………………………………………..13
 1. INTRODUCCIÓN

La alcaldía de San Antonio del SENA, considera que la información es uno de los activos
importante, la cual permite el desarrollo continuo de las parte misional y el cumplimiento de los
objetivos, es por ello que cree conveniente y necesario la implementación de reglas y medidas para
la protección de la confidencialidad, integridad disponibilidad de datos en todo el ciclo de vida.
El siguiente reglamento constituye las políticas de Sistema de Gestión de Seguridad de la
Información SGSI, las cuales deber ser cumplidas por las personas u organizaciones que tenga
algún tipo de relación con la alcaldía. Manual enfocado en las normatividad vigente en Colombia y
las buenas prácticas de seguridad de la información plasmado en la normatividad ISO 27001/2013

2. OBJETIVO
Implementar las políticas que rigen la seguridad de la información en la Alcaldía de San Antonio
del SENA y presentar de manera clara y coherente cada uno de los elementos que la conforman a
los funcionarios y entidades que prestan sus servicios o que posean relación con la Alcaldía, este
manual está liderado por el área de TI.
3. ALCANCE
La política de seguridad de la información de la Alcaldía se aplicará a todos los funcionarios de la
entidad y terceros que tengan relación con esta. Cada uno de los funcionarios y terceros tienen la
obligación de cumplir y hacer cumplimiento de dichas políticas emitidas y aprobadas por la alta
gerencia de la institución una vez sean revisadas por el comité de TI para la seguridad de la
información
4. APLICABILIDAD DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Las políticas de información son reglas obligatoriedad su cumplimiento a todos los funcionarios de
la Alcaldía de San Antonio del SENA y los terceros que se tengan relaciones.
5. TÉRMINOS Y DEFINICIONES
 Acción correctiva: Remediación de los requisitos o acciones que dieron origen al
establecimiento de no una conformidad, de tal forma que no se vuelva a presentar.

 Acción preventiva: Disposición de operaciones que buscan de forma preliminar, que no se

presente en su ejecución, desarrollo e implementación una no conformidad.

 Aceptación del Riesgo: Después de revisar las consecuencias que puede acarrear el riesgo, se
toma la decisión de afrontarlo.

 Activo: Según [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organización.
También se entiende por cualquier información o sistema relacionado con el tratamiento de
la misma que tenga valor para la organización. Es todo activo que contiene información, la
cual posee un valor y es necesaria para realizar los procesos misionales y operativos del
DAPRE. Se pueden clasificar de la siguiente manera:
 Datos: Son todos aquellos elementos básicos de la información (en cualquier formato) que se
generan, recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de
Word “listado de personal.docx”.

 Aplicaciones: Es todo el software que se utiliza para la gestión de la información.

 Personal: Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y
en general, todos aquellos que tengan acceso de una manera u otra a los activos de
información del DAPRE. Ejemplo: Pedro Pérez.

 Servicios: Son tanto los servicios internos, aquellos que una parte de la organización
suministra a otra, como los externos, aquellos que la organización suministra a clientes y
usuarios.

 Tecnología: Son todos los equipos utilizados para gestionar la información y las
comunicaciones.

 Instalaciones: Son todos los lugares en los que se alojan los sistemas de información.

 Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de
información y que no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo:
Aire acondicionado, destructora de papel.

 Administración de riesgos: Gestión de riesgos, es un enfoque estructurado para manejar la

incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que
incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del
riesgo utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo a otra
parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las
consecuencias de un riesgo particular.

 Administración de incidentes de seguridad: Procedimientos, estrategias y herramientas de

control, enfocados a una correcta evaluación de las amenazas existentes, en este caso hacia
toda la infraestructura de TI, se basa en un análisis continuo y mejorado del desempeño de
todos los activos y recursos gerenciales que tiene la entidad.
Su objetivo principal es atender y orientar las acciones inmediatas para solucionar cualquier
situación que cause una interrupción de los diferentes servicios que presta la entidad, de
manera rápida y eficaz. No se limita a la solución de problemas específicos sino a buscar las
causas que determinaron el incidente limitando el marco de acción de futuras ocurrencias, su
enfoque se base en tres pilares fundamentales:
• Detectar cualquier alteración en los servicios TI.
• Registrar y clasificar estas alteraciones.
• Asignar el personal encargado de restaurar el servicio.

