Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ENFASIS LL
ENFASIS LL
CREAD BOYACÁ
CENTRO TUTORIAL TUNJA
AUDITORÍA DE SISTEMAS
Línea de énfasis II
2020
2
2020
Tabla de contenido
1. Introducción...................................................................................................................3
2. Propósito.........................................................................................................................4
3. Referencias normativas.................................................................................................5
4. Alcance............................................................................................................................6
5. Generalidades.................................................................................................................7
6. Definiciones....................................................................................................................8
7. Cumplimiento.................................................................................................................9
8. Política SGSI................................................................................................................10
9. Políticas.........................................................................................................................11
9.11 Inventarios............................................................................................................22
1. Introducción
seguridad de la información las cuales tienen el objetivo de mitigar los riesgos y las
usuarios o terceros, integra estos esfuerzos de una manera conjunta y da una gran visión de
5
procedimientos que controlen la forma en que la Universidad, prevenga, proteja, maneje los
2. Propósito
tecnológica de la Universidad.
6
3. Referencias normativas
e integridad de los datos y de la información, así como de los sistemas que la procesan.
La aplicación de ISO 27001 significa una diferenciación respecto al resto, que mejora la
27001.
Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los
Ley 599 DE 2000: Por la cual se expide el Código Penal. En esta se mantuvo la estructura
del tipo penal de “violación ilícita de comunicaciones”, se creó el bien jurídico de los
delito informático, tales como el ofrecimiento, venta o compra de instrumento apto para
Ley 962 de 2005: Por la cual se dictan disposiciones sobre racionalización de trámites y
particulares que ejercen funciones públicas o prestan servicios públicos. Prevé incentivos
7
por el uso de medios tecnológicos integrados para disminuir los tiempos y costos de
Ley 1150 de 2007: Por medio de la cual se introducen medidas para la eficiencia y la
por medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la
Ley 1273 de 2009: Por medio de la cual se modifica el Código Penal, se crea un nuevo
se preservan integralmente los sistemas que utilicen las tecnologías de la información y las
Ley 1341 de 2009: Por la cual se definen principios y conceptos sobre la sociedad de la
Modifica los artículos 22 y 23 de la Resolución CRT 1732 de 2007 y los artículos 1.8 y 2.4
mismo, los proveedores de redes y/o servicios de telecomunicaciones que ofrezcan acceso a
acceso.
4. Alcance
5. Generalidades
al tiempo que ha aumentado el alcance de los negocios convirtiéndose en una gran ventaja
competitiva.
9
Sin embargo, algunos riesgos que se enfrentan han llevado a unas directrices que orientan
en el uso adecuado de estas destrezas tecnológicas y evitar el uso indebido de las mismas,
Universidad. Sin embargo, algunos riesgos que se enfrentan han llevado a unas directrices
que orientan en el uso adecuado de estas destrezas tecnológicas y evitar el uso indebido de
las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones
de la Universidad.
6. Definiciones
Backup: Una copia de seguridad, respaldo, copy backup, copia de respaldo, copia de
reserva (del inglés backup) en ciencias de la información e informática es una copia de los
datos originales que se realiza con el fin de disponer de un medio para recuperarlos en caso
de su pérdida.
Activo: Un activo es un bien que la Universidad posee y que puede convertirse en dinero u
Ataque cibernético: Acción organizada y/o premeditada de una o más personas para
Defensa de Colombia).
Amenazas asociadas activos de información: son las que se presentan como efectos no
herramienta del delito, bien porque sea el sistema informático (o sus datos) el objetivo del
Disponibilidad: Es la propiedad de ser accesibles y utilizados bajo pedido por una entidad
Información: Activo que del mismo modo que otros importantes activos empresariales,
la información.
consultor.
7. Cumplimiento
Las personas mencionadas por el alcance deberán dar cumplimiento un 100% del manual.
UNIVERSIDAD.
recursos de red.
12
8. Política SGSI
2. Velar por la protección de los activos informáticos de apoyo en los procesos misionales
3. Identificar y dar cumplimiento a los requisitos legales y regulatorios, así como a las
Nación.
información.
9. Políticas
14
sistemas de información.
manera manual.
16
protegida o no pueda ser vista por cualquier persona, esta información tiene un punto medio
de confidencialidad media.
documental.
La información que se debe entregar a las autoridades o grupo de interés, será basado
No se debe dar información como bases de datos o información que este sumamente
• CTI
• DAS
17
Estos cuerpos de seguridad del estado son necesarios cuando los incidentes contra la
seguridad de la información provienen de una fuente externa como Internet y resulte útil o
necesario que varias autoridades y proveedores deban ser llamados a la acción para desviar,
todos los procesos de la organización ya sean procesos del Negocio, procesos internos,
Todas las solicitudes para conectar equipos de cómputo a la red del FCE deberán de ser
revisadas por la Gerencia de Tecnología, para garantizar que se cumplan los requisitos de
seguridad establecidos.
de esta empresa tendrán derecho a ingresar a una red de internet, pero cada uno de estos
grupos tendrá una conexión distinta, los administradores tendrá una conexión a una red
donde tendrá excluido ingresar a páginas que no tengan que ver con el cumplimiento de su
trabajo, los usuarios o cualquier miembro diferente, tendrá acceso a una red diferente,
también se le excluirá alguna páginas que no tengas que ver con el uso adecuado que
necesiten en el momento .
capacitaciones cada 3 meses con el fin de tener más conocimiento en los procesos de la
empresa, las capacitaciones se harán por profesionales que estén encargados en cada tema.
