Procedimiento de Gestión de Seguridad Informática

Código de Proceso: S04.3.
1
PROCEDIMIENTO DE GESTIÓN DE Código del documento: DGSI-01
Versión: 1.0
SEGURIDAD INFORMÁTICA
Página 1
FICHA DE INDICADOR DE DESEMPEÑO
FICHA DE INDICADOR DE DESEMPEÑO
Código del proceso S04.3.1

Nombre del proceso Actualización y generación de normativa de seguridad
Objetivo del proceso Mejorar la capacidad de gestión de la Oficina General de Estadística e Informática
Nombre del proceso relacionado Documentos de Gestión de Seguridad de la Información
Indicador
Nombre del Indicador Cantidad de normas de seguridad aprobadas
Objetivo del Indicador Medir la cantidad de normas de seguridad elaboradas por la Oficina de Tecnología de la Información
Fórmula Sumatoria de la cantidad de normas de seguridad propuestas que han sido aprobadas
Unidad de Medida Normas de seguridad aprobadas
Frecuencia Anual
Línea Base Corresponde a la cantidad de normas de seguridad elaboradas por la Oficina de Tecnología de la Información
Meta N.D.
Fuente de datos Oficina de Tecnología de la Información
Responsable Oficina de Tecnología de la Información / Oficina General de Estadística e Informática
Órgano / Unidad Orgánica Firma y sello
Oficial de Seguridad de la Información

Elaborado por: Guillermo Fernández Namuche
OGEI / OGEI
Directora de OTI
Revisado por: Maria Quispe Cerna
OGEI / OTI
Firmado digitalmente por: MORAN

Director General de la OGEI HUANAY Eduardo Martin FAU
Aprobado por: Eduardo Moran Huanay 20504743307 hard
OGEI / OGEI Motivo: En señal de conformidad
Fecha: 2021/10/21 19:00:58-0500

Fecha:
FICHA DE PROCEDIMIENTO
PROCEDIMIENTO DE GESTIÓN DE SEGURIDAD INFORMÁTICA
Objetivo del procedimiento

Establecer actividades para gestionar los riesgos inherentes a la seguridad de la plataforma tecnológica, servicios informáticos, servicios de
red y el uso de mecanismos criptográficos para salvaguardar la confidencialidad, integridad y disponibilidad de los activos de información en
el Ministerio de Vivienda, Construcción y Saneamiento (MVCS).
Alcance del procedimiento

