LINEAMIENTOS PARA EL CONTROL DE

ACCESO

BOGOTÁ D.C AGOSTO de 2019

 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

CONTENIDO

1. OBJETIVO ....................................................................................................................... 3
2. ALCANCE ........................................................................................................................ 3
3. TÉRMINOS Y DEFINICIONES ............................................................................................ 3
4. LINEAMIENTOS PARA EL CONTROL DE ACCESO A PLATAFORMA TECNOLÓGICA ............ 5
4.1. CREACIÓN DE CUENTA DE USUARIO ............................................................................ 7
4.2. PERFILES DE NAVEGACIÓN DE INTERNET ..................................................................... 7
4.2.1. Standard ........................................................................................................................... 7
4.2.2. Asesores ........................................................................................................................... 8
4.2.3. Directivos ......................................................................................................................... 8
4.2.4. Prensa............................................................................................................................... 8
4.3. ACCESO A SISTEMAS, APLICACIONES Y SERVICIOS WEB ............................................... 8
4.3.1. Autorización de acceso a servicios TI ........................................................................... 9
4.3.2. Lineamientos para servicio de almacenamiento en redes públicas (Nube - Internet) .. 9
4.3.3. Administradores de servicios de TI ............................................................................ 10
4.3.4. Roles de servicios Web .............................................................................................. 10
4.4. ACCESO REMOTO ...................................................................................................... 11
4.5. ACCESO A DISCOS DE RED O CARPETAS VIRTUALES ................................................... 11
4.6. ACCESO A SERVICIOS DE LA ENTIDAD ........................................................................ 11
5. LINEAMIENTOS DE CONTROL DE ACCESO FÍSICO ......................................................... 12
6. LINEAMIENTOS PARA EL ESTABLECIMIENTO, USO Y PROTECCIÓN DE CLAVES DE
ACCESO ........................................................................................................................ 12
6.1 Manejo de contraseñas para administradores de tecnología..................................... 14
7. LINEAMIENTOS DE ACCESO A ÁREAS SEGURAS ............................................................ 14

1
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

8. REVISIÓN DE DERECHOS DE ACCESO ............................................................................ 17

9. DOCUMENTOS ASOCIADOS .......................................................................................... 17
10. RESPONSABLE DEL DOCUMENTO ................................................................................. 17

2
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

1. OBJETIVO
Definir las pautas generales para asegurar un acceso controlado, físico o lógico, a la información de
la plataforma Tecnológica del DAPRE, así como el uso de medios de computación móvil y carpetas
virtuales.

2. ALCANCE
Estos lineamientos deben ser aplicados por todos los funcionarios, contratistas, pasantes, personal
en comisión, del Departamento Administrativo de la Presidencia de la República.

3. TÉRMINOS Y DEFINICIONES
Actividades Criminales: Sitios para abogar, instruir o dar consejo sobre la realización de actos
ilegales; Consejos sobre eludir la aplicación de la ley.

Almacenamiento de red personal (Nube): Páginas Web que permiten a los usuarios subir carpetas
y archivos a un servidor de red en línea para realizar copias de seguridad, compartir, editar o
recuperar archivos o carpetas desde cualquier navegador Web. (Este almacenamiento desde los
servicios de TI debe tener la configuración de herramientas de prevención de pérdidas de
información del DAPRE, realizadas por el Área de Tecnologías y Sistemas de Información.)

Temas de búsqueda en Internet:

 Armas: Sitios con información de compras o pedidos en línea, incluyendo listas de precios y
ubicaciones de distribuidores; cualquier página o sitio que contenga predominantemente o
proporcione enlaces a contenido relacionado con la venta de armas, armas, municiones o
sustancias venenosas; exhibir o detallar el uso de armas, armas, municiones o sustancias
venenosas.

Nota: Las armas se definen como algo (como un palo, un cuchillo o una pistola) usado para
dañar, derrotar o destruir.

 Automotores: Sitios para revisiones de vehículos, consejos de compra o venta de vehículos

y catálogos de piezas; Fotos, y discusión de vehículos incluyendo motocicletas, barcos,
coches, camiones; revistas sobre la modificación, reparación y personalización de vehículos;
y sitios en línea del clubes del entusiastas de automotores.

