Actividad de aprendizaje 3:

Elaborar un manual de seguridad informática teniendo en cuenta las necesidades y

características de la empresa.

1. Tenga presente lo aprendido en el material de formación de la actividad de aprendizaje 3

Aspectos básicos para elaborar un manual de seguridad informática.

2. Consulte el material complementario Procedimientos de la seguridad de la información.

3. Elabore un manual de seguridad informática para una empresa. Para su realización tenga en
cuenta las siguientes recomendaciones:

 Describa una empresa con nombre, productos y/o servicios que maneja, misión, visión y
segmento de mercado al que están orientados.

ALVESTANIA LTDA.

SERVICIOS TECNOLOGICOS

MISION: PRESTAR SERVICIOS TECNOLOGICOS CON LA MEJOR CALIDAD DEL MERCADO

TECNOLOGICO.

VISION: PROYECTARNOS COMO UNA EMPRESA LIDER Y ESTRATEGICAMENTE LAS PRIMERAS EN

EL MESCADO TECNOLOGICO PARA EL AÑO PROXIMO.

SEGMENTO TECNOLOGICO.

 Describa el tipo red tecnológica que la empresa debería tener instalada según sus
características.

Local Area Networks (LAN) o red de área local.

 Realice el inventario de todos los equipos tecnológicos y de los softwares necesarios para la
operación de la empresa.

 Efectúe un listado de riesgos por posibles ataques informáticos a los que se vería enfrentada
la empresa

 Redacte el manual de seguridad informática teniendo en cuenta la información obtenida.

 Desarrolle esta evidencia con la herramienta ofimática de su preferencia y envíela al

instructor a través de la plataforma virtual de aprendizaje.

Manual seguridad informatica

1. 1. MANUAL DE SEGURIDAD INFORMATICA EN-ALVASTANIA

2. 2. CAPITULO 1 GENERALIDADES: OBJETIVOS Y ALCANCE ARTÍCULO 1: En-ALVASTANIA es
una empresa de investigación tecnológica con sede principal en la ciudad de BOGOTA,
el objetivo principal del manual de seguridad de la información es gestionar la
integridad, disponibilidad y confidencialidad de los datos aplicando los estándares
necesarios para permitir alcanzar los logros de la organización evitando inconvenientes
en el manejo de datos.
 ARTÍCULO 2: La seguridad de la información es el conjunto de medidas administrativas,
organizativas, físicas, técnicas, legales y educativas dirigidas a prevenir, detectar y
responder a acciones que pongan en riesgo la confidencialidad, integridad y disponibilidad
de la información que se procese, intercambie, reproduzca y conserve a través de las
tecnologías de información.

ARTÍCULO 3: Las políticas y reglamentos estarán alineados a las normas de manejo de

datos conforme a la legislación colombiana y las recomendaciones internacionales en el
manejo de la seguridad de la información.

ARTÍCULO 4: La información, documentos u otros datos que se procese, intercambie,

reproduzca y conserve a través de los medios técnicos de computación es propiedad
intelectual de En-Core. Por lo tanto, se considerará llevar a medidas judiciales el robo o
salida de información sin permiso alguno de las personas a cargo de los productos de
información e investigación.

3. 3. CAPITULO II POLÍTICAS Y PLANES DE SEGURIDAD INFORMÁTICA Y DE CONTINGENCIA

SECCIÓN 1: GENERALIDADES DE LAS POLÍTICAS, PLAN DE ACCIÓN Y PLAN DE
CONTIGENCIA DE SEGURIDAD INFORMÁTICA EN ALVASTANIA.

ARTÍCULO 5: Solo el personal a cargo del manejo del área de tecnología y sistemas
establecerá las regulaciones que rijan sobre la seguridad de la información que sea
procesada, intercambiada, reproducida o almacenada a través de las tecnologías de
información, determinando los tipos de información y recursos para su protección.
También se creará los mecanismos de control para garantizar el cumplimiento de las
regulaciones previstas en este manual.