Las disposiciones contenidas en este procedimiento son de aplicación y obligatorio cumplimiento para la Oficina General de Estadística e Informática, y todo
usuario que tengan acceso a los servicios materia del presente procedimiento, para el desarrollo de sus funciones.
Base normativa
● Norma Técnica Peruana “NTP-ISO/IEC 27005:2009 EDI. el cual está diseñado para asistir a la implementación satisfactoria de la seguridad de la información
en base a un enfoque de Gestión del Riesgo.
Firmado digitalmente por: Firmado digitalmente por: Firmado digitalmente por: QUISPE
RODRIGUEZ CACERES Kenny Mirko FERNANDEZ NAMUCHE Guillermo CERNA Maria Isabel FAU
FAU 20504743307 soft Pedro FAU 20504743307 soft 20504743307 hard
Motivo: Doy V° B° Motivo: Doy V° B° Motivo: Doy V° B°
Fecha: 2021/10/15 15:44:45-0500 Fecha: 2021/10/19 16:59:24-0500 Fecha: 2021/10/21 18:40:52-0500
Código de Proceso: S04.3.1
Versión: 1.0
Página 2
● Norma Técnica Peruana “NTP-ISO/IEC 31000:2011. proporciona los principios y las directrices genéricas sobre la Gestión de Riesgo.
● Norma Técnica Peruana “NTP-ISO/IEC 27001:2014 EDI. señala en el Anexo A. 17.1 Continuidad de Seguridad de la Información. “Objetivo: La continuidad de
seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización”.
Siglas y definiciones
Activo (inglés: Asset): cualquier cosa que tenga valor para un individuo, una organización o un gobierno1 .
Activo de Información: conocimiento o datos que tienen valor para el individuo u organización2. En relación con la seguridad de la información, se refiere a
cualquier información o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios, personas, etc.) que tenga valor para la organización3.
Características de los activos de la información: Un activo de información puede tener las siguientes características, independiente del tipo de activo:
- El activo de información es reconocido como valioso
- No es fácilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o combinación de los mismos.
- Forma parte de la identidad de la entidad y sin la cual el MVCS puede estar en algún nivel de riesgo.
Antivirus: programas cuyo objetivo es detectar o eliminar virus informáticos.
Amenaza: potencial violación de la seguridad.
Borrado seguro: método de borrado de archivos basado en software cuya función es sobrescribir los datos con el propósito de destruir completamente todos los
datos electrónicos que residen en una unidad de disco duro u otros medios de almacenamiento, por lo que es imposible la recuperación posterior de los datos.
Características técnicas: es la descripción de los componentes de una herramienta tecnológica como pueden ser modelo, velocidad, capacidad de
almacenamiento, entre otras.
Caso: número consecutivo asignado al requerimiento o incidente.
Central de servicios de TI: sistema por medio del cual se gestiona el portafolio de servicios de TI, asesoría en proyectos de TI, desarrollo de sistemas de
información, adquisiciones tecnológicas, soporte técnico, administración de servicios de TI. (Abreviado CSTI).
Centro de datos: espacio físico ubicado en el 7° piso de la entidad en el cual se encuentran los equipos servidores, equipos de comunicaciones que alojan los
servicios de red como aplicativos, bases de datos, servicio de internet, servicio de directorio activo y seguridad perimetral del MVCS.
Centros de cableado: espacio físico ubicado en diferentes sedes y pisos de la entidad en el cual se encuentran los diferentes equipos de comunicaciones que
permite la comunicación entre las diferentes sedes y pisos del MVCS..
CSIRT: (Computer Security Incident Response Team) equipo de respuesta a incidentes de seguridad cibernética, por su sigla en inglés.
Denegar: responder negativamente a una petición o solicitud.
Enrutador (Router): dispositivo de comunicaciones encargado de enviar paquetes de datos de una red a otra de acuerdo con las reglas implementadas en la red
del MVCS.
Hardening o endurecimiento: es el proceso de asegurar un sistema al reducir sus vulnerabilidades o agujeros de seguridad, para los que se está más propenso
cuantas más funciones desempeña; el proceso de cerrar las vías para los ataques más típicos incluye el cambio de claves por defecto, desinstalar el software y
dar de baja usuarios y accesos innecesarios; también deshabilitar servicios que no serán usados y fortalecer las configuraciones de aquellos que estarán en uso.
Hardware – HW: es la parte física de cualquier dispositivo electrónico o informático, es usual que sea utilizado en una forma más amplia, generalmente para
describir componentes físicos de una tecnología, incluyendo equipos de cómputo, periféricos, redes, cableado y cualquier otro elemento físico involucrado.
Herramientas Ofimáticas: programas que facilitan las labores propias de la oficina. Ejemplo: procesadores de palabras, hojas electrónicas, mensajería y
colaboración, diagramación, entre otros.
Información: es un conjunto de datos organizados y procesados que tienen un significado, relevancia, propósito y contexto. La información sirve como evidencia
de las actuaciones de las entidades. Un documento se considera información y debe ser gestionado como tal.
Inventarios: es la relación ordenada, completa y detallada de toda clase de bienes que integran el patrimonio del MVCS. El inventario permite verificar, clasificar,
analizar, valorar y controlar los bienes, lo cual posibilita efectuar un control razonable de las existencias reales, para evitar errores, pérdidas, deterioro y
desperdicio de elementos.
Infraestructura tecnológica: es la relación ordenada, completa y detallada de toda clase de bienes que integran el patrimonio del MVCS. El inventario permite
verificar, clasificar, analizar, valorar y controlar los bienes, lo cual posibilita efectuar un control razonable de las existencias reales, para evitar errores, pérdidas,
deterioro y desperdicio de elementos.
Licencia: un acuerdo legal en el que una parte otorga a otra ciertos derechos y privilegios. En el campo de la informática, un editor de software generalmente
otorgará un derecho no exclusivo (licencia) a un usuario para la utilización de una copia de su programa informático, y prohibirá la realización de otras copias y la
distribución de dicho programa a otro usuario. Según las herramientas, las licencias tienen diferentes niveles y términos.
Logs: huellas o rastros de los sucesos que se han presentado en un equipo de cómputo o de comunicaciones de red con el fin de dar a proteger los equipos que
conforman la red del MVCS.
MVCS: Ministerio de Vivienda, Construcción y Saneamiento
Obsolescencia tecnológica: se considera obsoleto un equipo cuando en el mercado tecnológico legal, no existen partes o repuestos de soporte por tener
demasiado tiempo de haber sido adquirido o porque el fabricante ha dejado de producir el producto del modelo específico.
OGEI: Oficina General de Estadística e Informática
Plataforma tecnológica: es el conjunto de hardware y software sobre el cual funcionan los diferentes servicios tecnológicos y operativos que presta el MVCS:
equipos de cómputo, equipos de comunicaciones, sistemas de información, equipos de fotocopiado, equipos de digitalización, equipos de telefonía, impresoras,
switches, routers, firewall, escáneres, cableado estructurado, CPU´s, servidores, software informático, equipos de comunicación, internet, red LAN, etc.
OGGRH: Oficina General de Gestión de Recursos Humanos
OTI: Oficina de Tecnología de la Información
Requerimiento técnico: aviso o manifestación de una situación problema a nivel técnico.
Software - SW: se refiere al equipamiento lógico de un computador, está compuesto por todos los aplicativos y licencias que están instalados en cada uno de los
equipos de cómputo del ente departamental.
___________________________________________
1 Tomado de la Norma ISO/IEC 27032:2012 (definición 4.6, traducida al español), disponible en Internet en: https://www.iso.org/obp/ui/#iso:std:isoiec:27032:ed-1:v1:en.
2 Ibídem (definición 4.27, traducida español)
3 Tomado del Portal de ISO 27001 en español, Gestión de Seguridad de la Información. En http://www.iso27000.es/glosario.html#section10a.
Versión: 1.0
Página 3
Riesgo: posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información.
Riesgos de seguridad de la información: registrados en los riesgos institucionales del MVCS.
Roles: conjunto de responsabilidades y actividades asignadas a una persona o grupo de personas para apoyar la adopción y aplicación del Marco de Referencia
de Arquitectura Empresarial para la gestión de TI.
Segmentación de red: proceso a través del cual se divide la red LAN en segmentos o grupos más pequeños con el fin de conseguir un mejor aprovechamiento del
ancho de banda y evitar congestión de tráfico.
Seguridad perimetral informática (FIREWALL): corresponde a hardware o software o la integración de ambos para la protección de perímetros lógicos y físicos,
detección de tentativas de intrusión y/o disuasión de intrusos en la red del MVCS.
Transferencia de información: proceso a través del cual se entrega información en formato digital que se encuentra en custodia de la Oficina de Tecnología de la
Información a un proceso del MVCS o un tercero interesado de acuerdo con la solicitud presentada.
WSUS: o Windows Server Update Services es una función dentro del catálogo disponible en Windows, permite la distribución de los parches y actualizaciones
publicadas por Microsoft de forma centralizada para todos los PC, portátiles, servidores que tengan sistemas operativos Microsoft, de forma programada. Lo
anterior, permite una gestión correcta del ancho de banda disponible en la red de comunicaciones del MVCS.
DESCRIPCIÓN DEL PROCEDIMIENTO:
1: Gestión de Acceso al Centro de Datos y los Cuartos de Comunicaciones
Documentos que se
N° Descripción de la actividad Responsable Puntos de Control / Observaciones
generan
Punto de Control:
Se debe asegurar de definir las funciones de
Asignar roles de Administración del Centro de
acuerdo a perfiles y competencias. Comunicación oficial
1 Datos y Cuartos de Comunicaciones al personal Director/a de la OTI
interna.
de Infraestructura.
Se debe realizar una descripción específica
del alcance de cada uno de los roles.
Autorizar permisos a los dispositivos de control Punto de Control:
Comunicación oficial
de acceso biométrico al Centro de Datos y Verifica que se asignen privilegios según las
interna.
Cuartos de Comunicaciones. funciones.
2 Director/a de la OTI
Acceso permanente al
Registrar el permiso diligenciado en el “Formato Se debe realizar monitoreo periódico a
Centro de Datos y Cuartos
de acceso permanente al Centro de Datos y los control de accesos, determinar pertinencia
de Comunicaciones.
Cuartos de Comunicaciones” (anexo 1). y continuidad.
Comunicar a la Oficina General de
Observación:
Administración y la Oficina General de Gestión
En caso de presentarse una emergencia en
de Recursos Humanos, la autorización de ingreso
horarios no laborales, la Oficina General de Comunicación oficial
3 en horario no laboral en casos de emergencia en Director/a de la OTI
Administración debe tener la información interna.
el Centro de Datos ubicado en el piso 4 y a los
de los especialistas de contacto de la Oficina
Cuartos de Comunicaciones ubicados en los
de Tecnología de la Información.
diferentes pisos, a los funcionarios registrados.
Realizar las actividades de administración,
monitoreo y/o mantenimiento en el Centro de
Datos y/o los Cuartos de Comunicaciones de
acuerdo a las responsabilidades definidas al rol y
de acuerdo con las planificaciones de la
actividad.
Punto de Control:
Personal de
Diligenciar el formato “Bitácora de Acceso a Director/a de la Oficina de Tecnologías de la Bitácora de Acceso a Centro
Infraestructura y el
4 Centro de Datos y los Cuartos de Información debe verificar periódicamente de Datos y/o los Cuartos de
Oficial de Seguridad de la
Comunicaciones” (Anexo 2). el diligenciamiento de la Bitácora de Acceso Comunicaciones.
Información
y los fines de los accesos.
En caso de requerir acceso al Centro de Datos
y/o Cuartos de Comunicaciones a personal no
autorizado, se debe realizar las actividades 5, 6 y
7.
Solicitar autorización de acceso al Centro de

