GESTIÓN DE SERVICIOS

PROCESO CÓDIGO GSGU05

TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

GUÍA ACCESO A REDES Y A SERVICIOS EN RED

BOGOTÁ D.C.
2016

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina Jefe Oficina Asesora de Jefe Oficina Tecnologías de
Tecnologías de la Planeación la Información
Información
Profesional Oficina Jefe Oficina Tecnologías de
Asesora de Planeación la Información
FECHA: FECHA: FECHA:
05/07/2016 08//08/2016 10/08/2016
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

Contenido

1. Objetivo.....................................................................................................................................3
2. Alcance.....................................................................................................................................3
3. Responsabilidades..................................................................................................................3
4. Definiciones..............................................................................................................................3
5. Generalidades..........................................................................................................................5
6. Normas Para El Acceso Seguro A Redes Y Servicios En Red.........................................5
6.1. Acceso a redes y a servicios en red - Controles de redes.........................................5
6.2. Separación en las redes.................................................................................................8
6.3. Seguridad de los servicios de red.................................................................................9
7. Actividades de la Gestión de Acceso a redes y a Servicios en Red................................9
8. Documentación de Referencia:...........................................................................................11
9. Registros.................................................................................................................................11
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

1. Objetivo

Establecer los parámetros de seguridad de la información aplicables a las redes de

comunicaciones de la Superintendencia Nacional de Salud.

2. Alcance

Aplica para todos los funcionarios, contratistas y terceras partes que hagan uso de las
redes de comunicaciones de la Superintendencia Nacional de Salud.

3. Responsabilidades

Oficial de Seguridad de la Información: Encargado de velar por el cumplimiento de las

normas establecidas en la presente guía.
Administrador de red de la Superintendencia Nacional de Salud: Implementar los
controles de seguridad informática necesarios para propender por la seguridad de la
información que circula por las redes de comunicaciones de la Superintendencia Nacional
de Salud.
Mesa de Servicios: Garantizar el acceso a la red de la Superintendencia Nacional de
Salud a las partes que lo soliciten solo con la autorización correspondiente.
Usuarios de la red de la Superintendencia Nacional de Salud: Cumplir las normas
establecidas en la presente guía.

4. Definiciones

Activo de información: Cualquier componente (humano, tecnológico, software,

documental o de infraestructura) que soporta uno o más procesos de negocios de la
Entidad y, en consecuencia, debe ser protegido.
Autenticación: es el procedimiento de comprobación de la identidad de un usuario o
recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de
información.
Centros de cableado: son habitaciones donde se deberán instalar los dispositivos de
comunicación y la mayoría de los cables. Al igual que los centros de cómputo, los centros
de cableado deben cumplir requisitos de acceso físico, materiales de paredes, pisos y
techos, suministro de alimentación eléctrica y condiciones de temperatura y humedad.
Centro de cómputo: es una zona específica para el almacenamiento de múltiples
computadores para un fin específico, los cuales se encuentran conectados entre sí a
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

través de una red de datos. El centro de cómputo debe cumplir ciertos estándares con el
fin de garantizar los controles de acceso físico, los materiales de paredes, pisos y techos,
el suministro de alimentación eléctrica y las condiciones medioambientales adecuadas.
Confidencialidad: es la garantía de que la información no está disponible o divulgada a
personas, entidades o procesos no autorizados.
Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye
policías, procedimientos, guías, estructuras organizacionales y buenas prácticas, que
pueden ser de carácter administrativo, tecnológico, físico o legal.
Custodio del activo de información: es la unidad organizacional o proceso, designado
por los propietarios, encargado de mantener las medidas de protección establecidas
sobre los activos de información confiados.
Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la
información y a los activos asociados cuando lo requieren.
Equipo de cómputo: dispositivo electrónico capaz de recibir un conjunto de instrucciones
y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y
correlacionando otros tipos de información.
Integridad: es la protección de la exactitud y estado completo de los activos.
Perfiles de usuario: son grupos que concentran varios usuarios con similares
necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o
los sistemas de información a los cuales se les concede acceso de acuerdo con las
funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los
usuarios cobijados dentro de él.
Recursos tecnológicos: son aquellos componentes de hardware y software tales como:
servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos
portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y
bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas
administrativas necesarias para el buen funcionamiento y la optimización del trabajo al
interior de la Superintendencia Nacional de Salud.
SSI: Subsistema de Seguridad de la Información.
Sistema de información: es un conjunto organizado de datos, operaciones y
transacciones que interactúan para el almacenamiento y procesamiento de la información
que, a su vez, requiere la interacción de uno o más activos de información para efectuar
sus tareas. Un sistema de información es todo componente de software ya sea de origen
interno, es decir desarrollado por la Superintendencia Nacional de Salud o de origen
externo ya sea adquirido por la entidad como un producto estándar de mercado o
desarrollado para las necesidades de ésta.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

5. Generalidades

Está guía está alineada a los requerimientos de la Norma ISO 27001:2013 en sus Anexos
A 9 y A 13.

