1

CREAD BOYACÁ
CENTRO TUTORIAL TUNJA
AUDITORÍA DE SISTEMAS

DANIEL ALONSO NEIRA CEPEDA

DANIEL FERNANDO GARCIA

ANDRES FELIPE VALIENTE

Línea de énfasis II

Políticas de sistemas de información

2020
 2

2020

Tabla de contenido

1. Introducción...................................................................................................................3

2. Propósito.........................................................................................................................4

3. Referencias normativas.................................................................................................5

4. Alcance............................................................................................................................6

5. Generalidades.................................................................................................................7

6. Definiciones....................................................................................................................8

7. Cumplimiento.................................................................................................................9

8. Política SGSI................................................................................................................10

9. Políticas.........................................................................................................................11

9.1 Precisión de las políticas......................................................................................12

9.2 Roles y responsabilidades....................................................................................13

9.3 Separación de deberes..........................................................................................14

9.4 Contacto con autoridades y / o grupos de interés..............................................15

9.5 Seguridad información gestión de proyectos.....................................................16

9.6 Políticas de dispositivos móviles..........................................................................17

 3

9.7 Capacitación y entrenamientos...........................................................................18

9.8 Procesos disciplinarios.........................................................................................19

9.9 Intercambio de información................................................................................20

9.10 Gestión de activos.................................................................................................21

9.11 Inventarios............................................................................................................22

9.12 Asignación de activos...........................................................................................23

9.13 Uso aceptado de activos.......................................................................................24

9.14 Gestión de medios removibles.............................................................................25

9.15 Disposición de medios..........................................................................................26

9.16 Gestión de acceso a usuario.................................................................................27

9.17 Políticas de acceso a los recursos de información..............................................28

9.18 Política de uso de recursos de la información....................................................29

9.19 Política de uso de correo electrónico...................................................................30

9.20 Elección de contraseñas.......................................................................................31

9.21 Protección de contraseñas....................................................................................32

9.22 Áreas seguras........................................................................................................33

9.23 Áreas de entrega y carga......................................................................................34

9.24 Ubicación y protección de equipos......................................................................35

9.25 Servicio de suministro..........................................................................................36

9.26 Seguridad de cableado.........................................................................................37

 4

9.27 Mantenimiento de equipos...................................................................................38

9.28 Política de monitoreo y evaluación de cumplimiento........................................39

9.29 Políticas de cumplimiento y requerimientos legales..........................................40

9.30 Políticas de gestión de incidentes de seguridad..................................................41

9.31 Políticas de pantalla despejada y / o políticas de escritorio limpio..................42

9.32 Política de respaldo de datos...............................................................................43

9.33 Política de acceso físico........................................................................................44

1. Introducción

El presente manual hace referencia a las políticas internas y externas referentes a la

seguridad de la información las cuales tienen el objetivo de mitigar los riesgos y las

vulnerabilidades que se identifican en la Universidad.

También se plantean los lineamientos sobre el uso y aprovechamiento de las tecnologías de

la información y las comunicaciones de la Universidad por parte de administradores,

usuarios o terceros, integra estos esfuerzos de una manera conjunta y da una gran visión de
 5

la Universidad en el tema de seguridad de la información. Se quiere que este manual sea el

medio por el cual se establezcan las reglas, normas, controles administrativos y

procedimientos que controlen la forma en que la Universidad, prevenga, proteja, maneje los

riesgos de seguridad en diversas circunstancias y de cumplimiento a los lineamientos de

gobierno en línea del estado colombiano.

2. Propósito

Plantear reglas y directrices para la buena utilización de los Sistemas de Información y de

las comunicaciones de la Universidad enfocados al buen uso y protección de la información

de amenazas internas y externas, bien sean intencionadas o inintencionadas. La protección

se realiza estableciendo controles administrativos y operativos a la infraestructura

tecnológica de la Universidad.
 6

3. Referencias normativas

ISO 27001: Es una norma internacional que permite el aseguramiento, la confidencialidad

e integridad de los datos y de la información, así como de los sistemas que la procesan.

La aplicación de ISO 27001 significa una diferenciación respecto al resto, que mejora la

competitividad y la imagen y calidad de una organización. La gestión de la seguridad de la

información se complementa con las buenas prácticas o controles establecidos en la ISO

27001.

Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los

mensajes de datos, del COMERCIO ELECTRÓNICO y de las firmas digitales, y se

establecen las entidades de certificación y se dictan otras disposiciones.

Ley 599 DE 2000: Por la cual se expide el Código Penal. En esta se mantuvo la estructura

del tipo penal de “violación ilícita de comunicaciones”, se creó el bien jurídico de los

derechos de autor y se incorporaron algunas conductas relacionadas indirectamente con el

delito informático, tales como el ofrecimiento, venta o compra de instrumento apto para

interceptar la comunicación privada entre personas. Se tipificó el “Acceso abusivo a un

sistema informático”, así: “Art. 195. El que abusivamente se introduzca en un sistema

informático protegido con medida de seguridad o se mantenga contra la voluntad de quien

tiene derecho a excluirlo, incurrirá en multa.”

Ley 962 de 2005: Por la cual se dictan disposiciones sobre racionalización de trámites y

procedimientos administrativos de los organismos y entidades del Estado y de los

particulares que ejercen funciones públicas o prestan servicios públicos. Prevé incentivos
 7

por el uso de medios tecnológicos integrados para disminuir los tiempos y costos de

realización de los trámites por parte de los administrados.

Ley 1150 de 2007: Por medio de la cual se introducen medidas para la eficiencia y la

transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la

contratación con Recursos Públicos. Específicamente, se establece la posibilidad de que la

administración pública expida actos administrativos y documentos y haga notificaciones

por medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la

Contratación Pública, Secop.

Ley 1273 de 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo

bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y

se preservan integralmente los sistemas que utilicen las tecnologías de la información y las

comunicaciones, entre otras disposiciones.

Ley 1341 de 2009: Por la cual se definen principios y conceptos sobre la sociedad de la

información y la organización de las Tecnologías de la Información y las Comunicaciones

TIC, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones.

Resolución de la Comisión de Regulación de Comunicaciones 2258 de 2009:

Modifica los artículos 22 y 23 de la Resolución CRT 1732 de 2007 y los artículos 1.8 y 2.4

de la Resolución CRT 1740 de 2007, respecto de los recursos técnicos y logísticos

tendientes a garantizar la seguridad de la red de telecomunicaciones y la seguridad de los

datos e informaciones, con el fin de evitar la interceptación, interrupción, e interferencia del

mismo, los proveedores de redes y/o servicios de telecomunicaciones que ofrezcan acceso a

Internet deberán implementar modelos de seguridad, de acuerdo con las características y

 8

necesidades propias de su red que contribuyan a mejorar la seguridad de sus redes de

acceso.