 APT: (Advance Persistent Threat) Amenaza Avanzada Persistente Especie de ciberataque

que es responsable del lanzamiento de ataques de precisión y tienen como objetivo
comprometer una máquina en donde haya algún tipo de información valiosa.
 Alcance: Ámbito de la organización que queda sometido al Sistema de Gestión de Seguridad
de la Información - SGSI. Debe incluir la identificación clara de las dependencias, interfaces
y límites con el entorno, sobre todo si sólo incluye una parte de la organización.

 Alerta: Una notificación formal de que se ha producido un incidente relacionado con la

seguridad de la información que puede evolucionar hasta convertirse en desastre.

 Almacenamiento en la Nube: Del inglés cloud storage, es un modelo de almacenamiento de

datos basado en redes de computadoras que consiste en guardar archivos en un lugar de
Internet. Esos lugares de Internet son aplicaciones o servicios que almacenan o guardan esos
archivos.

 Amenaza: Según [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el

cual puede causar el daño a un sistema o la organización.

 Análisis de riesgos: A partir del riesgo definido, se define las causas del uso sistemático de la
información para identificar fuentes y estimar el riesgo.

 Auditor: Persona encargada de verificar, de manera independiente, la calidad e integridad del

trabajo que se ha realizado en un área particular.

 Auditoria: Proceso planificado y sistemático en el cual un auditor obtiene evidencias

objetivas que le permitan emitir un juicio informado sobre el estado y efectividad del SGSI
de una organización.

 Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o
sistema.

 Autenticidad: Los activos de información solo pueden estar disponibles verificando la

identidad de un sujeto o recurso, es la propiedad que garantiza que la identidad de un sujeto o
recurso es la que declara y se aplica a entidades tales como usuarios, procesos, sistemas de
información.

 Características de la Información: las principales características desde enfoque de seguridad

de información son: confidencialidad, disponibilidad e integridad.

 Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener
claros los objetivos de la auditoría, sirve de evidencia del plan de auditoría, asegura su
continuidad y profundidad y reduce los prejuicios del auditor y su carga de trabajo, Este tipo
de listas también se pueden utilizar durante la implantación del SGSI para facilitar su
desarrollo.

 CobiT - Control Objectives for Information and related Technology: – (Objetivos de Control
para la información y Tecnologías Relacionadas): Publicados y mantenidos por ISACA, sus
siglas en inglés (Information System Audit And Control Association) – Asociación de
Auditoría y Control de Sistemas de Información Su misión es investigar, desarrollar, publicar
y promover un conjunto de objetivos de control de Tecnología de Información rectores,
 actualizados, internacionales y generalmente aceptados para ser empleados por gerentes de
empresas y auditores.

 Compromiso de la Dirección: Alineamiento firme de la Dirección de la organización con el

establecimiento, implementación, operación, monitorización, revisión, mantenimiento y
mejora del SGSI - Sistema de Gestión de la Seguridad de la Información.

 Computo forense: El cómputo forense, también llamado informática forense, computación

forense, análisis forense digital o examinación forense digital, es la aplicación de técnicas
científicas y analíticas especializadas a infraestructura tecnológica que permiten identificar,
preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

 Confiabilidad: Se puede definir como la capacidad de un producto de realizar su función de

la manera prevista, De otra forma, la confiabilidad se puede definir también como la
probabilidad en que un producto realizará su función prevista sin incidentes por un período
de tiempo especificado y bajo condiciones indicadas.

 Confidencialidad: Acceso a la información por parte únicamente de quienes estén

autorizados, Según [ISO/lEC 13335-1:2004]:" característica/propiedad por la que la
información no está disponible o revelada a individuos, entidades, o procesos no autorizados.

 Control: son todas aquellas políticas, procedimientos, prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la información por
debajo del nivel de riesgo asumido, (Nota: Control es también utilizado como sinónimo de
salvaguarda).

 Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de
que produzca pérdidas. Supone que la amenaza ya se ha materializado pero que se corrige.

 Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto
deliberado. Supone que la amenaza ya se ha materializado, pero por sí mismo no la corrige.

 Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza,

p.ej., por medio de avisos disuasorios.

 Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto
deliberado. Impide que una amenaza llegue siquiera a materializarse.

 Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI
de la organización -tras el resultado de los procesos de evaluación y tratamiento de riesgos-
además de la justificación tanto de su selección como de la exclusión de controles incluidos
en el anexo A de la norma.

 Denegación de servicios: Acción iniciada por agentes externos (personas, grupos,

organizaciones) con el objetivo de imposibilitar el acceso a los servicios y recursos de una
organización durante un período indefinido de tiempo. La mayoría de ocasiones se busca
dejar fuera de servicio los servidores informáticos de una compañía o en su defecto en
 situaciones más complejas ocasionar graves daños, para que no puedan utilizarse ni
consultarse servicios importantes. Un aspecto a resaltar es el gran daño a la imagen y
reputación de las entidades que estas acciones dejan en el ambiente público.

 Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las

operaciones o servicios habituales de una organización durante el tiempo suficiente como
para verse afectada de manera significativa.

 Directiva: Según [ISO/lEC 13335-1: 2004): una descripción que clarifica qué debería ser
hecho y cómo, con el propósito de alcanzar los objetivos establecidos en las políticas.

 Disponibilidad: Según [ISO/lEC 13335-1: 2004): característica o propiedad de permanecer

accesible y disponible para su uso cuando lo requiera una entidad autorizada.

 Evaluación de riesgos: Según [ISO/lEC Guía 73:2002]: proceso de comparar el riesgo

estimado contra un criterio de riesgo dado con el objeto de determinar la importancia del
riesgo.

 Evento: Según [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o

estado de la red que indica una posible brecha en la política de seguridad de la información o
fallo de las salvaguardas, o una situación anterior desconocida que podría ser relevante para
la seguridad.

 Evidencia objetiva: Información, registro o declaración de hechos, cualitativa o cuantitativa,

verificable y basada en observación, medida o test, sobre aspectos relacionados con la
confidencialidad, integridad o disponibilidad de un proceso o servicio o con la existencia e
implementación de un elemento del sistema de seguridad de la información.

 FTP: (File Transfer Protocol) es un protocolo de transferencia de archivos entre sistemas

conectados a una red TCP basado en la arquitectura cliente-servidor, de manera que desde un
equipo cliente nos podemos conectar a un servidor para descargar y/o subir archivos a él.

 Gestión de claves: Controles referidos a la gestión de claves criptográficas.

 Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un

coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la
valoración de riesgos y el tratamiento de riesgos..

 Gusano (Worm): Es un programa malicioso de computador que tiene la capacidad de

duplicarse a sí mismo. A diferencia del virus, no altera información, aunque casi siempre
causan problemas de red debido al consumo de ancho de banda y su gran facilidad para
mutar.
 Impacto: Resultado de un incidente de seguridad de la información.

 Incidente: Según [ISO/lEC TR 18044:2004]: Evento único o serie de eventos de seguridad de

la información inesperados o no deseados que poseen una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la información.
 Información: La información constituye un importante activo, esencial para las actividades
de una organización y, en consecuencia, necesita una protección adecuada. La información
puede existir de muchas maneras, es decir puede estar impresa o escrita en papel, puede estar
almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se la
puede mostrar en videos, o exponer oralmente en conversaciones.

 Ingeniería Social: Es la manipulación de las personas para conseguir que hagan que algo
debilite la seguridad de la red1 o faciliten información con clasificación confidencial o
superior.

 Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de

proceso. Según [ISOIIEC13335-1: 2004]: propiedad/característica de salvaguardar la
exactitud y completitud de los activos.

 ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una

agrupación de organizaciones nacionales de normalización cuyo objetivo es establecer,
promocionar y gestionar estándares.

 ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información

adoptado por ISO transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002
por cambio de nomenclatura el 1 de Julio de 2007. No es certificable.