Observación:
Datos y/o los Cuartos de Comunicaciones a
Relacionar claramente la identificación del
personal no autorizado, (funcionario, tercero,
Personal de personal autorizado, la descripción de las
5 y/o contratista), en caso sea requerido el acceso,
Infraestructura actividades a realizar, el tiempo programado
para lo cual debe diligenciar el formato
de las actividades y las fechas y horarios de
“Autorización Acceso a Centro de Datos y/o
acceso y permanencia.
Cuartos de Comunicaciones” (Anexo 3).
Versión: 1.0
Página 4
Documentos que se
generan
Autorizar o denegar el ingreso de personal
dependiendo de la pertinencia de las labores y
Autorización Acceso al
los accesos. Punto de Control:
Centro de Datos y/o los
Restringe el acceso a áreas seguras, de
Cuartos de
En caso que el acceso sea en tiempos no almacenamiento, procesamiento y
6 Director/a de la OTI Comunicaciones.
laborales se informa a la Oficina General de transmisión de datos, permitiendo el acceso
Administración la autorización de ingreso de solo al personal autorizado y en los casos
Comunicación Oficial
personal indicando el horario de acceso y tiempo necesarios.
Interna.
de permanencia.
Acompañar y monitorear al personal autorizado Punto de Control:

temporalmente para ejecutar actividades en el Registrar las actividades realizadas en el
Bitácora de Acceso al
Centro de Datos y/o Cuartos de Comunicaciones. Centro de Datos y/o los Cuartos de
Personal de Centro de Datos y/o los
7 Comunicaciones, en la Bitácora y de ser
Infraestructura Cuartos de
Diligenciar el formato “Bitácora de acceso al necesaria según la complejidad de la
Comunicaciones.
Centro de Datos y/o los Cuartos de actividad entregar informe detallado de
Comunicaciones (Anexo 2). actividades y/o intervenciones.
Informe mensual de
Elaborar informe mensual de actividades de administración del Centro
administración del Centro de Datos, los Cuartos Personal de de Datos, Cuartos de
8
de Comunicación y gestión de aseguramiento de Infraestructura Comunicación y gestión de
los servicios de red. aseguramiento de los
servicios de red.
Punto de Control:
Analizar los informes y comunicar los aspectos Se debe analizar periódicamente la
relevantes al Director/a General y al Oficial de generación de nuevos riesgos, el nivel de
Seguridad de la Información para la toma de vulnerabilidad de la plataforma tecnológica
decisiones. y la efectividad de los controles
implementados
2: Gestión de ingreso y/o salida de Equipos y Elementos del Centro de Datos y/o Cuartos de Comunicaciones
Documentos que se
generan
Solicitar autorización para ingreso y/o salida de
equipos o elementos al Centro de Datos o los Punto de Control:
Cuartos de Comunicaciones, para lo cual Personal de Verifica y registra la identificación del
1
diligencia el formato “Ingreso y Salida de Infraestructura equipo o elemento, características técnicas
Equipos y/o Elementos del Centro de Datos y/o y estado del elemento a ingresar o retirar.
Cuartos de Comunicaciones” (Anexo 4).
Punto de Control:
Verifica que la información del formato esté
completa con los datos de los equipos o
elementos que ingresan o se retiran.
Autorizar o denegar la solicitud de ingreso y/o
Ingreso y salida de equipos
salida de equipos o elementos del Centro de
Restringir el ingreso de equipos y/o y/o elementos del Centro
2 Datos o a los Cuartos de Comunicaciones, para lo Director/a de la OTI
elementos a áreas seguras, de de Datos y/o los Cuartos de
cual, debe tener en cuenta la pertinencia y
almacenamiento, procesamiento y Comunicaciones.
necesidad de la acción, para lo cual firma en la
transmisión de datos, permitiendo el acceso
casilla autoriza la solicitud.
solo a los equipos y/o elementos
autorizados y debidamente verificados y
controlados.
Ingresar y/o retirar equipos o elementos al
Centro de Datos o los Cuartos de
Comunicaciones.
Ingreso y salida de equipos
Personal de y/o elementos del Centro
3 En caso que el ingreso o retiro del equipo o
Infraestructura de Datos y/o los Cuartos de
elemento tenga afectación en el inventario, se
Comunicaciones
informa al/a Director/a de la Oficina de
Tecnología de la Información para que se
informe la novedad de inventarios.
Versión: 1.0
Página 5
Solicitar a la Oficina General de Administración,

la actualización del inventario (ingreso, salida,
baja de los elementos registrados) de la Oficina Comunicación Oficial
de Tecnología de la Información, mediante Interna. (Memo, informe)
comunicación oficial, anexando los soportes
requeridos.
3: Gestión de Cambios en el Centro de Datos y en los Cuartos de Comunicaciones
Documentos que se
generan
Observación:
Se debe informar fecha, horario de acceso y
tiempo de permanencia e indicar la
afectación en la disponibilidad de los
servicios informáticos /plataforma
Solicitar autorización para ejecutar actividades
tecnológica a funcionarios y/o ciudadanos,
técnicas soporte y/o mantenimiento (instalación,
indicando el alcance de la afectación y el
configuración y/o desinstalación) de equipos o
tiempo de la misma.
elementos del Centro de Datos o Cuartos de
Personal de
1 Comunicaciones, para lo cual diligencia el
Infraestructura Punto de control:
formato “Registro de cambios en el Centro de
El/a Director/a de la Oficina de Tecnología
Datos y/o en los Cuartos de Comunicaciones”
de la Información y el/a Director/a General
(Anexo 5)
de la OGEI deben evaluar con anterioridad
el impacto de las intervenciones en la
infraestructura tecnológica instalada o
retirada, para activar los planes de
contingencia, respaldo, y comunicación en
caso de ser necesario.
Autorizar la ejecución de actividades técnicas,
para lo cual firma en la casilla autorizada de la
Registro de cambios en el
solicitud. Director/a de la Oficina
Centro de Datos y/o en los
2 de Tecnología de la
Cuartos de
En caso que la actividad tenga afectación de Información
Comunicaciones.
servicios informáticos en el MVCS, ejecuta la
actividad 3.
Punto de control:
El/a Director/a de la Oficina de Tecnología
de la Información y el/a Director/a General
Remitir a la Secretaría General, información para
Director/a de la Oficina de la OGEI deben evaluar con anterioridad Correo electrónico
su comunicación a funcionarios y/o ciudadanía
3 de Tecnología de la el impacto de las intervenciones en la institucional y/o
acerca de la actividad a realizar y los horarios de
Información infraestructura tecnológica instalada, para memorándum múltiple.
indisponibilidad de servicios informáticos del
activar los planes de contingencia, respaldo,
MVCS.
y comunicación en caso de ser necesario.
Ejecutar actividades técnicas de instalación, Registro de cambios en el

configuración, soporte y/o mantenimiento de Centro de Datos y/o en los
equipos y/o elementos del Centro de Datos y/o Cuartos de
Punto de Control:
los Cuartos de Comunicaciones. Comunicaciones.
Personal de Verifica que las actividades se realicen de
4
Infraestructura acuerdo a lo planeado.
Efectuar trámite para la actualización de la Actualización de planos de
distribución interna del de RACK en el Centro de RACK en el Centro de Datos
Datos y Cuartos de Comunicaciones según los y los Cuartos de
cambios aplicados. Comunicaciones.
Realizar informe de las actividades realizadas
Personal de Informe de actividades
5
Infraestructura realizadas.
Verificar el correcto funcionamiento de equipos
y/o elementos del Centro de Datos y/o Cuartos
Registro de cambios en el
de Comunicaciones y disponibilidad de los
Personal de Centro de Datos y/o en los
6 servicios informáticos afectados con la actividad
Infraestructura Cuartos de
de soporte y/o mantenimiento.
Comunicaciones.
Versión: 1.0
Página 6
Documentos que se
generan
Observación:
Actualizar el Informe mensual de administración Informe mensual de
Remite el informe el/a Director/ de la OTI
del Centro de Datos, Cuartos de Comunicaciones administración del Centro
con el resultado de la actividad de
y gestión de aseguramiento de los servicios de Personal de de Datos, Cuartos de
7 instalación, configuración, soporte y/o
red, haciendo énfasis en los cambios realizados Infraestructura Comunicaciones y gestión
mantenimiento realizados, así como los
en el Centro de Datos y Cuartos de de aseguramiento de los
riesgos identificados y la implementación de
Comunicaciones. servicios de red.
controles para su remediación.
Punto de Control:
Analizar los informes y comunica las acciones a
Se debe evaluar las acciones para la
realizar a la Dirección General de OGEI y al
mitigación de los riesgos identificados en la
8 Oficial de Seguridad de la Información para la Director/a de la OTI
plataforma tecnológica, así como su
toma de decisiones.
efectividad de los controles a implementar.
4: Seguridad Perimetral Informática - Antivirus - WSUS
Documentos que se
generan
Punto de Control:
Segregación de funciones de acuerdo a
perfiles y competencias.
Se debe realizar una descripción específica