Circular 052 de 2007 (Superintendencia Financiera de Colombia): Imparte

instrucciones relacionadas con los requerimientos mínimos de seguridad y calidad en el

manejo de información a través de medios y canales de distribución de productos y

servicios para clientes y usuarios.

4. Alcance

El Sistema de Gestión de Seguridad de la Información de la Universidad se aplica a todas

las peticiones de la organización, en cumplimiento de las disposiciones legales vigentes en

Colombia, con el objetivo de encargarse adecuadamente la seguridad de la información, los

sistemas informáticos y el ambiente tecnológico de la Universidad. Los lineamientos de

Seguridad de la Información contenidas en este documento, son mandatos generales, de

obligatorio cumplimiento por todos los funcionarios, contratistas, terceros, aprendices,

practicantes, docentes y estudiantes, que presten sus servicios a Universidad.

5. Generalidades

El avance tecnológico ha permitido a las organizaciones tener más y mejores maneras de

interconectarse, esto ha permitido un mayor aprovechamiento de los recursos de todo tipo

al tiempo que ha aumentado el alcance de los negocios convirtiéndose en una gran ventaja

competitiva.
 9

Sin embargo, algunos riesgos que se enfrentan han llevado a unas directrices que orientan

en el uso adecuado de estas destrezas tecnológicas y evitar el uso indebido de las mismas,

lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la

Universidad. Sin embargo, algunos riesgos que se enfrentan han llevado a unas directrices

que orientan en el uso adecuado de estas destrezas tecnológicas y evitar el uso indebido de

las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones

de la Universidad.

6. Definiciones

ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado

por ISO transcribiendo la segunda parte de BS 7799.

Backup: Una copia de seguridad, respaldo, copy backup, copia de respaldo, copia de

reserva (del inglés backup) en ciencias de la información e informática es una copia de los

datos originales que se realiza con el fin de disponer de un medio para recuperarlos en caso

de su pérdida.

Activo: Un activo es un bien que la Universidad posee y que puede convertirse en dinero u

otros medios líquidos equivalentes.

Amenaza: Violación potencial de la seguridad

Amenaza informática: La aparición de una situación potencial o actual donde un agente

tiene la capacidad de generar una agresión cibernética contra la población, el territorio y la

organización política del Estado. (Ministerio de Defensa de Colombia).

 10

Ataque cibernético: Acción organizada y/o premeditada de una o más personas para

causar daño o problemas a un sistema informático a través del ciberespacio. (Ministerio de

Defensa de Colombia).

Amenazas asociadas activos de información: son las que se presentan como efectos no

deseados contra la disponibilidad, confidencialidad e integridad de sus contenidos.

Ciberdelito / Delito Cibernético: Actividad delictiva o abusiva relacionada con los

ordenadores y las redes de comunicaciones, bien porque se utilice el ordenador como

herramienta del delito, bien porque sea el sistema informático (o sus datos) el objetivo del

delito. (Ministerio de Defensa de Colombia).

Confidencialidad: La propiedad por la que la información no está disponible o divulgada a

personas no autorizadas, entidades o procesos.

Disponibilidad: Es la propiedad de ser accesibles y utilizados bajo pedido por una entidad

autorizada. Incidente Informático: Cualquier evento adverso real o sospechado en relación

con la seguridad de sistemas de computación o redes de computación

Información: Activo que del mismo modo que otros importantes activos empresariales,

tiene valor para la organización y, por tanto, ha de ser protegido adecuadamente.

Integridad: La propiedad de la salvaguarda de la integridad de los activos. Completitud de

la información.

Sistema de gestión de seguridad de la información: Es la parte del sistema general de

gestión, basado en un enfoque de riesgo organizacional, para establecer, implementar,

operar, monitorizar, revisar, mantener y mejorar la seguridad de la información.

 11

TIC (Tecnologías de la Información y las Comunicaciones): Conjunto de recursos,

herramientas, Equipos, programas informáticos aplicaciones, redes y medios; que permiten

la compilación, Procesamiento, almacenamiento, transmisión de información como voz,

datos, texto, video e Imágenes. (Ley 1341/2009 TIC).

Tercero(s): Cualquier persona natural o jurídica en calidad de proveedor, outsourcing o

consultor.

7. Cumplimiento

Las personas mencionadas por el alcance deberán dar cumplimiento un 100% del manual.

Por lo anterior se establecen los lineamientos de seguridad que soportan el SGSI de LA

UNIVERSIDAD.

 Las responsabilidades frente a la seguridad de la información serán definidas,

compartidas, publicadas y aceptadas por cada uno de los funcionarios, contratistas,

terceros, aprendices, practicantes, docentes y estudiantes.

 La Universidad implementará control de acceso a la información, sistemas y

recursos de red.
 12

8. Política SGSI

1. Proteger la información recibida y generada por la CGN en sus procesos, mediante la

implementación de controles de conformidad con la norma NTCISO/IEC 27001:2013.

2. Velar por la protección de los activos informáticos de apoyo en los procesos misionales

3. Identificar y dar cumplimiento a los requisitos legales y regulatorios, así como a las

obligaciones contractuales de la Contaduría General de la

Nación.

4. Gestionar los riesgos de seguridad de la información de acuerdo con las directrices de la

entidad, con el fin de proteger la confidencialidad, integridad y disponibilidad de la

información.

5. Capacitar y sensibilizar al personal en temas relacionados con seguridad de la

información, buscando un aumento progresivo en la cultura de seguridad al interior de la

entidad, reflejado en el nivel de cumplimiento de políticas y procedimientos y, el reporte de

eventos e incidentes de seguridad.

 13

9. Políticas
 14

9.1 Precisión de las políticas

 15

9.2 Roles y responsabilidades

La universidad establecerá un responsable claro y de igual manera cada uno de los

miembros del equipo responsable entenderán claramente sus roles y responsabilidad y

cuanto al campo proveniente de tratamiento de datos de información, de tecnologías y

sistemas de información.

A) Ingeniero de sistemas de información: será encargado de manejar bases de

datos y tratamiento de información digital las cuales se encuentran alojadas en

la nube y en discos duros externos, de igual manera administra los correos

electrónicos de la universidad de usuarios administrativos, docentes y

estudiantes, con la facilidad de crear. Modificar, eliminar y consultar correos.