 ISO 19011: "Guidelines for quality and/or environmental management systems auditing".
Guía de utilidad para el desarrollo de las funciones de auditor interno para un SGSI.

 ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado

por ISO transcribiendo la segunda parte de BS 7799. Es certificable. Primera publicación en
2005, segunda publicación en 2013.

 ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información

(transcripción de ISO 17799). No es certificable. Cambio oficial de nomenclatura de ISO
17799:20005 a ISO 27002:20005 el 1 de Julio de 2007.

 ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.

 ITIL IT Infrastructure Library: Un marco de gestión de los servicios de tecnologías de la

información.

 Keyloggers: Son software o aplicaciones que almacenan información digitada mediante el

teclado de un computador por un usuario; es común relacionar este termino con malware del
tipo daemon (demonio), es decir, actúa como un proceso informático que no interactúa con el
usuario, ya que se ejecuta en segundo plano. Usualmente puede ser un tipo de software o un
dispositivo hardware que se encarga de registrar las pulsaciones que se hacen con el teclado,
para posteriormente memorizarlas en un archivo o enviarlas a través de internet.

 Phishing: Tipo de delito encuadrado dentro del ámbito de las estafas, que se comete mediante
el uso de un tipo de ingeniería social caracterizado por intentar adquirir información
 confidencial de forma fraudulenta (como puede ser una contraseña o información detallada
sobre tarjetas de crédito u otra información bancaria), mediante una aparente comunicación
oficial electrónica.

 Ransomware: Código malicioso para secuestrar datos, una forma de explotación en la cual el
atacante encripta los datos de la víctima y exige un pago por la clave de descifrado.

 Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para
causar una pérdida o daño en un activo de información.

 Segregación de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para
reducir el riesgo de un mal uso de los sistemas e informaciones deliberado o por negligencia.

 SGSI Sistema de Gestión de la Seguridad de la Información: Según [ISO/lEC 27001: 2013]:

Sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera,
monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de
gestión incluye una estructura de organización, políticas, planificación de actividades,
responsabilidades, procedimientos, procesos y recursos.)

 Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados,
habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que
perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se
denomina spamming. La vía más usada es el correo electrónico.

 Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red
con una finalidad docente o de control, aunque también puede ser utilizado con fines
maliciosos.

 Spoofing: Falsificación de la identidad origen en una sesión: la identidad es por una

dirección IP o Mac Address.

 Troyano: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas
diseñadas para sobrepasar los sistemas de seguridad.

 Virus: Programas informáticos de carácter malicioso, que buscan alterar el normal

funcionamiento de una red de sistemas o computador personal, por lo general su acción es
transparente al usuario y este tarda tiempo en descubrir su infección; buscan dañar, modificar
o destruir archivos o datos almacenados.

 VPN (Virtual Private Network): es una tecnología de red que permite una extensión segura
de la red privada de área local (LAN) sobre una red pública o no controlada como Internet.
 6. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

6.1 Política de estructura organizacional de seguridad de la información.

La alcaldía de San Antonio del SENA, crea una política de seguridad de la información
definiendo y estableciendo roles y responsabilidades que incluyen actividades de operación,
gestión y administración de la seguridad de la información.

6.2 Políticas para uso de dispositivos móviles.

El uso de dispositivos móviles tales como teléfonos inteligentes (Smart phones), tabletas, entre
otros estarán permitidos en la Alcaldía, para el uso de los servicios de información.
Los niveles directivos tendrán la autorización para el uso de chat únicamente por los dispositivos
suministrados por la alcaldía, sin permitir en envió de archivos (fotos, videos, audios y cualquier
otro tipo de archivos).
Los dispositivos móviles asignados a los funcionarios estarán restringidos para que no se puedan
cambiar configuraciones, instalación de programas, restauración de fábrica una vez estos estén
en su poder.