Asignar a los especialistas de Infraestructura del alcance de la administración de las
Tecnológica la administración de las plataformas: plataformas. Comunicación oficial
● Seguridad Perimetral interna
● Antivirus La conformación de equipos y tareas debe
● Windows Server Update Services - WSUS ser coherente con las establecidas en el Plan
de Contingencias, en caso de requerir
ajustes se deben tramitar los mismos de
acuerdo con su pertinencia.
Otorgar permisos de acceso al portal del

Punto de Control:
fabricante de las plataformas de seguridad
Asignación de privilegios según las
perimetral, antivirus, WSUS, según se requiera, a
funciones y perfiles requeridos.
los especialistas de Infraestructura con la Comunicación oficial
administración de las plataformas de: interna
Aplicar protocolos de seguridad en el
● Seguridad Perimetral
suministro de las claves y usuarios de
● Antivirus
acceso, según corresponda.
● Windows Server Update Services - WSUS
Observación:
Revisar, administrar y monitorear, la aplicación Las actividades de revisar, administrar,
de políticas de seguridad en equipos de monitorear se realizan diariamente.
seguridad perimetral con su usuario asignado.
Personal de Punto de Control:
Si existiera un cambio en la configuración de la Infraestructura con la Validar el correcto funcionamiento de las
3
plataforma, se deberá llenar el “Formato de administración de la políticas de seguridad implementadas en los
registros de cambios en el Centro de Datos y Seguridad Perimetral equipos de seguridad perimetral.
Cuartos de Comunicaciones” del (Anexo 5)
Realizar documentación técnica de las
En caso de presentar alerta de riesgo, debe actividades realizadas.
realizar actividades 6, 7, 8.
Observación:
Las actividades de revisar, administrar,
monitorear se realizan diariamente.
Revisar, administrar y monitorear, la aplicación
de políticas de seguridad en plataforma Personal de
Punto de Control:
antivirus, así como equipos infectados. Infraestructura con la
4 Validar el correcto funcionamiento de las
administración del
políticas de seguridad en plataforma
En caso de presentar alerta de riesgo, debe Antivirus
antivirus y gestión de equipos infectados.
realizar actividades 6, 7, 8.
Realizar documentación técnica de las
actividades realizadas.
Versión: 1.0
Página 7
Documentos que se
generan
Revisar, administrar y monitorear, la aplicación
centralizada de actualizaciones y parches Observación:
publicados por Microsoft o plataforma Las actividades de revisar, administrar,
implementada en las PC´s y servidores del monitorear se realizan diariamente.
MVCS.
Personal de
Punto de Control:
Infraestructura con la
Previo al despliegue de la actualización o parche, Validar la correcta aplicación de
5 administración de
esta debe ser probada para no afectar el normal actualizaciones y parches de Microsoft o
Windows Server Update
funcionamiento de los equipos y servidores. plataforma implementada en los equipos de
Services - WSUS
computación con productos Microsoft .
En caso de presentar alerta de riesgo, debe
realizar actividades 6, 7, 8. Reporte del estatus de los equipos.
Personal de
En caso de presentar alerta de riesgo, comunica Infraestructura con la
el incidente e impacto en los equipos y/o administración de:
Informe de alerta de
servicios en el MVCS inmediatamente al ● Seguridad Perimetral Observación:
seguridad:
6 Director(a) de la Oficina de Tecnología de la ● Antivirus Elabora documentación técnica de la alerta
Información y al Oficial de Seguridad de la ● Windows Server presentada.
Correo Electrónico.
Información, vía correo electrónico o Update Services -
telefónicamente en caso de ser necesario. WSUS
Director/a General de la
OGEI
Director/a de la OTI Punto de Control:

Si los riesgos se encuentran en la matriz de
Personal de riesgos, se debe analizar la eficacia y
Infraestructura con la efectividad de los controles implementados
administración de: para dichos riesgos y medir su efectividad.
Analizar y tomar decisión de acciones de ● Seguridad Perimetral Acta de reunión de
7
mitigación de los riesgos. ● Antivirus De identificarse un riesgo nuevo, se debe seguridad.
● Windows Server realizar la evaluación del mismo y registrarlo
Update Services - en la matriz, así como la implementación de
WSUS controles para su mitigación.
Oficial de Seguridad de la
Información
Personal de
Infraestructura con la
administración de:
Informe de evento de
● Seguridad Perimetral
Realizar la ejecución de acciones de mitigación seguridad (causa,
8 ● Antivirus
de riesgos. consecuencia, acciones de
● Windows Server
mitigación).
Update Services -
WSUS
Informe mensual de
seguridad perimetral.
Informe mensual de
Elaborar el informe sobre la administración de
Personal de plataforma antivirus.
9 los equipos de seguridad perimetral, antivirus,
Infraestructura
WSUS según corresponda.
Informe mensual de
plataforma WSUS.
Analizar los informes y comunicar los aspectos Punto de Control:

Director/a de la Oficina
relevantes al/a Director/a General de la OGEI y al Se debe analizar periódicamente la
10 de Tecnología de la
Oficial de Seguridad de la Información para la identificación de nuevos riesgos, el nivel de
Información
toma de decisiones. vulnerabilidad de la plataforma tecnológica
Versión: 1.0
Página 8
y la efectividad de los controles