 Búsqueda de empleo: Sitios de agencias de empleo, contratistas, listados de trabajo,

información sobre carreras, búsquedas de carrera y grupos de redes de carrera, páginas
web relacionadas con una búsqueda de empleo, incluyendo sitios relacionados con la

3
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

escritura de currículum, entrevistas, carreras cambiantes, publicidad clasificada y bases de

datos de gran tamaño, incluye páginas Web corporativas que incluyen oportunidades de
empleo, sitios de comparación de salarios, empleo temporal, sitios de publicación de
trabajos de la empresa.

 Educacional: Sitios para instituciones educativas, (escuelas preescolares, escuelas

primarias, secundarias y secundarias y universidades), sitios educativos en los niveles
preescolar, básica primaria, secundaria y universitaria; Educación a distancia, incluyendo
cursos en línea.

 Entretenimiento: Sitios sobre guías de programación de televisión, películas, música y

video; Revistas y revistas en línea de la industria del entretenimiento; Sitios de fans de
celebridades; Empresas de radiodifusión y tecnologías (satélite, cable, etc.); Horóscopos;
Bromas, cómics, cómics, comediantes, o cualquier sitio diseñado para ser divertido o
satírico; Tarjetas de felicitación en línea; Y atracciones y parques temáticos.

 Estilos de vida: Sitios para pasatiempos recreativos, tales como recolección, jardinería y
aviones de equipo; Actividades recreativas al aire libre, tales como senderismo, camping y
escalada en roca; Consejos o tendencias enfocados en un arte específico, arte o técnica;
Publicaciones en línea sobre un pasatiempo específico o actividad recreativa; Clubes,
asociaciones o foros en línea dedicados a un hobby; Juegos tradicionales, tales como juegos
de mesa y juegos de cartas, y sus entusiastas; Y sitios relacionados con animales y mascotas,
incluyendo sitios específicos de raza, entrenamiento, shows y sitios de sociedades humanas,
incluye sitios que promueven o distribuyen alcohol o productos de tabaco de forma gratuita
o compra, sitios para recetas, instrucciones y consejos para cocinar, productos alimenticios
y asesores de vino; restaurantes, cafeterías, restaurantes, pubs y bares; Y revistas y revistas
de comida y bebida.

 Finanzas e inversiones: Acceso sitios para cotizaciones bursátiles, fondos de inversiones;

acciones en línea o comercio de acciones; banca en línea y servicios de pago de facturas;
asesoramiento o contactos para la negociación de valores; servicios de gestión de dinero o
de inversión o empresas; finanzas generales y empresas que asesoran sobre finanzas; y
contabilidad, actuarios, bancos, hipotecas y compañías de seguros generales.

 Militar: Incluye el acceso a páginas web que contienen información mantenido por
organizaciones gubernamentales o militares, como sucursales o agencias gubernamentales,
departamentos de policía, de bomberos, de defensa civil, de contraterrorismo o de
organizaciones supranacionales, como las Naciones Unidas o la Unión Europea. Las
instalaciones médicas para militares y veteranos están incluidas en esta categoría.

 Noticias: Incluye el acceso a periódicos en línea, sitios de noticias titulares, servicios de

noticias, servicios de noticias personalizados y sitios meteorológicos

 Órdenes: Incluye el acceso a sitios de negocios o compras en línea.

4
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

 Páginas personales: Incluye el acceso a páginas web de inicio personales que comparten un
dominio común, como los alojados por los ISP, los servidores universitarios / educativos o
los hosts de páginas web gratuitos. También se incluyen dominios únicos que contienen
información personal, como una página personal.

 Religioso: Incluye el acceso a sitios de iglesias, sinagogas y otras casas de culto; Cualquier fe
o sitios de creencias religiosas.

 Salud y Medicina: Incluye el acceso a sitios para medicamentos recetados; Información

médica y referencia sobre enfermedades, condiciones y medicamentos; salud general,
como la aptitud y el bienestar; procedimientos médicos, incluyendo cirugía electiva y
cosmética; odontología, optometría y otros sitios relacionados con la medicina; psiquiatría
general y sitios de bienestar mental; psicología, libros de autoayuda y organizaciones;
promover la autocuración de los abusos físicos y mentales, dolencias y adicciones; terapias
alternativas y complementarias, incluyendo yoga, quiropráctica y craneosacral; Y sitios de
seguros médicos y hospitalarios.

 Sociales y culturales: Incluye el acceso a sitios sobre temas relacionados con la familia y vida
familiar, incluyendo bodas, nacimientos y funerales, consejos para padres y planificación
familiar, cuestiones no pornográficas, culturas extranjeras e información socio cultural.