B) Ingeniero de infraestructura tecnológica: Sera encargado de administrar la

infraestructura de redes y cableado de la universidad, así como la configuración,

de dispositivos de conexión a internet, servidores de licencias, cableado físico

de red y planos, administra el dominio y directorio activo.

C) Técnico de soporte: Encargado de prestar el servicio de soporte a usuarios

administrativos, docentes y estudiantes, esto en cuanto a incidencias de

conexión a la red de la universidad, problemas de impresoras y soporte a

equipos de cómputo. Son los encargados de instalación de software para

Backup y conexión con el servidor y base de datos en la nube donde se alojan

las copias de seguridad, también es el encargado de crear copias de seguridad de

manera manual.
 16

9.3 Separación de deberes

En la separación de deberes, la parte administrativa puede ver la información que este

protegida o no pueda ser vista por cualquier persona, esta información tiene un punto medio

de confidencialidad media.

En la información de alta confidencialidad solo tendrá acceso a ver, modificar y eliminar

datos, desde la parte principal de la empresa, decanos. Rectores, coordinadores etc…

Departamento de TIC tiene el deber de manipular y manejar bases de datos digitales,

licencias de software y tratamiento de datos digitales junto con el departamento de gestión

documental.

9.4 Contacto con autoridades y / o grupos de interés

La información que se debe entregar a las autoridades o grupo de interés, será basado

dependiendo de la información que soliciten,

No se debe dar información como bases de datos o información que este sumamente

clasificada. En cuanto a la universidad, en caso de incidentes relacionados a la perdida de

información se recomienda tener comunicación con fuerzas y cuerpos de seguridad del

estado como son:

• Policía Nacional de Colombia

• Fiscalía General de la Nación

• CTI

• DAS
 17

Estos cuerpos de seguridad del estado son necesarios cuando los incidentes contra la

seguridad de la información provienen de una fuente externa como Internet y resulte útil o

necesario que varias autoridades y proveedores deban ser llamados a la acción para desviar,

suprimir o mitigar la amenaza.

9.5 Seguridad información gestión de proyectos

Este control pretende decirnos que la Seguridad de la Información debe involucrarse en

todos los procesos de la organización ya sean procesos del Negocio, procesos internos,

Servicios o productos, Procesos TI etc… cuando un proyecto se aborda en la Universidad,

es necesario tener en cuenta la seguridad de la información. Por consiguiente, este requisito

se debe afrontar con:

• Evaluación de riesgos centrada en la seguridad de la información

• Identificación de amenazas, vulnerabilidades y riesgos asociados al proyecto.

• La seguridad de la información debe abordarse en la gestión de proyectos,

independientemente del tipo de proyecto.

 18

9.6 Políticas de dispositivos móviles

Todas las solicitudes para conectar equipos de cómputo a la red del FCE deberán de ser

revisadas por la Gerencia de Tecnología, para garantizar que se cumplan los requisitos de

seguridad establecidos.

En las políticas de dispositivos móviles los administradores, usuarios y cualquier miembro

de esta empresa tendrán derecho a ingresar a una red de internet, pero cada uno de estos

grupos tendrá una conexión distinta, los administradores tendrá una conexión a una red

donde tendrá excluido ingresar a páginas que no tengan que ver con el cumplimiento de su

trabajo, los usuarios o cualquier miembro diferente, tendrá acceso a una red diferente,

también se le excluirá alguna páginas que no tengas que ver con el uso adecuado que

necesiten en el momento .

9.7 Capacitación y entrenamientos

Las capacitaciones se harán para mejorar las actividades de la empresa, se harán

capacitaciones cada 3 meses con el fin de tener más conocimiento en los procesos de la

empresa, las capacitaciones se harán por profesionales que estén encargados en cada tema.

Los entrenamientos se harán cada 2 meses, con el fin de tener mejor conocimiento y

mejoren las actividades de la empresa, se harán con personas que están capacitadas para

estas actividades.
 19

9.8 Procesos disciplinarios

La empresa puede sancionar disciplinariamente a los trabajadores que incumplan con los

deberes generales, obligaciones y prohibiciones especiales que para ellos estén

contemplados en la ley, Se realiza en conjunto con el trabajador y la empresa, el cual tiene

como finalidad mantener un principio de orden al interior de la organización al ejercer la

facultad disciplinaria cuando existen indicios de la ocurrencia de una falta. Si llevado a

cabo este proceso se evidencia la ocurrencia de una falta, el empleador tiene la facultad de

imponer la sanción respectiva de acuerdo a la escala de faltas.

9.9 Intercambio de información

EL intercambio de información se divide entre la parte administrativa y educativa, La

información que poseen los administrativos solo puede ser intercambiada por ellos mismos,

por la parte educativa/académica el intercambio de información se podría hacer a través de

plataformas para que los estudiantes puedan hacer el intercambio de información necesaria.

9.10 Gestión de activos

Con el protocolo de gestión de activos se logra integrar una planificación integral referente

a ISO 27001 donde podemos categorizar los elementos para la construcción de un

inventario organizado agrupados de esta manera:

a) Hardware: Equipos de cómputo, ordenadores portátiles, impresoras, tabletas,

servidores, teléfonos móviles, dispositivos extraíbles USB, discos externos…

 20

b) Software: software contratado por la organización, pero también a las aplicaciones

preinstaladas en los equipos de cómputo e incluso a aplicaciones o desarrollos

gratuitos.

c) Información: bases de datos, archivos en cualquier formato, sea de texto, imagen,

hoja de cálculo, información almacenada en medios digitales, pero también

plasmada en papel u otras formas no digitales.

d) Infraestructura: instalaciones físicas, servicio de electricidad, aire

acondicionado…

e) Recursos Humanos: las personas que tienen la capacidad y los permisos necesarios

para modificar la información, pero también aquellos que almacenan información

vital para la organización en sus cerebros.

f) Servicios subcontratados: legales, de limpieza, proveedores de Internet, de cuentas

de correo electrónico, de mantenimiento y actualización…

Esta gestión se guía de la mano del departamento de adquisiciones y suministros para

etiquetar cada activo con un número interno para la empresa, este número de activo consta

de 5 dígitos.

9.11 Inventarios

La universidad es propietaria de todos los activos de información, por ende, estos activos se

encuentran registrados en una base de datos creada y administrada por TIC y manipulada

por el área de adquisiciones y suministros.