implementados.
5: Aseguramiento de servicios en la Red
Documentos que se
generan
Revisar los registros (logs) de auditoría y eventos
de los elementos de red (switches, firewall,
controladores inalámbricos, otros).
1 Administrador de Red
En caso de encontrar alertas que comprometan
la red o su seguridad, se inicia con las
actividades del “Procedimiento Gestión de
Incidentes de Seguridad”.
Observación:
Realizar actividades de administración y gestión
Se debe llevar relación de los usuarios
de privilegios de usuarios con acceso al
2 Administrador de Red habilitados en cada dispositivo como
dispositivo con el fin de verificar que se
administradores y superusuarios de los
encuentren los usuarios correctos.
sistemas de información.
Diagramación y
Revisar necesidades y/o solicitudes de cambios
documentación de la
3 de organización, segmentación, o nuevos Administrador de Red
segmentación de la red del
accesos entre redes (vlan, puertos y wifi).
MVCS.
Punto de Control:
Registro de VPN en el
4 Revisar, monitorear y gestionar las conexiones Administrador de Red Las VPN activas deben estar aprobadas por
Firewall
VPN configuradas en el firewall. la Oficina de Tecnología de la Información.
Directorio activo
Revisar y actualizar el directorio activo del MVCS actualizado Informe de
que permitan asegurar el acceso a los servicios administración y gestión de
de red a los funcionarios activos. conexiones de red.
Revisar las versiones del firmware de los
equipos: switches, firewall y controladores de Información de equipos
wifi, con el fin de mantener los equipos informáticos.
actualizados con las versiones estables y
recientes del fabricante. Informe de administración
del Centro de Datos,
Actualizar mensualmente el Informe de Cuartos de Comunicaciones
administración del Centro de Datos, Cuartos de y gestión de aseguramiento
Comunicaciones y gestión de aseguramiento de de los servicios de red.
los servicios de red.
Analizar informe de administración del Centro de
Datos, Cuartos de Comunicaciones y gestión de
aseguramiento y comunica los aspectos
relevantes al/a Director/a General de OGEI y al
Oficial de Seguridad de la Información para la
toma de decisiones.
6: Transferencia de información Digital
Documentos que se
generan
Observaciones:
Para solicitudes de transferencia de
información con entidades externas debe
ser solicitado por el/la Titular del Órgano,
Reportar la solicitud de transferencia o
Unidad Orgánica o Programa de la
transmisión de información, con base en las Personal del MVCS
dependencia propietario de la información. Registro en el Sistema de
1 actividades del “Procedimiento de Atención de propietario del activo de
Mesa de Ayuda
Servicio de Mesa de Ayuda y Soporte a información.
Observaciones:
Usuarios”.
Tener en cuenta los acuerdos de
confidencialidad establecidos por el MVCS.
El personal del MVCS, que trate temas o
información clasificada como información
Versión: 1.0
Página 9
pública reservada o información pública

clasificada (privada o semiprivada), lo
deberán hacer en lugares seguros y/o por
medios de comunicación establecidos por el
MVCS.
Documentos que se
generan
Observación:
Verificar la necesidad de transferencia de
La transferencia de información al interior
información, donde establecerá si es Sistema de Mesa de Ayuda
2 Mesa de Ayuda del Ministerio se realizará a través de los
transferencia de información al interior del por número de ticket.
medios oficiales de comunicación
MVCS o fuera de ella y escala el requerimiento.
establecidos por el MVCS.
Complementar la solicitud de transferencia de
información teniendo en cuenta los siguientes
aspectos en caso que se requiera:
Si es transferencia a terceros:
- Establecer un acuerdo de transferencia de
información con terceros, el cual deberá
contener cláusulas donde se establezcan las
herramientas a utilizar para asegurar la Punto de Control:
transferencia de información, acuerdo de Director/a de la OTI, revisa y aprueba la
confidencialidad de la información, solicitud antes de ser realizada.
compromiso y reserva, el cumplimiento de la
normatividad vigente nacional e internacional Observaciones:
para el tratamiento de la información, en caso La transferencia de información digital será
que se requiera. liderada por la Oficina de Tecnología de la
Información, así como el control del uso de
- Medio de envío y autenticación detallada para sistemas de transferencia en coordinación
la transferencia de información. con la dependencia y/o funcionario que
Sistema de Mesa de Ayuda
manifieste la necesidad.
Especialista o Técnico de por número de ticket.
- Tiempo aproximado de utilización de la
la OTI responsable de
3 herramienta para el traspaso de la La Oficina de Tecnología de la Información
atención de la solicitud Acuerdo de transferencia y
información. se reservará el derecho de suspender de
(Asignado) confidencialidad de
manera unilateral los servicios que hacen
información con terceros.
- Especificaciones técnicas especiales como parte del objeto del acuerdo, así como la
llaves digitales o técnicas de encriptación de terminación unilateral del mismo, si llegara
acuerdo con la entidad que se esté trabajando a detectar algún incidente de seguridad que
y la clasificación de la información. ponga en riesgo la Información del MVCS.
Pasa a la actividad No.4 La Oficina de Tecnología de la Información

realizará transferencia de información con
Si la transferencia es interna: organizaciones gubernamentales y privadas,
- Validar que esté autorizado por el jefe basada en la necesidad planteada por el
inmediato. Evalúa la necesidad y establece la MVCS.
herramienta apropiada para la atención de la
solicitud.
- Verificar la clasificación de la información a

transferir.
Pasa a la actividad No 5.
Punto de control:
Transferencia de información a terceros
Verifica si la transferencia de información
Especialista o Técnico de
hace parte del desarrollo de un contrato,
Si la transferencia de información obedece a la la OTI responsable de Sistema de Mesa de Ayuda
4 para lo cual deberá verificar que se tenga
ejecución de una función del MVCS, se procede atención de la solicitud por número de ticket.
total claridad del acuerdo de
a coordinar con la entidad interesada el medio (Asignado)
confidencialidad de la información que
de transferencia.
firmó.
Transferencia de información interna
Observación:
La Oficina de Tecnología de la Información,
Realizar las actividades de transferencia de la OTI responsable de Registro en el Sistema de
5 implementará las herramientas y controles
información interna. atención de la solicitud Mesa de Ayuda
para asegurar la transferencia de
(Asignado)
información al interior del MVCS.
De lo contrario, realiza las actividades del
Versión: 1.0
Página 10
“Procedimiento de Atención de Servicio de Mesa

de Ayuda y Soporte a Usuarios” que apliquen de
acuerdo a la naturaleza de la solicitud.
Documentos que se
generan
Validar el medio de transferencia.
En caso de ser por el protocolo de transferencia

de archivos FTP o almacenamiento en la nube o
Punto de Control:
correo electrónico o que la información sea
Informar al(a) Director(a) de la Oficina de
clasificada o reservada.
Tecnología de la Información que los
servicios abiertos para atender la solicitud
En caso de ser por medio extraíble (USB, disco la OTI responsable de Registro en el Sistema de
6 fueron cerrados.
externo u otro) realiza las actividades del atención de la solicitud Mesa de Ayuda
“Procedimiento de Atención de Servicio de Mesa (Asignado)
El almacenamiento en la nube se debe
de Ayuda y Soporte a Usuarios”, que apliquen de
realizar únicamente en las herramientas
acuerdo a la naturaleza de la solicitud.
institucionales autorizadas.
Cerrar o desactivar los servicios autorizados
temporalmente para la atención del
requerimiento.
Versión: 1.0
Página 11
7: ANEXOS
ANEXO 1. Formato de acceso permanente al Centro de Datos y los Cuartos de Comunicaciones
Código de formato: DGSI-01-01

Formato de acceso permanente al Versión: 1.0
centro de datos y los cuartos de Código del documento: DGSI-01
Versión: 1.0
comunicaciones
Página XX
Fecha de autorización: Dia: Mes: Año:
Firma: Firma:
Nombre: Nombre:
Oficina General de Estadística e Informática Oficina de Tecnología de la Información
Nº Datos del personal autorizado
Nombre completo:
DNI:
Cargo:
1
Rol:
Teléfono Móvil:
Anexo:
Nombre completo:
DNI:
Cargo:
2
Rol:
Teléfono Móvil:
Anexo:
Nombre completo:
DNI:
Cargo:
3
Rol:
Teléfono Móvil:
Anexo:
Nombre completo:
DNI:
Cargo:
4
Rol:
Teléfono Móvil:
Anexo:
Instructivo de Diligenciamiento del Anexo 1
Nombre del Campo Descripción del Campo