 Tecnología, Informática y comunicaciones: Incluye el acceso a sitios para tecnologías de la

información y comunicaciones, equipos electrónicos, desarrollo de software, revistas de
tecnología, páginas de fabricantes de tecnología, foros sobre tecnología, sitios de reseñas,
información, guías de compradores de computadoras, partes y accesorios de
computadoras, software de computadora y compañías de Internet, noticias y revistas de la
industria y sitios de pago.

 Transporte: Incluye el acceso a páginas web de aerolíneas, empresas de transporte terrestre

y agencias de reserva de vuelos y transporte terrestre, información de alojamiento, listas de
paquetes de viaje, guías de ciudades e información turística y alquiler de vehículos.

4. LINEAMIENTOS PARA EL CONTROL DE ACCESO A PLATAFORMA

TECNOLÓGICA
El DAPRE proporcionará a los funcionarios, personal en comisión permanente y contratistas (personas
naturales) todos los recursos tecnológicos necesarios para que puedan desempeñar las funciones para
las cuales fueron contratados, por tal motivo no se permite conectar a la red o instalar dispositivos fijos
o móviles, tales como: computadores portátiles, tablets, enrutadores, agendas electrónicas, celulares
inteligentes, access point; el Área de Tecnologías y Sistemas de Información podrá realizar la mencionada
conexión previa solicitud del interesado.

5
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

El DAPRE debe cuenta con un firewall, sistemas de prevención y detección de intrusos para la conexión
a Internet o cuando sea inevitable para la conexión a otras redes en outsourcing o de terceros.

Todo usuario final con privilegios de publicación o administración de servicios Web, administrador de
servicios o aplicativos del DAPRE, deberá diligenciar y firmar el formato entrega de Rol F-TI-13, en caso
de asignación o entrega del rol.

Solo los funcionarios del Grupo de Soporte y Mesa de Ayuda, Redes y Plataforma TI, pertenecientes al
Área de Tecnologías y Sistemas de Información, están autorizados para instalar software y/o hardware
en los equipos, servidores e infraestructura de telecomunicaciones del DAPRE, así como el uso de
herramientas que permitan realizar tareas de mantenimiento, revisión de software, recuperar datos
perdidos, eliminar software malicioso.

El Área de Tecnologías y Sistemas de Información debe restringir el acceso a los códigos fuente de los
programas y elementos asociados como (diseños, especificaciones, librerías de fuentes de programas,
planes de verificación y planes de validación), así mismo debe auditar este acceso de manera periódica.
Para el control de acceso a los servicios de TI, la Entidad realizará las configuraciones de red, mediante la
creación de usuarios, control de directivas de red, protocolo de control de acceso, certificados para la
autenticación; definidos e implementados por el Área de Tecnologías y Sistemas de la Información.

La asignación de niveles de navegación, autorizaciones de sistemas, aplicativos, acceso a servicios de TI,

administración de servicios de TI, deben ser registrados en el sistema de mesa de ayuda de TI, de acuerdo
a solicitud de Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología
de información P-TI-28 y Procedimiento de Administración de Mesa de Servicios P-TI-11.

El retiro e ingreso de todo activo de información de los visitantes que presten servicios al DAPRE
(consultores, pasantes, visitantes, etc.) será registrado e inspeccionado en los controles de accesos de las
instalaciones de la Entidad. El personal de seguridad y vigilancia en los controles de acceso verificarán y
registrarán las características de identificación del activo de información.

Para el retiro de derechos de acceso en la red, para funcionarios de planta, como se define en Gestión de
novedades de cuentas de funcionarios de planta P-TI-25.

La remoción o ajuste a derechos de acceso a servicios de TI para cada usuario, debe ser solicitado al
Jefe del Área de Tecnologías y Sistemas de Información, a través de correo institucional del DAPRE o
mediante el envío de una comunicación oficial por el sistema de gestión de correspondencia oficial de
la Entidad. Estos ajustes deberán registrarse en el sistema de gestión de solicitudes.

También se autorizará el acceso a la plataforma de tecnología y sistemas de información a proveedores

de servicios, que por la naturaleza de sus actividades requieran acceder a estos servicios en forma
periódica previa firma del formato de compromiso y reserva F-GD-20 y solicitud del Asesor o
Profesional responsable de las actividades por el proveedor de servicios al Jefe del Área de Tecnologías
y Sistemas de Información.