Los entrenamientos se harán cada 2 meses, con el fin de tener mejor conocimiento y
mejoren las actividades de la empresa, se harán con personas que están capacitadas para
estas actividades.
19
La empresa puede sancionar disciplinariamente a los trabajadores que incumplan con los
cabo este proceso se evidencia la ocurrencia de una falta, el empleador tiene la facultad de
información que poseen los administrativos solo puede ser intercambiada por ellos mismos,
plataformas para que los estudiantes puedan hacer el intercambio de información necesaria.
Con el protocolo de gestión de activos se logra integrar una planificación integral referente
gratuitos.
acondicionado…
e) Recursos Humanos: las personas que tienen la capacidad y los permisos necesarios
etiquetar cada activo con un número interno para la empresa, este número de activo consta
de 5 dígitos.
9.11 Inventarios
La universidad es propietaria de todos los activos de información, por ende, estos activos se
encuentran registrados en una base de datos creada y administrada por TIC y manipulada
El uso de estos activos debe ser empleado únicamente para propósitos institucionales estos
alcance definido para la implementación del MSPI (es decir a los procesos en los
propietario.
modificación no autorizada.
actividades consideradas ilegales utilizando recursos del Fondo para este fin. Las siguientes
Violar los derechos de cualquier persona u organización protegidos por leyes de derechos
• Distribuir programas maliciosos en las redes o equipos (por ejemplo, virus, gusanos,
troyanos, etc.).
procurar o transmitir material que se pueda considerar hostil para la dignidad de las
personas.
UNIVERSIDAD.
29
encuentra expresamente prohibido a menos que exista una autorización expresa por la
Gerencia de Tecnología.
Tecnología.
• Interferir los servicios de la red o los sistemas para evitar que sean utilizados por el
• Usar cualquier tipo de programa, comando, script o enviar mensajes de cualquier tipo, con
de mensajes y de información de una manera segura y factible siendo este medio la manera
Se prohíbe el uso de correos personales para ser utilizado como medio para
podrá realizar por medio de Google drive para evitar congestión en los servidores y
Se realizará una copia de respaldo a las cuentas de correos que serán eliminadas
para mayor seguridad y para evitar perdida de información a corto, mediano y largo
plazo.
los usuarios que utilizan contraseñas de cualquier índole, la buena práctica de seguridad en
especiales.
minúsculas. Hay que tener presente el recordar qué letras van en mayúscula y
Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda
Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de los
cada cierto tiempo. Y, a la vez, hay que procurar no generar reglas secuenciales
“01Juitnx” a “02Juitnx”.
que comprobar primero si el sistema permite dicha elección y cuáles son los
&'()*+,-./:;<=>?@[\]^_`{|}~
Existen algunos trucos para plantear una contraseña que no sea débil y se pueda
recordar más fácilmente. Por ejemplo, se pueden elegir palabras sin sentido pero
que sean pronunciables, etc. Nos podemos ayudar combinando esta selección
con números o letras e introducir alguna letra mayúscula. Otro método sencillo
palabras que componen una frase conocida, de una canción, película, etc. Con
33
contraseñas distintas para cada una de las cuentas. Un 55% de los usuarios
indican que utilizan siempre o casi siempre la misma contraseña para múltiples
Información
Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”,
minúsculas en la contraseña.
asociado a la contraseña.
34
dentro del propio ordenador o dispositivo (ej: no guardar las contraseñas de las
idioma. Hoy en día existen programas de ruptura de claves que basan su ataque
en probar una a una las palabras que extraen de diccionarios: Este método de
tipo.
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser
recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios
con los cuales los empleados interactúan, en general los activos asociados al mantenimiento
comunicaciones, deben estar protegidos por barreras y controles físicos, para evitar
36
operación.
El tamaño del área será determinado por la cantidad de hardware necesitado para el
ambiental deben ser especificados por los diferentes fabricantes de los equipos.
Las medidas de seguridad que se deban tomar, dependerán directamente del valor
El sitio donde se ubiquen los recursos informáticos debe ser físicamente sólido, y
Comentario interno
37
Outsourcing.
UNIVERSIDAD.
en las áreas seguras. 2) Personal de soporte que requiera acceso periódico. 3) Otros,
La información sensitiva o confidencial solo puede ser enviada vía Fax o Módems
cuando no existan otros medios que confieran una mejor seguridad, ambos el dueño
Esta política considera las amenazas asociadas con el uso de máquinas de fax. El
USO DE IMPRESORAS
a una impresora de la red, sin que exista una persona autorizada para cuidarla
38
Todos los empleados deben estar vigilantes a la presencia de personas extrañas sin
analizadores de datos, (ej: hardware especial) etc, no debe ser permitidos su uso
de un correo electrónico
destino.