ARTÍCULO 6: Siempre que se considere necesario se evaluará los elementos de red y

usuarios con el fin de mantener actualizada las políticas de la seguridad de la información
en ALVASTANIA en casos como:
 Cambios en físicos o de organización.
 Cambios o nuevos flujos de la información.
 Cambio o nuevos recursos de tecnologías de información disponibles.
 Nuevos usuarios.  Nuevas herramientas para velar por la seguridad e integridad de la
red.

ARTÍCULO 7: El plan de seguridad informática será la base para la dirección de

procedimientos y garantizar los conocimientos mediantes lecciones aprendida donde se
reflejan las políticas, estructura de gestión y el sistema de medidas, para la Seguridad
Informática, teniendo en cuenta los resultados obtenidos en los análisis de riesgos y
vulnerabilidad realizados.

4. 4. ARTÍCULO 8: El Plan de Seguridad Informática su aplicación y cambios, serán objeto

de aprobación y control por parte de los directivos de ALVASTANIA.
5.
6. ARTÍCULO 9: El Plan de Contingencia define los procedimientos a realizar ante posibles
amenazas a la seguridad de la información que impidan cumplir con la disponibilidad,
integridad y confidencialidad.
7. ARTÍCULO 10: El Plan de Contingencia, contendrá las medidas que permitan, en caso
de desastres, la evacuación, preservación y traslado, de los medios y soportes
destinados al procesamiento, intercambio y conservación de información clasificada o
sensible (Ver anexo: Análisis de riesgo).
8. ARTÍCULO 11: El Plan de Contingencia y su aplicación serán objeto de aprobación y
control por parte de las distintas instancias de ALVASTANIA
9.
SECCIÓN 2: SEGURIDAD FÍSICA A ÁREAS DE PRODUCCIÓN, EXCLUSIVAS Y GESTIÓN
DOCUMENTAL

ARTÍCULO 12: Se consideran áreas producción aquellas donde se procese, intercambie,

reproduzca y conserve información vital con cualquier recurso tecnológico. En las áreas de
producción se aplicarán contarán con las siguientes características:
 Serán áreas cerradas donde se manejen equipos con protección de sobre carga de
tensión, riesgo de inundaciones o derrame de líquidos.
 En caso ventanas que se comuniquen con el exterior se debe velar por una posición
adecuada que evite que la información y recursos fiscos sean dañados por acción de vientos
o humedad.

ARTÍCULO 13: La entrada o permanencia en las áreas de producción estará en

correspondencia con el nivel de acceso a la información clasificada que se les haya
otorgado a las personas. En el caso del personal de servicios, mantenimiento de equipos u
otro que eventualmente precise permanecer en el área, lo hará siempre en presencia de las
personas responsables y con la identificación visible. En caso de visitantes deberán
registrarse en la entrada de ALVASTANIA para permitir registrar su entrada o salida dentro
de la empresa.

10. 5. ARTÍCULO 14: El control e seguridad física incluye también la protección de puntos de
datos mediante asociación de direcciones MAC al puerto. Sin embargo se podrá
permitir el acceso de otros dispositivos mediante la solicitud al departamento de
tecnología y sistemas de ALVASTANIA, la política de acceso físico a la red sea
inalámbrico o cableado se guiara por la tendencia BYOD (Bring Your Own Device).
11.

ARTÍCULO 15: Se consideran áreas exclusivas aquellas donde los dispositivos de

almacenamiento y procesamiento de la información están ubicados, esta área incluye el
cuarto de datos donde encuentren los servidores, y otros elementos de la red. Las
características de las áreas serán las siguientes:
 Protección a descargar eléctricas o sobre voltajes, así como el manejo de energía
mediante UPS para evitar el riesgo de pérdida de información ante apagones o problemas
de la red eléctrica.
 Suelo falso para evitar problemas de estática en los elementos.
 Control físico de acceso mediante la seguridad de puertas de ingreso.
 Control de la temperatura de los elementos mediante acondicionamiento de
refrigeración.
ARTÍCULO 16: La entrada o permanencia de las personas en las áreas exclusivas debe ser
controlada, requiriéndose la autorización expresa de la persona facultada para ello. En el
caso del personal de servicio, mantenimiento de equipos u otro que eventualmente precise
permanecer en el área lo hará siempre en presencia de las personas responsables.
ARTÍCULO 17: Todos los documentos físicos que contengan información clasificada serán
controlados y conservados en la oficina de control de la información clasificada o en el área
responsabilizada, según lo establecido para su protección y conservación. En lo posible se
requerirá la gestión documental para la digitalización de documentos y la conservación de
soportes vitales que requieran soporte físico según la ley.