6
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

4.1. CREACIÓN DE CUENTA DE USUARIO

La generación de cuenta de usuario se realizará posterior a la aprobación de la solicitud realizada a

través de la herramienta servicios en línea disponible en la intranet de la Entidad. Ver
Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de
información P-TI-28; mediante esta solicitud, la Entidad autoriza el acceso físico y acceso a servicios
de tecnologías de información a los funcionarios, contratistas, pasantes, personal en comisión del
Departamento Administrativo de la Presidencia de la República. En la solicitud de creación de
cuenta, se debe indicar el perfil de navegación de internet y el acceso a aplicativos que requiere por
su cargo y funciones a desempeñar.

Todo usuario que requiera ingresar a los servicios de red del DAPRE deberá diligenciar y firmar el
formato Entrega de Usuario F-TI-07, excepto la configuración de acceso a internet de visitantes, en
equipos no institucionales o personales.

4.2. PERFILES DE NAVEGACIÓN DE INTERNET

Los perfiles serán asignados a los funcionarios, contratistas, personal en comisión administrativa,
pasantes y proveedores de servicios, que por su cargo y funciones a desempeñar y que requiera tener
acceso a servicios de navegación de internet, por lo cual la entidad define los siguientes perfiles para los
usuarios de tecnología y sistemas de información.

Los perfiles de navegación de internet relacionados a continuación incluyen características de los sitios y
servicios web aprobados por la Entidad, no obstante, los sitios deben cumplir con las políticas
configuradas en las herramientas de seguridad de la información con que cuenta la entidad, por lo cual,
aquellos sitios que las herramientas las identifique como no confiables, deberán ser bloqueadas por el
administrador de seguridad.

La asignación de perfiles de navegación, acceso a aplicativos y la asignación de roles debe ser asignada
por el Jefe del Área y Oficina del usuario, por lo cual debe seguir lo indicado en el Procedimiento para
solicitud de creación de cuenta de usuario y servicios de tecnología de información P-TI-28.

4.2.1. Standard

Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet, los
cuales serán gestionados por el Área de Tecnologías y Sistemas de Información:

 Automotores
 Búsqueda de empleo
 Educacional
 Entretenimiento
 Finanzas e inversiones
 Sociales y culturales
 Salud y Medicina

7
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

 Transporte

4.2.2. Asesores

Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet,
correspondientes al nivel estándar, junto con los relacionados a continuación, los cuales serán
gestionados por el Área de Tecnologías y Sistemas de Información.

 Órdenes
 Actividades Criminales
 Tecnología, Informática y comunicaciones
 Estilos de vida

4.2.3. Directivos

Para este perfil se aprueba el acceso a los siguientes servicios de temas de búsqueda en internet,
correspondientes al nivel estándar, junto con los relacionados a continuación, los cuales serán
gestionados por el Área de Tecnologías y Sistemas de Información.

 Páginas personales
 Armas
 Militar

4.2.4. Prensa

Para este perfil se aprueba el acceso a los siguientes servicios de temas de temas de búsqueda en
internet, correspondientes al nivel Directivo, junto con los relacionados a continuación, los cuales
serán gestionados por el Área de Tecnologías y Sistemas de Información.

 Religioso

4.3. ACCESO A SISTEMAS, APLICACIONES Y SERVICIOS WEB

Los sistemas y aplicaciones a los cuales pueden tener acceso los usuarios, de acuerdo a sus funciones,
son los siguientes:

 Sistema de Gestión Documental “ESCRIBE PRESIDENCIA”

 Sistema de Gestión humana
 Correo electrónico de la Entidad
 Intranet
 Servicios en Línea
 Salida de elementos

8
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

 Aplicativo código único

 Aladino
 Sistema de información aspirantes
 Sistema de comisiones Presidencia
 Sistema de comisiones al exterior
 Sistema de campañas publicitarias
 Sistema integrado para la gestión de adquisiciones “SIGA” (Contratos, proveedores)
 Aplicativo de Gestión Financiera
 Sistema de gestión de parqueaderos
 Sistema de control de acceso
 Sistema de control de flotas
 Observatorio (Equidad para la Mujer, Derechos Humanos, Colombia Joven)
 Sistema de Boletines
 Sistema de monitoreo de medios DALET
 Info Presidencia
 Portal de Oferta Institucional ¡Si Joven!
 Correo electrónico en dispositivos móviles

No se encuentra autorizado el acceso a los servicios de TI, que no se encuentren registrados en el

presente lineamiento o no estén aprobados por el Comité de Seguridad de la Información.