 21

El uso de estos activos debe ser empleado únicamente para propósitos institucionales estos

activos serán gestionados únicamente por funcionarios administradores de la universidad y

personal técnico capacitado.

 22

9.12 Asignación de activos

La clasificación de activos de activos de información se debe realizar acorde con el

alcance definido para la implementación del MSPI (es decir a los procesos en los

que se implementara seguridad de la información) la gestión de activos debe estar

alineada con el Dominio 8 Gestión de Activos del anexo A de la norma ISO

27001:2013, y la guía de controles del modelo de seguridad y privacidad de la

información, para garantizar el cumplimiento de los puntos descritos a continuación:

Inventario de activos: Se deben identificar los activos asociados con la información

y las instalaciones de procesamiento de información, y se debería elaborar y

mantener un inventario de estos activos.

Propiedad de los activos: Los activos mantenidos en el inventario deberían tener un

propietario.

Uso aceptable de los activos: Se deberían identificar, documentar e implementar

reglas para el uso aceptable de información y de activos asociados con información

e instalaciones de procesamiento de información.

Devolución de activos: Todos los empleados y usuarios de partes externas deberían

devolver todos los activos de la organización que se encuentren a su cargo, al

terminar su empleo, contrato o acuerdo.

Clasificación de la información: La información se debería clasificar en función de

 23

los requisitos legales, valor, criticidad y susceptibilidad a divulgación o a

modificación no autorizada.

Etiquetado de la información: Se debería desarrollar e implementar un conjunto

adecuado de procedimientos para el etiquetado de la información, de acuerdo con

el esquema de clasificación de información adoptado por la organización.

Manejo de activos: Se deberían desarrollar e implementar procedimientos para el

manejo de activos, de acuerdo con el esquema de clasificación de información

adoptado por la organización.

9.13 Uso aceptado de activos

 24

9.14 Gestión de medios removibles

 25

9.15 Disposición de medios

 26

9.16 Gestión de acceso a usuario

 27

9.17 Políticas de acceso a los recursos de información

 28

9.18 Política de uso de recursos de la información

Bajo ninguna circunstancia el personal de la UNIVERSIDAD está autorizados para realizar

actividades consideradas ilegales utilizando recursos del Fondo para este fin. Las siguientes

actividades están estrictamente prohibidas, sin excepción.

Violar los derechos de cualquier persona u organización protegidos por leyes de derechos

de autor, patentes u otras regulaciones de propiedad intelectual, Incluyendo, pero no

limitándose a, la instalación o distribución de software “pirata”, u otros productos de

software que no se encuentren licenciados para ser usados por la UNIVERSIDAD.

• Distribuir copias no autorizadas de material protegido por derechos de autor o propiedad

intelectual utilizando recursos de cómputo y red de la UNIVERSIDAD. Área responsable:

Gerencia de Tecnología Liberación: 30.06.09 Número de documento: Revisión: 00 Páginas:

5/36 Tipo de documento: Políticas de uso de Recursos y Seguridad Informática Nivel: X

Para uso interno Exclusivamente Políticas de uso de Recursos y Seguridad Informática

• Distribuir programas maliciosos en las redes o equipos (por ejemplo, virus, gusanos,

troyanos, etc.).

• Revelar la contraseña que salvaguarda las cuentas propias o de terceros de la

UNIVERSIDAD, bajo ninguna circunstancia.

• Usar los recursos de tecnologías de información de la UNIVERIDAD para fomentar,

procurar o transmitir material que se pueda considerar hostil para la dignidad de las

personas.

• Llevar a cabo fraude ofreciendo productos o servicios explotando el nombre de la

UNIVERSIDAD.
 29

• Ejecutar herramientas de barrido de puertos o de vulnerabilidades en la red del Fondo se

encuentra expresamente prohibido a menos que exista una autorización expresa por la

Gerencia de Tecnología.

• Ejecutar cualquier forma de monitoreo de red que implique la intersección de datos, a

menos que estas actividades se encuentren autorizadas formalmente por la Gerencia de

Tecnología.

• Interferir los servicios de la red o los sistemas para evitar que sean utilizados por el

personal del Fondo (por ejemplo, ataques de negación de servicios).

• Usar cualquier tipo de programa, comando, script o enviar mensajes de cualquier tipo, con

la intensión de interferir, deshabilitar los equipos de cómputo o comunicaciones, a través de

cualquier vía, localmente o a través de la red.

• Proveer información acerca de, o listas de empleados de la UNIVERSIDAD a entidades

ajenas a la operación del Fondo.

9.19 Política de uso de correo electrónico

La universidad debe ofrecer un servicio de mensajería y correo electrónico tanto para

docentes y administrativos, como para los estudiantes, en el cual se permitirá el intercambio

de mensajes y de información de una manera segura y factible siendo este medio la manera

de comunicar y transmitir archivos e información interna e institucional.

 Se prohíbe el uso de correos personales para ser utilizado como medio para

compartir información interna e institucional.

 30

 Se prohíbe el envío masivo de correos a estudiantes docentes y administrativos, para

hacerlo, se debe solicitar permio al área de Tecnologías de la información y las

comunicaciones de manera personal, o por medio de los diferentes correos que se

manejan dentro de esta área.

 Para él envió de archivos de gran tamaño por medio de correos electrónicos se

podrá realizar por medio de Google drive para evitar congestión en los servidores y

el internet dentro de la empresa.

 Se realizará una copia de respaldo a las cuentas de correos que serán eliminadas

para mayor seguridad y para evitar perdida de información a corto, mediano y largo

plazo.

9.20 Elección de contraseñas

El Área de Tecnologías de la información y las comunicaciones tiene el deber de informar a

los usuarios que utilizan contraseñas de cualquier índole, la buena práctica de seguridad en

la elección de contraseñas para el uso y la protección de credenciales de acceso, es de total

responsabilidad del usuario la utilización y la confidencialidad de las contraseñas.

 Se requiere utilizar contraseñas que contengan letras mayúsculas y minúsculas,

números y caracteres alfa numéricos. Estas deben constar mínimo de 8 caracteres.

 Se recomienda efectuar cambio de contraseñas pasados 6 meses, de igual manera,

cumplido este tiempo se desactivará el acceso a equipos o correos y se solicitará

cambiar la contraseña para seguir continuando con los servicios.

 31

 Para acceso al correo la contraseña por defecto será: “Abdocumento” en el primer

acceso se solicitará de manera obligatoria el cambio de contraseña.