12. 6. SECCIÓN 3: SEGURIDAD DE RECURSOS Y APLICACIONES

13.
ARTÍCULO 18: Los requerimientos para la seguridad técnica o lógica serán de
implementación a nivel de software y hardware y estarán en correspondencia directa con
las políticas y modelos de seguridad que para la información se determinados por los
directivos de ALVASTANIA.

ARTÍCULO 19: Los recursos tecnológicos (tablets, smartphones, computadores u otros

dispositivos) en que se procese, intercambie, reproduzca y conserve información clasificada
o sensible, se les implementarán mecanismos para identificar y autenticar los usuarios.

ARTÍCULO 20: Siempre que sea factible, se implementarán mecanismos de control

(software de gestión de usuarios) que permitan contar con una traza o registro de los
principales eventos que se ejecuten y puedan ser de interés para la detección o
esclarecimiento ante violaciones de la Seguridad Informática.

ARTÍCULO 21: Solo las aplicaciones aprobadas por el departamento de tecnología y

sistemas serán instaladas o utilizadas en cada dispositivo destinado al procesamiento de
información clasificada o sensible, reunirán los requisitos siguientes:
 Registro de control de aplicación, licencias y funcionalidad.
 Cuadro de niveles manejo de la información que permita la aplicación del control, acorde
a los niveles de acceso otorgado a los sujetos informáticos;
 Capacidad de registrar todas las operaciones principales, realizadas en el tratamiento de
bases de datos que contengan información clasificada o sensible.

ARTÍCULO 22: Se adoptarán de medidas de protección contra ataques o alteraciones no

autorizadas, a los mecanismos de seguridad técnica que se apliquen, tanto a nivel de
sistema operativo como de aplicaciones.

ARTÍCULO 23: Las copias de respaldo de la información se realizarán diariamente luego

cada día de trabajo, con el fin de recuperarlas o restaurarlas en los casos de pérdida,
destrucción o modificación males intencionados o fortuitos, de acuerdo a la clasificación o
importancia de la información que protegen.

14. 7. ARTÍCULO 24: Los recursos tecnológicos tendrán un registro de hoja de vida que
permita la trazabilidad dentro de la empresa así como los aplicativos requeridos por
cada usuario.
15.
SECCIÓN 4: MANEJO Y VIGILANCIA DE SERVICIOS

ARTÍCULO 25: La reparación o mantenimiento de los equipos destinados al procesamiento

de información clasificada se realizará una vez borrada físicamente la información. La nueva
instalación del equipo se restaura según la hoja de vida del recurso tecnológico y los
permisos del usuario a los procesos.
ARTÍCULO 26: Se prohíbe la utilización, distribución o comercialización de herramientas de
Seguridad Informática que no cuenten con la aprobación del personal encargado en
ALVASTANIA.

El escaneo y manejo de red solo debe ser manejado por el personal asignado e incluso la
persona dedicada dicha tarea, cualquier software que se use en la organización puede
generar una gran ventana de vulnerabilidad y riesgo. Las únicas herramientas autorizadas
para supervisar los servicios de red serán las designadas por el PSI autorizado. Se utilizan
exclusivamente SATAN y NETLOG. La gestión de la integridad se realizara únicamente con el
software COP, por lo tanto no se permiten otro tipo de software para el manejo de la
integridad de la red

SECCIÓN 5: FUNCIONES Y RESPONSABLES DE LA SEGURIDAD INFORMATICA.