4.3.1. Autorización de acceso a servicios TI

Los servicios Web de la Entidad, son administradas por el Área de Tecnologías y Sistemas de Información;
así como la creación de usuarios Ver Solicitud de creación de cuenta de usuario y servicios de tecnología
de información P-TI-28, en virtud al cargo, funciones o responsabilidades asignadas, se deberá indicar
por intermedio del aplicativo Servicios en Línea la asignación del Rol. Se debe tener en cuenta que el Jefe
del Área u Oficina, es el responsable de la asignación de permisos y roles en los sistemas del DAPRE.

En caso de requerir el ajuste en el rol de los servicios que se encuentran a cargo del Área de Tecnologías
y Sistemas de Información; el Jefe del Área u Oficina debe realizar la solicitud por correo institucional o a
través del Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” al Área de Tecnologías y Sistemas
de Información. De tal forma que la puede aprobar o solicitar verificación y visto bueno por parte del
comité de seguridad de la información por posible afectación a la disponibilidad, integridad o
confidencialidad de la información de la Entidad.

4.3.2. Lineamientos para servicio de almacenamiento en redes públicas (Nube - Internet)

4.3.2.1 Descarga de Archivos: El DAPRE permite a los usuarios, la descarga de archivos desde los
sistemas de almacenamiento ubicados en las redes públicas (Internet), únicamente con fines
institucionales, la cual será supervisada con las herramientas de seguridad de la Información, destinadas
para ese fin.

9
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

4.3.2.2 Carga de Archivos: El acceso a servicios de almacenamiento de información en plataformas

públicas, personales o privadas como Dropbox, Google Drive, OneDrive, etc., con la finalidad de realizar
almacenamiento de información de la Entidad el cual debe ser aprobado por el Comité de Seguridad de
la Información.

4.3.3. Administradores de servicios de TI

Los sistemas, aplicativos y servicios Web de la Entidad, deberán ser administrados por el Área de
Tecnologías y Sistemas de la Información, el Rol de administrador de los mismos son asignados por
el Jefe de Área de Tecnologías y Sistemas de Información o coordinador del Grupo, de acuerdo al
rol a ser asignado, esta asignación se documenta mediante el diligenciamiento del formato
denominado Entrega de Rol F-TI-13.

Sistemas, aplicativos y servicios Web

 Web Master de páginas de Presidencia

 Sistema de cortafuegos
 Sistema de prevención de perdida de datos
 Sistemas de Back Up
 Directorio activo
 Antivirus
 Sistema de filtrado de navegación
 Sistema de enrutamiento y balanceo F5
 Sistema de almacenamiento
 Sistema de control de activos de TI
 Administrador de aplicativos
 Administrador Plataforma Share Point

4.3.4. Roles de servicios Web

Los servicios Web de la Entidad, son administradas por el Área de Tecnologías y Sistemas de Información;
las dependencias deben indicar a través del aplicativo Servicios en Línea, los sistemas, servicios Web a
que deben tener acceso el nuevo usuario; los cuales requirieren entrega de Rol. Si es una asignación del
Rol, para un usuario existente, el Jefe del Área u Oficina debe realizar la solicitud mediante correo
institucional o a través del Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” al Área de
Tecnologías y Sistemas de Información para la entrega de:

 Publicador (Web)
 Certificados
 Normativa (Jurídica)
 Notificaciones por aviso (Atención a la ciudadanía)
 Documentos SIGEPRE (Planeación)
 Lista de funcionarios principales (Talento Humano)

10
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

 Taurus
 Informes de supervisión de contratos

4.4. ACCESO REMOTO

Los funcionarios, contratistas, proveedores, pasantes, personal en comisión usuarios de servicios de TI

del DAPRE, que requieran realizar conexión remota desde el exterior de las instalaciones del DAPRE en
virtud al cargo, cumplimiento de funciones o responsabilidades asignadas; debe realizar la solicitud por
correo institucional o a través Sistema de Gestión Documental “ESCRIBE PRESIDENCIA” al Jefe del Área
de Tecnologías y Sistemas de Información a través del Jefe de Área u Oficina.

La conexión remota a la red de área local del DAPRE debe ser hecha a través de una conexión VPN segura
configurada por el Área de Tecnologías y Sistemas de Información, y con un TOKEN aprobado, registrado,
suministrado y auditado por la entidad.