 Se prohíbe la difusión de sus contraseñas a cualquier persona incluyendo personal

administrativo, de igual manera es prohibido guardar contraseñas en papeles,

documentos digitales o dispositivos extraíbles.

 Las cuentas de usuario y contraseña de administradores son de uso personal e

intransferible. El personal del grupo de las TIC debe emplear obligatoriamente

contraseñas con un alto nivel de complejidad de acuerdo con el rol asignado.

9.21 Protección de contraseñas

 Se deben utilizar al menos 8 caracteres para crear la clave. Según un estudio de

la Universidad de Wichita, el número medio de caracteres por contraseña para

usuarios entre 18 y 58 años habituales de Internet es de 7. Esto conlleva el

peligro de que el tiempo para descubrir la clave se vea reducido a minutos o

incluso segundos. Sólo un 36% de los encuestados indicaron que utilizaban un

número de caracteres de 7 o superior.

 Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres

especiales.

 Es recomendable que las letras alternen aleatoriamente mayúsculas y

minúsculas. Hay que tener presente el recordar qué letras van en mayúscula y

cuáles en minúscula. Según el mismo estudio, el 86% de los usuarios utilizan

 32

sólo letras Instituto Nacional de Tecnologías de la Comunicación Política de

contraseñas y seguridad de la información Página 5 de 7 Observatorio de la

Seguridad de la Información minúsculas, con el peligro de que la contraseña sea

descubierta por un atacante casi instantáneamente.

 Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda

escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.

 Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los

usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello

cada cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales

de cambio. Por ejemplo, crear una nueva contraseña mediante un incremento

secuencial del valor en relación a la última contraseña. P. ej.: pasar de

“01Juitnx” a “02Juitnx”.

 Utilizar signos de puntuación si el sistema lo permite. P. ej.: “Tr-.3Fre”. En este

caso de incluir otros caracteres que no sean alfa-numéricos en la contraseña, hay

que comprobar primero si el sistema permite dicha elección y cuáles son los

permitidos. Dentro de ese consejo se incluiría utilizar símbolos como: ! " # $ %

&'()*+,-./:;<=>?@[\]^_`{|}~

 Existen algunos trucos para plantear una contraseña que no sea débil y se pueda

recordar más fácilmente. Por ejemplo, se pueden elegir palabras sin sentido pero

que sean pronunciables, etc. Nos podemos ayudar combinando esta selección

con números o letras e introducir alguna letra mayúscula. Otro método sencillo

de creación de contraseñas consiste en elegir la primera letra de cada una de las

palabras que componen una frase conocida, de una canción, película, etc. Con
 33

ello, mediante esta sencilla mnemotecnia es más sencillo recordarla. Vg: de la

frase “Comí mucho chocolate el domingo 3, por la tarde”, resultaría la

contraseña: “cmCeD3-:xLt”. En ella, además, se ha introducido alguna

mayúscula, se ha cambiado el “por” en una “x” y, si el sistema lo permite, se ha

colocado algún signo de puntuación (-)

 Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o

servicios. Por ejemplo, si se utilizan varias cuentas de correo, se debe recurrir a

contraseñas distintas para cada una de las cuentas. Un 55% de los usuarios

indican que utilizan siempre o casi siempre la misma contraseña para múltiples

sistemas, y un 33% utilizan una variación de la misma contraseña.

 No utilizar información personal en la contraseña: nombre del usuario o de sus

familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en

ninguna ocasión utilizar datos como el DNI o número de teléfono. Instituto

Nacional de Tecnologías de la Comunicación Política de contraseñas y

seguridad de la información Página 6 de 7 Observatorio de la Seguridad de la

Información

 Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”,

“asdf” o las típicas en numeración: “1234” ó “98765”)

 No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).

 Hay que evitar también utilizar solamente números, letras mayúsculas o

minúsculas en la contraseña.

 No se debe utilizar como contraseña, ni contener, el nombre de usuario

asociado a la contraseña.
 34

 No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o

derivados de estos. (ejemplo: no poner como contraseña apodos, el nombre del

actor o de un personaje de ficción preferido, etc.).

 No escribir ni reflejar la contraseña en un papel o documento donde quede

constancia de la misma. Tampoco se deben guardar en documentos de texto

dentro del propio ordenador o dispositivo (ej: no guardar las contraseñas de las

tarjetas de débito/crédito en el móvil o las contraseñas de los correos en

documentos de texto dentro del ordenador),

 No se deben utilizar palabras que se contengan en diccionarios en ningún

idioma. Hoy en día existen programas de ruptura de claves que basan su ataque

en probar una a una las palabras que extraen de diccionarios: Este método de

ataque es conocido como “ataque por diccionario”.

 No enviar nunca la contraseña por correo electrónico o en un SMS. Tampoco se

debe facilitar ni mencionar en una conversación o comunicación de cualquier

tipo.

 Si se trata de una contraseña para acceder a un sistema delicado hay que

procurar limitar el número de intentos de acceso, como sucede en una tarjeta de

crédito y cajeros, y que el sistema se bloquee si se excede el número de intentos

fallidos permitidos. En este caso debe existir un sistema de recarga de la

contraseña o “vuelta atrás”.

 No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos

explicativos de construcción de contraseñas robustas. 13. No escribir las

contraseñas en ordenadores de los que se desconozca su nivel de seguridad y

 35

puedan estar monitorizados, o en ordenadores de uso público (bibliotecas,

cibercafés, telecentros, etc.). Cambiar las contraseñas por defecto

proporcionadas por desarrolladores/fabricantes.

9.22 Áreas seguras

La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser

utilizadas para proteger físicamente los recursos y la información de la organización. Los

recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios

con los cuales los empleados interactúan, en general los activos asociados al mantenimiento

y procesamiento de la información, como por ejemplo activos de información, activos de

software y activos físicos.

Se entiende por área donde se procesa la información los siguientes:

 Centros de Procesamiento normales o de emergencia Áreas con servidores, ya sean

de procesamiento o dispositivos de comunicación Áreas donde se almacenen

formas continuas, membretadas, facturas sean propias de la UNIVERSIDAD o

procedentes de clientes o de otras de áreas.

 Áreas donde se encuentren concentrados dispositivos de información

 Áreas donde se almacenen y guarden elementos de respaldo datos (CD, Discos

Duros, Cintas etc.) Áreas donde se deposite salidas de impresoras o fax.