6.3 Política de seguridad para los recursos humanos.

La Alcaldía de San Antonio del Sena implementará acciones para que sus funcionarios y
terceros, tengan las responsabilidades pertinentes según sus roles para el buen uso de la
información evitando hurto, infiltraciones y adecuado uso de la información y de la
instalaciones.
De igual forma las personas que aspiren o hagan parte de la Alcaldía al igual que terceros deben
dar autorización para la captación de los datos según la ley de manejo de datos personales
(Ley 1581 de 2012) donde se regula el manejo de la información contenida en las bases de datos
personales.
Los aspirantes aceptados y funcionarios deben firmar un acta de compromiso y reserva sobre la
información que se pose.

Las políticas serán puestas a disposición a todos los funcionarios por medio de los portales
internos donde se pueden consultar de manera fácil.
Al momento de utilización de firmas digitalizadas el área de IT debe proporcionar un formato
para autorización de firma.

6.4 Política de gestión de activos de Información.

La Alcaldía de San Antonio del SENA es propietaria de los avances tecnológicos e intelectuales
desarrolladas por los funcionarios y demás derivadas del objeto del cumplimiento de funciones o
asignaciones, así como las necesarias en el cumplimiento del objeto contrato.
La alcaldía mantiene el inventario de sus activos de información de acuerdo al procedimiento
para tal fin, quedando bajo responsabilidad de cada propietario de información y centralizado
por el área de TI.
6.5 Política de uso de los activos.

La alcaldía implementa la normativa para que se logre la protección adecuada y el uso de

correcto de los activos de información mediante el uso de asignación de asignación de usuarios
que deben administrarlas de acuerdos a los roles y funciones definidas
Los usuarios finales no deben mantener o almacenar en los discos duros y unidades de red,
archivos y archivos multimedia que no sean de carácter institucionales.
Las directrices de uso de activos se encuentran definidas en el Lineamiento de uso de activos de
Información y
Dispositivos móviles L-TI-18

6.6 Política de software no autorizado.

En la alcaldía san Antonio del Sena, queda prohibido realizar instalaciones de aplicaciones o
software no estipulados por el departamento de sistemas de la organización.

6.7 Política contra el malware.

En la alcaldía San Antonio del Sena no se permitirá instalar dispositivos extraíbles diferentes a
los estipulados por la entidad, igualmente queda prohibido el ingresos a páginas no autorizadas.

6.8 Política control de acceso.

El ingreso del personal externo del área de sistemas debe ser debidamente controlado y
registrado sistemáticamente con el fin de garantizar la seguridad delos equipos y la información.

6.9 Política de limpieza en el puesto de trabajo.

En la alcaldía no se podrá consumir ninguna clase de alimentos en los puestos de trabajo a su

vez, será responsabilidad del trabajador mantener el lugar donde labora de forma higiénica, con
el fin de mantener un ambiente laboral agradable y preservar la vida útil de los equipos.

6.10 Política para el cumplimiento de su visión, misión y objetivo estratégico apegado a sus valores
corporativos. La alcaldía establecerá la función de seguridad de la información en la entidad, con
el objetivo de :
 Minimizar el riesgo en las funciones más importantes de la entidad
 Cumplir con los principios de seguridad de la información
 Cumplir con los principios de la función administrativas
 Mantener la confianza de sus usuarios y empleados
 Apoyar la innovación tecnológica
 Implementar el sistema de gestión de seguridad de la información
 Proteger los activos tecnológicos
 Fortalecer la cultura de seguridad de la información en los funcionarios
 Garantizar la continuidad frente a incidentes
 7. CONCLUSIONES

Es un hecho que un departamento de Sistemas es un departamento de servicios, que sus clientes son
los propios empleados y áreas de la empresa, que son los que ocupan sus servicios, los cuales, son
importantes, como los que se le ofrecen a los clientes externos; porque aunque erróneamente se crea
que un departamento de servicios solo ocasiona gastos y no genera ingresos, estos últimos están
implícitos en los ahorros que promueve y que logra a través de un adecuado manejo de la
información.
 8. WEBGRAFIA
 (2019). Retrieved 8 October 2019, from
http://es.presidencia.gov.co/dapre/DocumentosSIGEPRE/M-TI-01-Manual-Politicas-
Seguridad-Informacion.pdf