Todo trabajo a realizarse en las estaciones de trabajo y servidores del DAPRE con información de la
Entidad, por parte de sus funcionarios o contratistas, se debe realizar desde la red física de la Entidad, no
se podrá realizar ninguna actividad de tipo remoto (VPN Virtual Private Network, “Conexión Privada a la
Red”) sin la debida aprobación del Jefe del Área de Tecnologías y Sistemas de Información DAPRE.

4.5. ACCESO A DISCOS DE RED O CARPETAS VIRTUALES

El Área de Tecnologías y Sistemas de Información tiene implementado y configurado discos de red

o carpetas virtuales que permitan el almacenamiento de información digital para los usuarios de la
Entidad, así como las medidas de seguridad que permitan mantener la integridad, disponibilidad e
integridad de la información allí almacenada.

Los usuarios que requieran acceso a la información ubicada en los discos de red o carpetas virtuales,
el responsable de la carpeta compartida o el jefe inmediato debe enviar mediante correo electrónico
remitido a mesa de ayuda del Área de Tecnologías y Sistemas de Información del DAPRE, dirección
de correo electrónico soportes@presidencia.gov.co, autorizando el acceso y permisos,
correspondientes al rol y funciones a desempeñar, Los usuarios tendrán permisos de escritura,
lectura o modificación de información en los discos de red, dependiendo de la solicitud a las
funciones y el rol asignado.

4.6. ACCESO A SERVICIOS DE LA ENTIDAD

La entidad debe definir los servicios de TI a publicar en las redes internas y externas, para lo cual
debe definir la segmentación de la red, perfiles de acceso para el acceso a los servicios que
administra el Área de Tecnología y Sistemas de la Información.

El grupo de redes deberá generar la segmentación de redes y los perfiles de acceso, de acuerdo a la
capacidad y disponibilidad de servicios de TI.

11
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

Se debe implementar y administrar una red inalámbrica con perfiles para acceso a los servicios red
de la entidad y para el acceso a la red externa (Pública).

5. LINEAMIENTOS DE CONTROL DE ACCESO FÍSICO

La Entidad define la de forma de Autorización de acceso físico a Visitantes y Proveedores a las
instalaciones de Gobierno bajo la administración del DAPRE, que será ejecutado por Jefatura para la
Protección Presidencial, el Área Administrativa y el Área de Tecnologías y Sistemas de Información.

6. LINEAMIENTOS PARA EL ESTABLECIMIENTO, USO Y PROTECCIÓN DE CLAVES

DE ACCESO
Se debe concienciar y controlar a los usuarios para que apliquen buenas prácticas de seguridad en
la selección, uso y protección de claves o contraseñas; las cuales constituyen un medio de validación
de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a
las instalaciones, equipos o servicios tecnológicos.

Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para
la utilización de los equipos o servicios informáticos de la Entidad.

Ningún usuario deberá acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de
usuario o clave de otro usuario.

Los usuarios deben tener en cuenta los siguientes aspectos:

 No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo,

almacenadas en un macro o en una clave de función.

 El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta, comunicándose
a PUC (Punto Único de Contacto) Ext. 3999; en donde se llevará a cabo la validación de los
datos personales; en caso de ser solicitado el cambio de contraseña para otra persona, debe
ser realizada por su jefe inmediato (previa autorización por parte del Jefe de Área de
Tecnologías y Sistemas de Información).

 Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo
cuando no estén en uso.

 Se bloquea el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un equipo o
sistema informático, en forma consecutiva por tres veces.

12
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

 La clave de acceso será desbloqueada sólo por el PUC (Punto Único de Contacto), luego de
la solicitud formal por parte del responsable de la cuenta. Para todas las cuentas especiales,
la reactivación debe ser documentada y comunicada al PUC.

 El DAPRE suministrará a los usuarios las claves respectivas para el acceso a los servicios de
red y sistemas de información a los que hayan sido autorizados.

 Es responsabilidad del usuario el manejo apropiado a las claves asignadas de los servicios
de red y de acceso a la red estas claves de acceso y usuarios son personales e intransferibles.

 El personal del Área de Tecnologías y Sistemas de la Información no debe dar a conocer su

clave de usuario a terceros de los sistemas de información, sin previa autorización del Jefe
del Área de Tecnologías y Sistemas de la Información.

 Los usuarios y claves de los administradores de sistemas y del personal del Área de
Tecnologías y Sistemas de la Información son de uso personal e intransferible.