ARTÍCULO 27: ALVASTANIA designará a una persona con la experiencia y confiabilidad
suficiente para ser Responsable de la Seguridad Informática. Cuando las características
propias de la entidad y el volumen y dispersión de las tecnologías de información
instaladas, así lo aconsejen, se podrá designar más de un responsable para la atención de la
Seguridad Informática en las diferentes áreas de trabajo.

ARTÍCULO 28: Son funciones del Responsable de Seguridad Informática en cada entidad las
siguientes:

16. 8.  Ser responsable de la aplicación y mantenimiento de los planes de seguridad

informática y de contingencia.
 Comunicar a la dirección de ALVASTANIA cuando en ella no se posean los productos de
seguridad informática actualizados y certificados, de acuerdo a las normas recogidas en el
presente Reglamento, y a las condiciones de trabajo del área.
 Apoyar el trabajo del área de tecnología y sistemas y el área administrativa, en cuanto al
estudio y aplicación del sistema de seguridad a los sistemas informáticos, con el fin de
determinar las causas y condiciones que propician violaciones en el uso y conservación de
estos sistemas y en la información que se procese en ellos;
 Proponer y controlar la capacitación del personal vinculado a esta actividad, con el
objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el
Plan de Seguridad Informática (Ver anexo: gestión de usuarios).

ARTÍCULO 29: Toda red de computadoras deberá contar para su operación con la
existencia de un Administrador de red que tendrá entre sus funciones básicas:
 Vigilar la aplicación de mecanismos que implementen las políticas de seguridad definidas
en la red;
 Velar porque la misma sea utilizada para los fines que fue creada;
 Activar los mecanismos técnicos y organizativos de respuesta ante los distintos tipos de
acciones nocivas que se identifiquen.

SECCIÓN 6: TRABAJO EN REDES ARTÍCULO 30: Se prohíbe la conexión de dispositivos a

elementos de la red en el área exclusiva, solo puede ser utilizado por el personal a cargo de
dicha área.

ARTÍCULO 31: Son de obligatoria implementación los mecanismos de seguridad de los

cuales están provistas las redes de datos; así como de aquellos que permitan filtrar o
depurar la información que se intercambie, de acuerdo a los intereses predeterminados por
cada una de ellas.
17. 9. CAPITULO III PRESTACIÓN DE SERVICIOS DE SEGURIDAD INFORMATICA A TERCEROS.
18.
ARTÍCULO 32: Solo estarán autorizadas a brindar servicios de Seguridad Informática a
terceros aquellas entidades que cuenten con el correspondiente contrato vigente con
ALVASTANIA según la naturaleza de la empresa de ofrecer servicios tecnológicos de
investigación.

19. 10. ANEXO: ANÁLISIS DE RIESGO NOMBRE RIESGO (R) IMPORTANCIA (W) RIESGO
EVALUADO (RXW) DETALLE BASE DE DATOS 10 10 100 Esta es la razón de ser de la
empresa porque allí están almacenados los detalles de los clientes y los productos de la
empresa. SERVIDOR WEB 8 10 80 Es un Equipo costoso por el tema de los servicios que
están montados. SWICTH 3 5 15 El swicth es un equipo activo que se puede cambiar,
resetear y volver a configurar. PC 7 3 21 Son los equipos lo cual los empleados procesan
información se puede modificar y cambiar piezas fácilmente. IMPRESORA 2 1 2 Recurso
para la elaboración de trabajos lo cual si se daña se cambia con facilidad.

20. 11. VER ANEXO: GESTIÓN DE USUARIOS NOMBRE SERVICIO GRUPO DE USUARIOS TIPO
DE ACCESO PRIVILEGIOS Base de Datos Empleados y Administración Local Solo Lectura
Base de Datos Clientes, Producto y Presupuesto Local Solo Lectura Acceso a Internet
Usuario Local Solo Lectura Servidor Pagina Web Técnicos de Mantenimiento Local
Lectura y Escritura. Acceso a Servidor, Router y Switch Administradores de red Local y
Remoto Lectura y Escritura Acceso a Equipos Técnicos de Sistemas Local Todos