Fecha de autorización Fecha en la cual se diligencia el formato, se conceden los permisos y se firma
autorización.
Firmas Corresponde a las firmas que autorizan los accesos y la validez del documento.
Nombre Nombre de las personas que autorizan los accesos y la validez del documento.
Nº de Orden Hace referencia al orden ascendente de los colaboradores a los cuales se les
concede la autorización de acceso permanente.
Datos del funcionario autorizado En este campo se debe diligenciar el nombre completo, DNI, cargo del personal,
nombre de rol a designar y por último los teléfonos de contacto móvil y anexo.
Versión: 1.0
Página 12
ANEXO 2. Bitácora de acceso al Centro de Datos y Cuartos de Comunicaciones

Versión: 1.0
Bitácora de acceso al centro de datos Código del documento: DGSI-01
y cuartos de comunicaciones Versión: 1.0
Página XX
Hora
Nombre y Empresa/O Labor a Hora de
Fecha DNI/RUC de Autoriza Firma
Apellidos ficina realizar Ingreso
Salida
Versión: 1.0
Página 13
Hace referencia a la fecha de acceso al Centro de Datos o Cuarto de

Fecha
Comunicaciones.
Hace referencia al funcionario, contratista o terceros que ingresan al Centro de
Nombres y Apellidos
Datos o Cuarto de Comunicaciones.
Número de documento de identidad o Ruc según corresponda a persona natural o
DNI / RUC
jurídica.
Hace referencia a la empresa o oficina interna de donde procede el colaborador,
Empresa / Oficina contratista o tercero que ingresa al Centro de Datos o los Cuartos de
Comunicaciones.
Hace referencia a las labores que se desarrollarán en el Centro de Datos o Cuarto de
Labor a realizar
Comunicaciones. P. Ej.: Mantenimiento Preventivo.
En este campo se debe indicar la hora de ingreso al Centro de Datos o Cuarto de
Hora de Ingreso
Comunicaciones, esta debe ser expresada en formato 24H.
En este campo se debe indicar la hora de salida del Centro de Datos o Cuarto de
Hora de Salida
Comunicaciones, esta debe expresarse en formato 24H.
Autoriza Nombre del colaborador que autoriza el ingreso.
Firma del colaborador, tercero o contratista que ingresa al Centro de Datos o Cuarto
Firma
de Comunicaciones.
Versión: 1.0
Página 14
ANEXO 3. Formato de autorización de acceso al Centro de Datos y Cuartos de Comunicaciones

Formato de autorización de acceso al Versión: 1.0
centro de datos y cuartos de Código del documento: DGSI-01
Versión: 1.0
comunicaciones
Página XX
Fecha de la solicitud Personal de Infraestructura que solicita (Responsable)
Nombre:
Dia Mes Año Cargo:
Autorización de acceso de personal
Autorización para ejecución de actividades de soporte y/o configuración y/o mantenimiento
Autorización de ingreso o retiro de equipos y/o elementos
Fecha de ingreso: Hora de ingreso: Tiempo estimado de permanencia
Horas
Dia Mes Año Hora Minutos AM/PM Minutos
Datos de personal a autorizar
Acceso a:
Teléfono de CD: Centro de Datos
Nombres y Apellidos DNI/RUC Empresa/Oficina
contacto CC: Cuarto de
Comunicaciones (piso)
Descripción de la actividad a realizar
¿La actividad requiere de inactividad/ suspensión /apagado de servicio informático o dispositivos de plataforma tecnológica? SI: ▭ No: ▭
Áreas de servicio y/o aplicaciones afectadas:
Ingreso / retiro de equipos y/o elementos
Versión: 1.0
Página 15
Fecha de movimiento
Dia Mes Año
Equipo y/o elemento Placa / serial Ubicación inicial Ubicación Ingreso/s

final alida
Observaciones:
Autorizado
Denegado
__________________________________________________________
Firma Director/a de la Oficina de Tecnología de la Información
Este formato no debe contener remarcados, tachados o enmendaduras

Fecha de solicitud Fecha de solicitud de la autorización, formato día, mes, año.
Colaborador de Infraestructura que solicita Nombres y apellidos del colaborador con rol de administrador responsable de la actividad, que
(Responsable) realiza la solicitud de la autorización.
Rol Indicar el nombre del rol del colaborador. Ejemplo Administrador de Red.
Tipos de solicitud Opciones de tipos de solicitud.
Autorización de acceso de personal Seleccionar con una "X" si la solicitud de autorización es de acceso.
Autorización para ejecución de actividades Seleccionar con una "X" si la solicitud de autorización para realizar actividades de soporte y/o
soporte y/o mantenimiento mantenimiento.
Autorización de ingreso o retiro de equipos y/o Seleccionar con una "X" si la solicitud de autorización para realizar el ingreso o retiro de
elementos elementos en el Centro de Datos y/o Cuartos de Comunicaciones.
Fecha de ingreso Fecha programada para ingreso al Centro de Datos y/o Cuartos de Comunicaciones, formato día,
mes, año.
Hora de ingreso Hora programada para ingreso al Centro de Datos y/o Cuartos de Comunicaciones.
Tiempo estimado de permanencia Tiempo estimado de permanencia en el Centro de Datos y/o Cuartos de Comunicaciones.
Datos de personal a autorizar Esta información aplica para solicitudes de acceso a personal.
Nombres y apellidos Nombres y Apellidos de la persona a la cual se está solicitando la autorización.
DNI / RUC Número de documento de identidad o Ruc según corresponda a persona natural o jurídica.
Empresa/ dependencia Empresa o dependencia a la que pertenece la persona que está solicitando la autorización.
Teléfono de contacto Teléfono de la persona que está solicitando la autorización.
Acceso a: CD Centro de Datos / CC: Cuartos de Indicar CD o CC, si es Cuarto de Comunicaciones indicar el piso de ubicación.
Comunicaciones (Piso)
Descripción de la actividad a realizar Describir la actividad a realizar en el Centro de Datos y/o Cuartos de Comunicaciones, este
campo aplica para el caso de las 3 opciones de solicitud.
¿La actividad requiere de inactividad/ Indicar si la actividad a realizar va a tener afectación en la presentación de los servicios
suspensión /apagado de servicio informático o informáticos del MVCS. Sí se requiere de apagado, suspensión, inactividad o situación que afecte
dispositivos de plataforma tecnológica? SI: NO: el funcionamiento temporal o permanente de un servicio informático (Sistema de información,
plataforma tecnológica).
Áreas de servicio y/o aplicaciones afectadas: Indicar las áreas de servicio, aplicaciones, plataforma tecnológica que van a tener afectación con
Versión: 1.0
Página 16
la actividad.
Ingreso / retiro de equipos y/o elementos Estos campos de información aplican para la solicitud de autorización para el ingreso o retiro de
equipos y/o elementos.
Fecha del movimiento Fecha de ingreso o retiro de equipos y/o elementos del Centro de Datos y/o Cuartos de
Comunicaciones.
Equipo y/o elemento Nombre de equipo y/o elemento que ingresa o retira del Centro de Datos y/o Cuartos de
Comunicaciones.
Placa / serial Placa /serial de equipo y/o elemento que ingresa o retira del Centro de Datos y/o Cuartos de
Comunicaciones.
Ubicación inicial Sitio de donde proviene el equipo y/o elemento que ingresa o retira del Centro de Datos y/o
Cuartos de Comunicaciones.
Ubicación final Sitio de donde queda ubicado el equipo y/o elemento que ingresa o retira del Centro de Datos
y/o Cuartos de Comunicaciones.
Ingreso/salida Indicar si es un ingreso o salida de equipo y/o elemento.
Observaciones Indicar observaciones de la solicitud.
Autorizado Indicar con una "X" si es autorizada la solicitud.
Denegado Indicar con una "X" si es denegada la solicitud.
Firma Director(a) de la Oficina de Tecnología de Director(a) de la Oficina de Tecnología de la información que autoriza la solicitud.
la Información
Versión: 1.0
Página 17
ANEXO 4. Formato de ingreso y salida de equipos y/o elementos del Centro de Datos y/o los Cuartos de
Comunicaciones