 El personal del Área de Tecnologías y Sistemas de la Información debe emplear

obligatoriamente las claves o contraseñas con un alto nivel de complejidad y utilizar los
servicios de autenticación fuerte que posee la entidad de acuerdo al rol asignado.

 Los administradores de los sistemas de información deben seguir las políticas de cambio de
clave y utilizar procedimiento de salvaguarda o custodia de las claves o contraseñas en un
sitio seguro. A este lugar solo debe tener acceso el Jefe del Área de Tecnologías y Sistemas
de Información o el Asesor para la de Seguridad de la Información.

Las claves o contraseñas deben:

Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en
diccionarios, ni tener información personal, ni productos a resaltar de su entidad, evite asociarla
con fechas especiales, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil,
etc.

Nunca utilice sus contraseñas personales en el entorno laboral

La contraseña debe tener mínimo ocho caracteres alfanuméricos.

Cambiarse obligatoriamente la contraseña, la primera vez que el usuario ingrese al sistema.

La contraseña debe cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de

Tecnologías y Sistemas de Información.

Cada vez que se cambien las claves, estas deben ser distintas por lo menos de las últimas doce
anteriores.

13
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario.

La contraseña, no se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni
todos alfabéticos.

La clave de acceso, no debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o
compartirse.

La contraseña debe cumplir con tres de los cuatro requisitos:

 Caracteres en mayúsculas
 Caracteres en minúsculas
 Base de 10 dígitos (0 a 9)
 Caracteres no alfabéticos (Ejemplo ¡,$,%,&)

Las contraseñas de acceso, No ser reveladas a ninguna persona, incluyendo al personal del Área de
Tecnologías y Sistemas de Información.

No registrar las contraseñas en papel, archivos digitales o dispositivos manuales, a menos que se
puedan almacenar de forma segura y el método de almacenamiento este aprobado.

6.1 Manejo de contraseñas para administradores de tecnología

Se debe garantizar en las plataformas de tecnología que el ingreso a la administración en lo posible,

se realice con la vinculación directamente de las credenciales de los usuarios de directorio activo.

Los usuarios administradores y sus correspondientes contraseñas de acceso a las consolas de

administración, se dejan en custodia en sobre sellado en el área segura donde designe la entidad,
las credenciales allí contenidas deben ser modificadas de manera mensual o cuando amerite.

Las contraseñas referentes a las cuentas “predefinidas” incluidas en los sistemas o aplicaciones
adquiridas deben ser desactivadas. De no ser posible su desactivación, las contraseñas deben ser
cambiadas después de la instalación del producto.

7. LINEAMIENTOS DE ACCESO A ÁREAS SEGURAS

El acceso a áreas seguras (instalaciones de procesamiento y centros de datos), se encuentra
restringida para visitantes y proveedores; se permite el acceso, mediante la solicitud de acceso
aprobada por el Coordinador de Redes o el Jefe del Área de Tecnologías y Sistemas de Información
y diligenciando el formato de Registro de ingreso centro de cómputo F-TI-14.

14
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

El acceso de dispositivos, de fotografía, de video, grabación de audio, de comunicación, de

procesamiento y almacenamiento de información, a las instalaciones de Palacio de Nariño, la
Vicepresidencia de la República, la Hacienda Presidencial Hato grande, la Casa de Huéspedes Ilustres
“Fuerte San Juan de Manzanillo”, es restringido para visitantes y proveedores; solo se permite el
ingreso de estos equipos y visitantes, mediante el diligenciamiento del formato de Autorización
ingreso visitantes F-SA-09 por parte del funcionario responsable del visitante o proveedor.

La grabación de vídeo en las instalaciones del centro de datos debe estar expresamente autorizada
por el comité de seguridad de la Información y exclusivamente con fines institucionales.

El Área de Tecnologías y Sistemas de la Información debe garantizar que el control de acceso al centro de
datos y centros de cableado del DAPRE, exija doble autenticación para aprobación de acceso con
dispositivos electrónicos.

El Área de Tecnologías y Sistemas de la Información implementará dispositivos de control de acceso que

exijan autenticación para aprobación de acceso mediante dispositivos electrónicos, a las áreas de trabajo
definidas como áreas seguras establecidas por el Comité de Seguridad de la Información.

El Área de Tecnologías y Sistemas de la Información deberá garantizar que todos los equipos de los
centros de datos cuenten con un sistema alterno de respaldo de energía.