Las áreas de descargue deben estar debidamente identificadas para evitar el acceso
El material entrante o saliente debe ser registrado, con el fin de mantener el listado
de inventario actualizado.
40
especial cuidado contra fallas del sistema de control del medio ambiente, y otras amenazas
negocio, así que, se debe tener un estricto monitoreo sobre estas variables.
deberán poseer una identificación a la vista que claramente los identifique como
tal, y por ninguna razón se debe tener material explosivo dentro, o en sitio cercano
a áreas definidas como seguras por SISTESEG. (Por ejemplo, químicos especiales,
electromagnética.
Los equipos deben ser protegidos de fallas de potencia u otras anomalías de tipo
eléctrico.
estructurado ANSI/TIA/EIA-568-B
comerciales.
Con combinaciones de alambre de cobre (pares trenzados sin blindar UTP), cables
conectores y adaptadores.
Cable UTP de 100 ohm, categoría 6 con el beneficio de redes de alta velocidad
Conectores RJ-45
cableado
44
Se debe considerar su proximidad con el cableado eléctrico que genera altos niveles
equipo. Se debe informar al usuario con mínimo dos días de anticipación solicitando el
mantenimiento.
Se realizará mantenimiento preventivo a todos los equipos, (Físico / Lógico) y en tal caso
ejecución, para medir su avance en términos del logro de sus objetivos. Haciendo
Medir el cumplimiento de los objetivos y las metas alcanzadas para un plan, programa o
negativos;
proyecto
proyecto.
46
Al levantarse del puesto de trabajo y al finalizar la jornada laboral, los escritorios deben
permanecer despejados y libres de documentos físicos y/o medios extraíbles que contengan
seguro y bajo llave. Los documentos y/o medios extraíbles con información pública
con información pública, pública clasificada o pública reservada deben quedar cerrados
La pantalla del computador (escritorio) no debe contener ningún tipo de archivo, salvo los
accesos directos a las aplicaciones necesarias para que los funcionarios o contratistas
Al levantarse del puesto de trabajo, se debe bloquear la sesión de los equipos de cómputo
mediante las teclas Windows + L para proteger el acceso a las aplicaciones y servicios de la
entidad.
equipo de cómputo.
Las políticas de control de acceso físico se refieren a la autorización de las personas para
los accesos a las áreas seguras, realizar el acompañamiento de los visitantes y revisión de
Políticas relacionadas
La UNIVERSIDAD debe contar con un proceso formal para gestionar los accesos a
las áreas seguras de que contemple también la revisión periódica de los mismos.
autorizados.
51
Los accesos de tipo permanente deben ser asignados por el responsable de accesos a
aquel personal que así lo requiera en base a requisitos basados en su función dentro
de
Los accesos de tipo temporal, por ejemplo, para el caso de proveedores externos y
Los visitantes temporales que requieran acceso a áreas seguras o centros de datos
identificación visible.
En el caso del centro de datos, se debe registrar la visita en una bitácora de ingresos
continuación.
acceso temporal.
productos volátiles, y todo producto o sustancia que pudiera ocasionar una reacción
MATRIZ DE RIESGO
PROBABILIDAD
IMPACT
DE RIESGO
O
OCURRENCIA
1.1 Terremoto
1.1.1 Área
Administrativa 1 5 5
1.1.2 Área
Académica 1 1 1
1. DESASTRES NATURALES 1.2 Tormentas
Electicas
1.2.1 Área
Administrativas 2 5 10
1.2.2 Área
Académica 2 5 10
2.1 Conexiones
Eléctricas
2.1.1 Área
Administrativas 3 3 9
2.1.2 Área
Académica 3 1 3
2.2 Accidental
2.2.1 Área
2. FUEGO
Administrativas 3 3 9
2.2.2 Área
Académica 3 1 3
2.3 Intencional
2.3.1 Área
Administrativas 2 3 6
2.3.2 Área
Académica 2 3 6
3.ROBO
ROBOS DE
EQUIPOS DE
COMPUTO 5 5 25
ROBOS DE
EQUIPO DE RED 5 5 25
ROBO DE 3 1 3
INFORMACION
54
EXCESO DE
LLUVIAS 5 4 20
4.INUNDACIONES DESBORDE DE
RIOS Y LAGOS 1 2 2
HURACANES 1 1 1
SOBORNO 4 4 16
ROBO DE
5.EL PERSONAL
INFORMACION 5 4 20
DESCUIDO 2 2 4
ROBO 4 4 16
DESCUIDO 3 2 6
6. PERDIDA DE INFORMACION MAL
PROCEDIMIENT
O 4 5 20
ERROR DE
SISTEMA 2 2 4