Formato de ingreso y salida de Versión: 1.0
equipos y/o elementos del centro de Código del documento: DGSI-01
Versión: 1.0
datos y cuartos de comunicaciones
Página XX
Fecha de solicitud Fecha de ejecución Lugar del movimiento Tipo de

solicitud
Centro de Datos
Cuarto de Comunicaciones
Edificio: Piso:
⬜⬜ Ingreso
Dia Mes Año Día Mes Año Salida
Ejecutante Empresa:
Responsable Equipo propiedad de:
Ubicación Características
Área Rack* Posición* Nombre Marca Modelo Serie Cod. Procesad Discos* Memor OU´s Ingres
(DC/CC) Equipo Patrimonial or* ia* Reque a/
ridas Salida
Nombre de quien Nombre del Director(a) de OTI

ingresa/retira personal de
Infraestructura
Firma Firma Firma
Observaciones:
Los equipos ingresados deben estar debidamente etiquetados para facilitar su identificación | Si los equipos no son de rack, estos deben venir con su respectiva bandeja | Los campos marcados
con (*) si aplica. (**) Campos exclusivos para uso del personal de Infraestructura en el Centro de Datos y/o Cuartos de Comunicaciones. Este formato no debe contener remarcados, tachones o
enmendaduras.
Versión: 1.0
Página 18
Tipo de solicitud Tipo: Ingreso / Salida.

Centro de Datos Lugar donde ingresará o del que saldrá el equipo o elemento.
Cuartos de Comunicaciones Lugar donde ingresará o del que saldrá el equipo o elemento.
Fecha de ejecución Fecha en que ingresará o saldrá el equipo o elemento al Centro de Datos o Cuarto de
Comunicaciones.
Solicitante Colaborador, contratista o tercero que requiere ingresar o retirar equipos o elementos del Centro
de Datos o Cuarto de Comunicaciones.
Responsable Colaborador que ejerce responsabilidad sobre el ingreso o retiro de equipos o elementos del
Centro de Datos o Cuarto de Comunicaciones.
Empresa (Si aplica) Empresa que retira o ingresa equipos o elementos al Centro de Datos o Cuarto de
Comunicaciones.
Equipo propiedad de Referencia a la propiedad del equipo o elemento que ingresa o sale del Centro de Datos o Cuarto
de Comunicaciones.
Ubicación Lugar donde ingresará o desde donde saldrá el equipo o elemento, este puede ser DC (Centro de
datos) o CC (Cuarto de Comunicaciones).
Rack Número de gabinete donde residirá el equipo que ingresa o desde donde saldrá el equipo en
retiro.
Posición Posición espacial dentro del Rack, esta medida se expresa en OU.
Nombre de Equipo Marca y modelo del equipo que ingresa o se retira del Centro de Datos o Cuarto de
Comunicaciones
Marca Marca del equipo que ingresa o se retira del Centro de Datos o Cuarto de Comunicaciones
Modelo Modelo del equipo que ingresa o se retira del Centro de Datos o Cuarto de Comunicaciones
Serial Información con característica única con la que se referencian los equipos.
Cod. Patrimonial Información del código patrimonial institucional con característica única con la que se referencian
los equipos.
Procesador (Si aplica) Indicar la cantidad de procesadores de los equipos que ingresan o salen del Centro de Datos o
Cuarto de Comunicaciones.
Discos (Si aplica) Indicar la cantidad de discos de los equipos que ingresan o salen del Centro de Datos o Cuarto de
Comunicaciones.
Memoria (Si aplica) Indicar la cantidad de memoria de los equipos que ingresan o salen del Centro de Datos o Cuarto
de Comunicaciones.
OU’s Requerida Indicar el número de unidades de Rack que se requieren para el ingreso de los equipos o los que
quedan disponibles con el retiro.
Nombre y firma de quien ingresa o retira y de Funcionarios, contratistas o terceros que ingresan o retiran el equipo o componente del Centro
quien autoriza de Datos o Cuarto de Comunicaciones y el especialista que autoriza esta acción.
Nombre y firma del personal de Infraestructura Personal de Infraestructura responsable de la actividad.
responsables
Nombre y firma de Director/a - Subdirector/a de Director/a de OTI que autoriza.
Recursos Tecnológicos que autoriza
Versión: 1.0
Página 19
ANEXO 5. Formato de registros de cambios en el Centro de Datos y Cuartos de Comunicaciones

Formato de registros de cambios en el Versión: 1.0
centro de datos y cuartos de Código del documento: DGSI-01
Versión: 1.0
comunicaciones
Página XX
Ticket de Mesa de Ayuda: Fecha cambio:
Espacio reservado para ser diligenciado por Mesa de Ayuda Dia Mes Año
Identificación del responsable del cambio
Nombre Cargo Teléfono/Ext Correo Electrónico
Tiempo estimado
Fecha estimada del cambio Hora estimada del cambio para realizar el
cambio
Horas
Día Mes Ayuda Hora Minuto Minutos
Áreas de servicio y/o aplicaciones afectadas:
Antecedentes del cambio (¿Por que se requiere?):
Nombre del cambio: Prioridad del cambio:
Urgente ( )
Alto ( )control de
Alcance del cambio:
Medio ( )
Bajo ( )
Análisis de impacto
¿Que procesos de negocio del cliente afecta el cambio?
¿Qué áreas de servicio o elemento de TI afecta el cambio? (Hardware, software, aplicaciones, servicios de TI)
¿Cantidad de usuarios afectados?
¿Cómo impacta el cambio en el cumplimiento de los acuerdos de Niveles de Servicios?
Beneficios del cambio
Versión: 1.0
Página 20
Consecuencias de no realizar el cambio solicitado:
Plan actividades previas del cambio
Tarea Fecha/hora/inicio Fecha/hora Responsable Número

finalización Celular
Plan de ejecución

Plan de reservación y control de riesgos (roll-back)

Plan de pruebas

Entregables y criterios de aceptación
Mensaje para los usuarios o dependencias afectadas por el cambio:
Antes de realizarlo:
Después de realizarlo:
Fecha y frecuencia estimada para envío de mensajes a usuarios:
Antes de realizar el cambio:
Después de realizar el cambio:
Documentos anexos (si existen)
Versión: 1.0
Página 21
Los siguientes ítems deben ser diligenciados por personal Infraestructura responsable
Aprobaciones respectivas
_____________________________ ___________________
Infraestructura Director/a de OTI
Fecha aprobación:
Observaciones:
Versión: 1.0
Página 22