 El sitio escogido para colocar los sistemas de información, equipos de cómputo y

comunicaciones, deben estar protegidos por barreras y controles físicos, para evitar
 36

intrusión física, inundaciones, y otro tipo de amenazas que afecten su normal

operación.

Recomendaciones y controles adicionales.

 El tamaño del área será determinado por la cantidad de hardware necesitado para el

procesamiento y almacenamiento de la información. Los requerimientos de tipo

ambiental deben ser especificados por los diferentes fabricantes de los equipos.

 Las medidas de seguridad que se deban tomar, dependerán directamente del valor

de los activos de información, su nivel de confidencialidad, y los valores requeridos

de disponibilidad. Aspectos de la seguridad de la información a ser considerados

cuando se implementan estas políticas son:

 El perímetro de seguridad debe ser claramente definido.

 El sitio donde se ubiquen los recursos informáticos debe ser físicamente sólido, y

protegido de accesos no autorizados factores naturales, usando mecanismos de

control, barreras físicas, alarmas, barras metálicas etc.

 Debe existir un área de recepción que solo permita la entrada de personal

autorizado. Todas las salidas de emergencia en el perímetro de seguridad deben

tener alarmas sonoras y cierre automático.

CONTROL DE ACCESO FISICO A AREAS SEGURAS

 Todos los sitios en donde se encuentren sistemas de procesamiento informático o

de almacenamiento, deben ser protegidos de accesos no autorizados, utilizando

tecnologías de autenticación, monitoreo y registro de entradas y salidas.

Comentario interno
 37

 Se recomienda además tener separados físicamente la operación de terceros con las

propias, en caso de existir actividades de terceros en LA UNIVERSIDAD se deben

establecer controles por la persona responsable en LA UNIVERSODAD del

Outsourcing.

 Recomendaciones y controles Adicionales Debido al posible robo, vandalismo y

uso no autorizado de los sistemas de información, se debe considerar restringir el

acceso de personas a las áreas consideradas seguras, según lo definido por LA

UNIVERSIDAD.

 Todo sistema de control de acceso debe considerar diferentes categorías de

personal: LA UNIVERSIDAD 1) Operadores y usuarios que trabajan regularmente

en las áreas seguras. 2) Personal de soporte que requiera acceso periódico. 3) Otros,

que requieran acceder muy rara vez

USO DE MAQUINAS FAX O MODEMS

 La información sensitiva o confidencial solo puede ser enviada vía Fax o Módems

cuando no existan otros medios que confieran una mejor seguridad, ambos el dueño

y el receptor deben autorizar la transmisión de antemano.

 Esta política considera las amenazas asociadas con el uso de máquinas de fax. El

riesgo proviene principalmente de la relativa inseguridad del medio, dado que

información confidencial puede ser revelada a personas no autorizadas.

USO DE IMPRESORAS

 La información clasificada como altamente confidencial no debe ser nunca enviada

a una impresora de la red, sin que exista una persona autorizada para cuidarla
 38

durante y después de la impresión. La variedad de la información que se envía a las

impresoras puede alternar entre información pública e información confidencial,

dado que información confidencial puede ser revelada a personas no autorizadas.

PRESENCIA DE EXTRAÑOS EN LAS INSTALACIONES

 Todos los empleados deben estar vigilantes a la presencia de personas extrañas sin

identificación visible dentro de las instalaciones de LA UNIVERSIDAD y en ese

caso reportar inmediatamente a seguridad.

Entre los controles adicionales tenemos:

 Todos los visitantes o extraños deben ser acompañados durante su estadía en LA

UNIVERSIDAD, debido a la existencia de información confidencial o hurto.

Equipos como videograbadoras, cámaras fotográficas, grabadoras, sniffers,

analizadores de datos, (ej: hardware especial) etc, no debe ser permitidos su uso

dentro de las instalaciones de LA UNIVERSIDAD a menos que exista una

autorización formal por el oficial de seguridad o personal de seguridad del edificio.

9.23 Áreas de entrega y carga

La universidad cuenta con un servicio de transporte el cual permite transportar información

física y digital, activos y elementos tecnológicos

 39

 Para utilizar el servicio transporte de estos a otras sedes se debe solicitar la

autorización por parte del departamento de adquisiciones y suministros por medio

de un correo electrónico

 Se debe llenar un acta de traslado de activos en caso de que sean elementos

tecnológicos y se debe llenar un acta de salida de la sede e ingreso a la sede de

destino.

 Debe estar avalado por el director del área de tecnologías de información y

comunicaciones por continuar con el procedimiento.

 La carga y descarga de materiales en la UNIVERSIDAD requerirá de un primer

control (inspección rigurosa por seguridad) en recepción y luego de su respectiva

autorización para ingresar, se entregará en el sitio respectivo.

 También debe ser cuidadosamente controlado su ingreso, y aislado de los centros de

procesamiento de información. Los siguientes controles deben ser considerados:

 Todo elemento que ingrese a la UNIVERSIDAD, debe ser inspeccionado por la

compañía de seguridad rigurosamente con el fin de identificar material peligroso y

que coincida con su respetiva autorización de ingreso.

 Las áreas de descargue deben estar debidamente identificadas para evitar el acceso

a las instalaciones por parte de terceros.

 Los materiales que deban entrar a la UNIVERSIDAD deben ser inspeccionados

debidamente en la zona de descargue, para evitar la entrada de elementos peligrosos

a las áreas internas.

 El material entrante o saliente debe ser registrado, con el fin de mantener el listado

de inventario actualizado.
 40

9.24 Ubicación y protección de equipos

En lo referente a la ubicación de computadores y hardware en general, se debe tener

especial cuidado contra fallas del sistema de control del medio ambiente, y otras amenazas

que puedan afectar la normal operación del sistema. Aspectos de la seguridad de la

información a ser considerados cuando se implementan estas políticas son:

 Fallas en el control de la temperatura o humedad pueden afectar la operación del

negocio, así que, se debe tener un estricto monitoreo sobre estas variables.

 Se deben adoptar o mantener al día, controles para minimizar el riesgo potencial

de: o Robo de la UNIVERSIDAD

 Todos los visitantes o terceras personas, que ingresen a un área de procesamiento

deberán poseer una identificación a la vista que claramente los identifique como

tal, y por ninguna razón se debe tener material explosivo dentro, o en sitio cercano

a áreas definidas como seguras por SISTESEG. (Por ejemplo, químicos especiales,

pólvora o gases explosivos).