La limpieza y aseo del centro de datos estará a cargo del Área Administrativa y debe efectuarse en
presencia de un funcionario y/o contratista del Área de Tecnología y Sistemas de la Información del
DAPRE. El personal de limpieza debe ser ilustrado con respecto a las precauciones mínimas a seguir
durante el proceso de limpieza. Debe prohibirse el ingreso de personal de limpieza con maletas o
elementos que no sean estrictamente necesarios para su labor de limpieza y aseo.

En las instalaciones del centro de datos o de los centros de cableado, No está permitido:

 Fumar dentro del Data Center.

 Introducir alimentos o bebidas al Data Center
 El porte de armas de fuego, corto punzantes o similares.
 Mover, desconectar y/o conectar equipo de cómputo sin autorización.
 Modificar la configuración del equipo o intentarlo sin autorización.
 Alterar software instalado en los equipos sin autorización.
 Alterar o dañar las etiquetas de identificación de los sistemas de información o sus conexiones
físicas.
 Extraer información de los equipos en dispositivos externos.
 Abuso y/o mal uso de los sistemas de información.
 Toda persona debe hacer uso únicamente de los equipos y accesorios que les sean asignados y
para los fines que se les autorice.

El centro de datos debe estar provisto de:

15
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

 Señalización adecuada de todos y cada uno de los diferentes equipos y elementos, así como
luces de emergencia y de evacuación, cumpliendo las normas de seguridad industrial y de salud
ocupacional.
 Pisos elaborados con materiales no combustibles.
 Sistema de refrigeración por aire acondicionado de precisión. Este equipo debe ser redundante
para que en caso de falla se pueda continuar con la refrigeración.
 Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de
garantizar el servicio de energía eléctrica durante una falla momentánea del fluido eléctrico de
la red pública.
 Alarmas de detección de humo y sistemas automáticos de extinción de fuego, conectada a un
sistema central. Los detectores deberán ser probados de acuerdo a las recomendaciones del
fabricante o al menos una vez cada 6 meses y estas pruebas deberán estar previstas en los
procedimientos de mantenimiento y de control.
 Extintores de incendios o un sistema contra incendios debidamente probados y con la
capacidad de detener el fuego generado por equipo eléctrico, papel o químicos especiales.

El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo
protejan.

Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas
técnicas.

Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser
supervisadas por un funcionario y/o contratista autorizado por el jefe de Área de Tecnologías y
Sistemas de Información o coordinador de grupo de Redes del DAPRE.

Las puertas del centro de datos deben permanecer cerradas; Si por alguna circunstancia se requiere
ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del
centro de datos.

Cuando se requiera realizar alguna actividad sobre algún armario (rack), este debe quedar
ordenado, cerrado y con llave, cuando se finalice la actividad.

Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben
permanecer apagadas.

Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar
las fallas que se puedan presentar.

El acceso a la Hacienda Presidencial Hato grande y la Casa de Huéspedes Ilustres “Fuerte de San
Juan de Manzanillo”, es restringido, para la autorización de acceso se debe generar una solicitud
mediante correo institucional del DAPRE o documento enviado a través del Sistema de Gestión
Documental “ESCRIBE PRESIDENCIA” a Jefatura para la Protección Presidencial.

16
 Proceso Tecnología de Información
asociado y Comunicaciones
LINEAMIENTOS PARA EL
Código L-TI-20
CONTROL DE ACCESO
Versión 02

8. REVISIÓN DE DERECHOS DE ACCESO

El Área de Tecnologías y Sistemas de Información realiza las acciones que permiten el registro,
cancelación y periodicidad de revisión y ajuste a permisos de acceso a la red y servicios de red,
asignados a los usuarios de los sistemas de información y comunicaciones del DAPRE, tomando
como base los múltiples factores de riesgo existentes en la seguridad de la información.

9. DOCUMENTOS ASOCIADOS

 Formato entrega de Rol F-TI-13.

 Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de
información P-TI-28.
 Procedimiento de Administración de Mesa de Servicios P-TI-11.
 Gestión de novedades de cuentas de funcionarios de planta P-TI-25.
 Compromiso y reserva F-GD-20.
 Procedimiento para solicitud de creación de cuenta de usuario y servicios de tecnología de
información P-TI-28.
 Registro de ingreso centro de cómputo F-TI-14.
 Autorización ingreso visitantes F-SA-09.

10. RESPONSABLE DEL DOCUMENTO

Jefe Área de Tecnologías y Sistemas de Información.

17