Ticket de Mesa de Ayuda Espacio reservado para ser diligenciado por Mesa de Ayuda
Fecha de cambio Indica la fecha en la que se solicita el cambio.
Nombre Nombre del responsable del cambio, es la persona que lo solicita.
Cargo Cargo del responsable del cambio o de la persona que lo solicita.
Teléfono/Ext Número telefónico de contacto con el responsable del cambio.
Correo electrónico Dirección de correo electrónico del responsable del cambio (Debe incluir el signo arroba).
Fecha estimada del cambio Fecha en la cual se proyecta realizar el cambio.
Hora estimada del cambio Expresar la hora y los minutos en formato 24H.
Tiempo estimado para realizar el Expresa las horas y los minutos que se requiere para implementar el cambio.
cambio
Áreas de servicio y/o aplicaciones Relaciona los procesos y /o los servicios que se puedan afectar.
afectadas
Antecedentes del cambio Describe el ¿por qué? se realiza el cambio.
Nombre del cambio En forma corta describe el cambio sin detalles.
Alcance del cambio Describe el objetivo del cambio: ¿para qué?
Prioridad del cambio Selecciona una de las cuatro opciones: Urgente, Alto, Medio, Bajo.
¿Qué procesos de negocio del cliente Relaciona las áreas o los procesos que se van a ver afectados con el cambio.
afecta el cambio?
¿Qué áreas de servicio o elementos Relaciona los elementos que se ven afectados con el cambio.
de TI afecta el cambio (Hardware,
software, aplicaciones, servicios de
TI?
Cantidad de usuarios afectados Número de usuarios del servicio que se ven afectados.
¿Cómo impacta el cambio el Si el cambio afecta los SLA´s describa cómo se afecta.
cumplimiento de los Acuerdos de
Niveles de Servicio?
Beneficios del cambio Describe las ventajas del cambio sobre los servicios o plataforma tecnológica.
Consecuencias de no realizar el Describe qué pasaría si no se implementa el cambio.
cambio solicitado
Plan de actividades previas al cambio Relaciona en cada fila una actividad o tarea a realizar antes del cambio indicando fecha/hora de inicio, fecha
/hora de finalización, nombre del responsable de realizar la actividad y el número celular o fijo de contacto.
Plan de ejecución Relaciona las actividades a desarrollar cuando se va a ejecutar el cambio indicando fecha y hora de inicio,
fecha y hora de finalización, nombre del responsable de ejecutar la tarea y el número de contacto celular o
anexo.
Plan de reversión y control de riesgos Relaciona las actividades a desarrollar cuando se va a realizar la reversión y Control de riesgos indicando
(roll-back) fecha y hora de inicio, fecha y hora de finalización, nombre del responsable de ejecutar la tarea y el número
de contacto celular o anexo.
Plan de pruebas Relaciona las actividades a desarrollar como pruebas del cambio indicando fecha y hora de inicio, fecha y
hora de finalización, nombre del responsable de ejecutar la tarea y el número de contacto celular o fijo.
Entregables y criterios de aceptación Detalle los documentos, manuales, equipos, configuraciones, informes y cualquier documento o elemento
físico que debe ser entregado como producto del cambio.
Mensaje para los usuarios o Elabore un mensaje que el responsable del cambio considere debe ser informado a los usuarios o
dependencias afectadas por el dependencias afectadas por el cambio antes y después de haberlo implementado.
cambio
Fecha y frecuencia estimada para Indica la fecha y la frecuencia con la cual debe ser informado el mensaje antes y después del cambio.
envío de mensajes a usuarios
Aprobaciones respectivas Es exclusivo del administrador del cambio. Relaciona las acciones o cambios que fueron aprobados.
Funcionario administrador/ rol Firma del personal de Infraestructura que aprueba el cambio y el(a) Director(a) de OTI
Fecha de aprobación Corresponde al día, mes y año de aprobación del cambio.
Observaciones Registra cualquier información adicional que considere debe registrarse como producto de la solicitud de
cambio.

Procedimiento de Gestión de Seguridad Informática

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Procedimiento de Gestión de Seguridad Informática

Cargado por

Copyright:

Formatos disponibles

Código de Proceso: S04.3.

FICHA DE INDICADOR DE DESEMPEÑO

FICHA DE INDICADOR DE DESEMPEÑO

Código del proceso S04.3.1

Órgano / Unidad Orgánica Firma y sello

Oficial de Seguridad de la Información

Firmado digitalmente por: MORAN

Objetivo del procedimiento

Alcance del procedimiento

DESCRIPCIÓN DEL PROCEDIMIENTO:

1: Gestión de Acceso al Centro de Datos y los Cuartos de Comunicaciones

Solicitar autorización de acceso al Centro de

Acompañar y monitorear al personal autorizado Punto de Control:

Solicitar a la Oficina General de Administración,

3: Gestión de Cambios en el Centro de Datos y en los Cuartos de Comunicaciones

Ejecutar actividades técnicas de instalación, Registro de cambios en el

4: Seguridad Perimetral Informática - Antivirus - WSUS

Se debe realizar una descripción específica

Otorgar permisos de acceso al portal del

Director/a de la OTI Punto de Control:

Analizar los informes y comunicar los aspectos Punto de Control:

y la efectividad de los controles

5: Aseguramiento de servicios en la Red

6: Transferencia de información Digital

pública reservada o información pública

Pasa a la actividad No.4 La Oficina de Tecnología de la Información

- Verificar la clasificación de la información a

“Procedimiento de Atención de Servicio de Mesa

En caso de ser por el protocolo de transferencia

ANEXO 1. Formato de acceso permanente al Centro de Datos y los Cuartos de Comunicaciones

Código de formato: DGSI-01-01

Fecha de autorización: Dia: Mes: Año:

Oficina General de Estadística e Informática Oficina de Tecnología de la Información

Nº Datos del personal autorizado

Instructivo de Diligenciamiento del Anexo 1

Nombre del Campo Descripción del Campo

ANEXO 2. Bitácora de acceso al Centro de Datos y Cuartos de Comunicaciones

Código de formato: DGSI-01-02

Instructivo de Diligenciamiento del Anexo 2

Nombre del Campo Descripción del Campo

Hace referencia a la fecha de acceso al Centro de Datos o Cuarto de

ANEXO 3. Formato de autorización de acceso al Centro de Datos y Cuartos de Comunicaciones

Código de formato: DGSI-01-03

Fecha de la solicitud Personal de Infraestructura que solicita (Responsable)

Dia Mes Año Cargo:

Autorización de acceso de personal

Autorización para ejecución de actividades de soporte y/o configuración y/o mantenimiento

Autorización de ingreso o retiro de equipos y/o elementos

Fecha de ingreso: Hora de ingreso: Tiempo estimado de permanencia

Dia Mes Año Hora Minutos AM/PM Minutos

Datos de personal a autorizar

Descripción de la actividad a realizar

Áreas de servicio y/o aplicaciones afectadas:

Ingreso / retiro de equipos y/o elementos

Equipo y/o elemento Placa / serial Ubicación inicial Ubicación Ingreso/s

Este formato no debe contener remarcados, tachados o enmendaduras

Instructivo de Diligenciamiento del Anexo 3

Nombre del Campo Descripción del Campo

Código de formato: DGSI-01-04

Fecha de solicitud Fecha de ejecución Lugar del movimiento Tipo de

Dia Mes Año Día Mes Año Salida

Responsable Equipo propiedad de:

Nombre de quien Nombre del Director(a) de OTI

Firma Firma Firma