 En todos los centros de procesamiento, sin excepción, deberán existir detectores de

calor y humo, instalados en forma adecuada y en número suficiente como para

detectar el más mínimo indicio de incendio o Inundación o falta de suministro.

 Los detectores deberán ser probados de acuerdo a las recomendaciones del

fabricante o al menos una vez cada 6 meses (¿cuánto tiempo se recomienda?) y

estas pruebas deberán estar previstas en los procedimientos de mantenimiento y de

control del Manual de Seguridad Física.

 41

 Se deben tener extintores de incendios debidamente probados, y con capacidad de

detener fuego generado por equipo eléctrico, papel o químicos especiales.

 Las salas de procesamiento de la información deberán estar ubicadas en pisos a una

altura superior al nivel de la calle a fin de evitar inundaciones.

 Las cañerías de desagüe de dichas salas y ubicadas en el piso, deberán poseer

válvulas de retención de líquidos en flujo inverso a fin de que no sirvan como

bocas de inundación ante sobre-flujos o Interferencia Eléctrica y/o Radiación

electromagnética.

 El cableado de la red debe ser protegido de interferencias por ejemplo usando

canaletas que lo protejan.

 Los cables de potencia deben estar separados de los de comunicaciones, siguiendo

las normas técnicas.

 Las áreas en donde se tenga equipos de procesamiento de información, no se

permitirá fumar, tomar ningún tipo de bebidas o consumir alimento.

 El uso de elementos adicionales de protección (Contra Polvo o radiación) para los

equipos informáticos debe ser considerado en ambientes de tipo industrial.

 Los equipos deben ser protegidos de fallas de potencia u otras anomalías de tipo

eléctrico.

 Los sistemas de abastecimiento de potencia deben cumplir con las especificaciones

de los fabricantes de los equipos.

 42

9.25 Servicio de suministro

 43

9.26 Seguridad de cableado

La seguridad de cableado que tiene la empresa es basada en la norma de cableado

estructurado ANSI/TIA/EIA-568-B

"Esta norma específica un sistema de cableado de telecomunicaciones genérico para

edificios comerciales que soportará un ambiente multiproducto y multifabricante. También

proporciona directivas para el diseño de productos de telecomunicaciones para empresas

comerciales.

 El cableado horizontal tiene una topología estrella.

 Cada toma/conector de telecomunicaciones del área de trabajo está conectado a una

interconexión en el cuarto de telecomunicaciones.

 El cableado horizontal de una oficina termina en el cuarto de telecomunicaciones

ubicado en el mismo piso del área de trabajo servida.

 El cableado horizontal no debe contener más de un punto de transición entre cable

horizontal y cable 5 plano.

 No se permiten empalmes de ningún tipo en el cableado horizontal.

 Con combinaciones de alambre de cobre (pares trenzados sin blindar UTP), cables

de fibra óptica bloques de conexión, cables terminados en diferentes tipos de

conectores y adaptadores.

 Cable UTP de 100 ohm, categoría 6 con el beneficio de redes de alta velocidad

hasta 1Gbps (Equipos)

 Conectores RJ-45

 No se permiten puentes, derivaciones o empalmes a lo largo de todo el trayecto del

cableado
 44

 Se debe considerar su proximidad con el cableado eléctrico que genera altos niveles

de interferencia electromagnética (motores, elevadores, transformadores etc.) y

cuyas limitaciones se encuentran en el estándar ANSI/EIA/TIA 569

 La máxima longitud permitida independientemente del tipo de medio de TX

utilizado es 100 metros = 90 m + 3m usuario + 7 m patch panel.

9.27 Mantenimiento de equipos

Para los mantenimientos de equipos, ya sea de cómputo o de servidores y dispositivos de

red o cableado, se debe implementar un cronograma para la realización de los

mantenimientos el cual se asignará fecha y hora para iniciar el mantenimiento al respectivo

equipo. Se debe informar al usuario con mínimo dos días de anticipación solicitando el

acceso al equipo, de igual manera se le informara al usuario el tiempo que se tardara el

mantenimiento.

Se realizará mantenimiento preventivo a todos los equipos, (Físico / Lógico) y en tal caso

de que se requiera mantenimiento correctivo.

Se llenará un informe Checklist informando en qué estado se encontraba el equipo antes y

que procedimiento se realza luego.

 45

9.28 Política de monitoreo y evaluación de cumplimiento

Realizar el seguimiento a los planes, programas o proyectos, observando y analizando su

ejecución, para medir su avance en términos del logro de sus objetivos. Haciendo

referencia, así, al monitorear.

Medir el cumplimiento de los objetivos y las metas alcanzadas para un plan, programa o

proyecto, ponderando su eficiencia y determinando sus impactos sobre la transformación de

las condiciones iniciales. Haciendo referencia, así, al evaluar.

Bajo este enfoque, la evaluación apunta a:

 Verificar el cumplimiento de objetivos, frente a unos estándares esperados;

 Explorar y analizar los impactos y efectos no esperados, tanto positivos como

negativos;

 Describir, diagnosticar y explicar el proceso o gestión del plan, programa o

proyecto

 Una permanente observación y un registro continúo de la ejecución del proyecto.

 La comparación de los datos y el conocimiento, obtenidos de la observación y el

registro, con lo planificado.

 El análisis y valoración de los resultados de dicha comparación.

 La revisión del plan inicial y/o la adopción de medidas de ajuste.

La documentación precisa, específica y oportuna y su suministro, dentro y fuera del

proyecto.
 46

9.29 Políticas de cumplimiento y requerimientos legales

 47

9.30 Políticas de gestión de incidentes de seguridad

 48

9.31 Políticas de pantalla despejada y / o políticas de escritorio limpio

Prevenir el acceso no autorizado, pérdida y/o daño de la información que se encuentra en

los puestos de trabajo, equipos de cómputo, medios extraíbles, dispositivos de impresión y

digitalización de documentos, durante y fuera del horario laboral, mediante lineamientos

establecidos para que sean aplicados por los funcionarios y contratistas.

 Al levantarse del puesto de trabajo y al finalizar la jornada laboral, los escritorios deben

permanecer despejados y libres de documentos físicos y/o medios extraíbles que contengan

información pública clasificada o pública reservada, éstos deben guardarse en un lugar

seguro y bajo llave. Los documentos y/o medios extraíbles con información pública

también deben guardarse para evitar la pérdida de esta información.

 Los puestos de trabajo deben permanecer limpios y ordenados

 Cuando se imprima o digitalice documentos con información pública clasificada o

pública reservada, éstos deben retirarse inmediatamente de dichos dispositivos.

 Los dispositivos de impresión y digitalización deben permanecer limpios de documentos.

 Los gabinetes, cajones y archivadores de contengan documentos y/o medios extraíbles

con información pública, pública clasificada o pública reservada deben quedar cerrados

durante la hora de almuerzo y al finalizar la jornada laboral.

 La pantalla del computador (escritorio) no debe contener ningún tipo de archivo, salvo los

accesos directos a las aplicaciones necesarias para que los funcionarios o contratistas

ejerzan sus funciones o cumplan sus obligaciones contractuales, según el caso.

 49

 Los documentos electrónicos que producen los funcionarios o contratistas en el ejercicio

de sus funciones o en el cumplimiento de sus obligaciones contractuales, según el caso,

deben guardarse en la carpeta de almacenamiento en red dispuesta por la entidad.

 Al levantarse del puesto de trabajo, se debe bloquear la sesión de los equipos de cómputo

mediante las teclas Windows + L para proteger el acceso a las aplicaciones y servicios de la

entidad.

 El área de infraestructura de la Oficina TIC, implementa el bloqueo automático de la

sesión de usuario mediante el directorio activo al transcurrir 5 minutos de inactividad en el

equipo de cómputo.

 Todos los equipos de cómputo y dispositivos de impresión y digitalización deben

apagarse cuando no estén en uso.

9.32 Política de respaldo de datos

Únicamente el personal de TIC es responsable de la información suministrada en este

documento. En el momento que surja alguna contingencia debe realizarse la recuperación

de los datos. En la Seccional Tunja el administrador de la NAS, deberá dar cumplimiento al

procedimiento para la recuperación de los datos estructurados (servidores) y los datos no

estructurados (equipos de cómputo de los usuarios).

 50

9.33 Política de acceso físico

Las políticas de control de acceso físico se refieren a la autorización de las personas para

acceder a las instalaciones o sistemas que contienen información. La implementación de

una política de control de acceso físico ayuda a prevenir el robo y la divulgación no

autorizada de información y mantiene otros problemas de suceder.

El personal de la UNIVERSIDAD con acceso a áreas seguras es responsable de controlar

los accesos a las áreas seguras, realizar el acompañamiento de los visitantes y revisión de

las actividades que realizan en dichas áreas.

Personal de Tecnología de la información/ infraestructura/ administración de red/

portería es responsable por el registro y acompañamiento de los visitantes y revisión de las

actividades que realizan en el centro de datos.

Políticas relacionadas

Política de Gestión de usuarios de acceso privilegiado

 La UNIVERSIDAD debe contar con un proceso formal para gestionar los accesos a

las áreas seguras de que contemple también la revisión periódica de los mismos.

 El acceso a áreas seguras se deberá conceder únicamente por motivos específicos y

autorizados.
 51

 Los accesos de tipo permanente deben ser asignados por el responsable de accesos a

aquel personal que así lo requiera en base a requisitos basados en su función dentro

de

 Los accesos de tipo temporal, por ejemplo, para el caso de proveedores externos y

contratistas, deben ser solicitados al responsable de accesos y autorizados por el

responsable de seguridad de la información y se debe proveer al menos la siguiente

información: nombre, apellido, documento de identidad, empresa, fecha de inicio de

acceso temporal, fecha fin de acceso temporal, motivo.

 Los visitantes temporales que requieran acceso a áreas seguras o centros de datos

deberán permanecer acompañados de personal con permisos de acceso y portar una

identificación visible.

 En el caso del centro de datos, se debe registrar la visita en una bitácora de ingresos

a éste que deberá contener al menos la siguiente información: fecha, nombre,

apellido, cédula de identidad, empresa, hora de entrada, hora de salida, nombre y

apellido del empleado que lo acompaña.

En relación con el acceso al centro de datos, se deberá cumplir con lo establecido a

continuación.

 El acceso al centro de datos deberá realizarse mediante un sistema autónomo de

control de acceso, con lectores de tarjetas magnéticas, identificación por

radiofrecuencia (RFID) o sistemas biométricos.

 52

 El sistema de control de acceso debe ser administrado remotamente y debe

mantener información histórica de accesos al centro de datos.

 Se debe contar con un sistema cerrado de TV o equivalente.

Revisión de accesos al centro de datos

 Se debe establecer un procedimiento formal de revisión periódica de los accesos al

centro de datos que contemple la información del sistema de control de acceso, el

registro de ingresos al centro de datos, el personal con acceso permanente y con

acceso temporal.

Medidas de seguridad interna

 Se prohíbe el ingreso al centro de datos con material combustible, líquidos,

productos volátiles, y todo producto o sustancia que pudiera ocasionar una reacción

química perjudicial para la infraestructura del centro de datos

 Los pasillos de circulación interna deben mantenerse despejados de todo objeto.

 53

MATRIZ DE RIESGO

PROBABILIDAD
IMPACT
DE RIESGO
O
  OCURRENCIA
       
1.1 Terremoto      
1.1.1 Área
Administrativa 1 5 5
1.1.2 Área
Académica 1 1 1
1. DESASTRES NATURALES 1.2 Tormentas
Electicas      
1.2.1 Área
Administrativas 2 5 10
1.2.2 Área
Académica 2 5 10
       
2.1 Conexiones
Eléctricas      
2.1.1 Área
Administrativas 3 3 9
2.1.2 Área
Académica 3 1 3
2.2 Accidental      
2.2.1 Área
2. FUEGO
Administrativas 3 3 9
2.2.2 Área
Académica 3 1 3
2.3 Intencional      
2.3.1 Área
Administrativas 2 3 6
2.3.2 Área
Académica 2 3 6
3.ROBO      
ROBOS DE
EQUIPOS DE
COMPUTO 5 5 25
ROBOS DE
EQUIPO DE RED 5 5 25
ROBO DE 3 1 3
INFORMACION
 54

       
       
EXCESO DE
LLUVIAS 5 4 20
4.INUNDACIONES DESBORDE DE
RIOS Y LAGOS 1 2 2
HURACANES 1 1 1
       
       
SOBORNO 4 4 16
ROBO DE
5.EL PERSONAL
INFORMACION 5 4 20
DESCUIDO 2 2 4
       
       
ROBO 4 4 16
DESCUIDO 3 2 6
6. PERDIDA DE INFORMACION MAL
PROCEDIMIENT
O 4 5 20
ERROR DE
SISTEMA 2 2 4