El Grupo de Infraestructura y Soporte de TI y el Grupo de Administración y Seguridad de

la Información de la Oficina de Tecnología de la Información deben proveer los
mecanismos para brindar controles de seguridad a la red de la Superintendencia Nacional
de Salud, al igual que los funcionarios y terceros deben acogerse a los controles de
seguridad establecidos.

6. Normas para el Acceso Seguro a Redes y Servicios en Red

6.1. Acceso a redes y a servicios en red - Controles de redes

a) Las redes y servicios de red a los que la Superintendencia Nacional de Salud

permite el acceso son:
Redes inalámbricas, Redes cableadas con sus puntos físicos de acceso a la red, y
VPNs.
Los servicios son: Acceso red local, Acceso remoto, archivos, Impresión, Correo
electrónico, Plataformas de Información de la SNS, Telefonía IP, Internet.
La habilitación de las redes y prestación de servicios de red se tramitará
únicamente en la mesa de Servicios.

El acceso a internet a través de la red de la SNS es proveído por la Entidad a sus

funcionarios, terceros y/o contratistas para la realización de sus actividades laborales, el
uso de este recurso para carácter personal de manera eventual está permitido, pero la
SNS se reserva el derecho de monitorear el correcto uso que los usuarios le den a este
recurso, las siguientes actividades están expresamente prohibidas dado que exponen a la
SNS y a su servicio de acceso a Internet a riesgos de seguridad informática y/o su
consumo de recursos que perjudican la realización de las actividades laborales; entre
estos están:

 Accesos a sitios de juegos, música o entretenimiento online

 Accesos a sitios de “hacking” o sitios en donde se promuevan la vulneración de
controles de seguridad
 Acceso a sitios de correo electrónico diferentes al utilizado por la SNS excepto a
los usuarios autorizados.
 Acceso a sitios web de adultos (Drogas, Sexo, entretenimiento, deportes, religión,
compras, hobbies, viajes, armas, etc)
 Acceso a redes sociales (Facebook, Twitter, YouTube, LinkedIn, entre
otros), excepto a los usuarios autorizados.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

El acceso a internet se administrará a través de grupos del directorio activo y se basará

en la Matriz de categorías de acceso a internet, para casos de excepción, con la
justificación de la necesidad del acceso, mediante el Correo del Jefe inmediato o
Delegado dirigido a la Mesa de Servicios, el Jefe de la Oficina de Tecnologías de la
Información.

Acceso General
Privilegiados
Usuarios
VIP
Categorías

Ancho de banda   

Radio y TV por Internet   

Almacenamiento/Descarga de archivos   

Búsquedas de Fotos   

Descarga de Software   

AdSense (Publicidad)   

Software potencialmente Malicioso   

Evitar los controles de Proxy   

Comunicaciones y Búsqueda   

Blogs/Comunicaciones Web   

Correo Web   

Infraestructura Internet   

Grupos de Noticias   

Motores de Búsqueda/Portales   

Redes Sociales   

Alojamiento Web   

Terrorismo   
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

Pornografía   

Negocios   

Ventas   

Negocios/Economía   

Servicios Financieros   

Compras   

Recreación/Pasatiempos   

Restaurantes/Comida   

Sociedad/Estilo de Vida   

Deportes   

Computadores/Internet   

Educación   

Gobierno/Legal   

Salud   

Noticias   

Bancos de la entidad   

Lista Blanca   
Matriz de categorías de acceso a internet

6.2. Separación en las redes.

a) Con el fin de mejorar la seguridad, la red de la SNS se encuentra organizada en

VLAN’s, que garantizan la segmentación del tráfico, cada grupo particular de
usuarios incluidos los proveedores, contratistas y/o terceros solo podrán acceder a
los servicios de red desde la VLAN que tengan autorizada en función de sus
responsabilidades.
b) En cuanto a los medios de conexión a los servicios de red, la SNS cuenta con
acceso por VPN para los usuarios, proveedores, contratistas y/o terceros que por
sus actividades laborales requieran acceso remoto, estos accesos son
monitoreados y controlados con las herramientas de seguridad con que cuenta la
SNS.
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

6.3. Seguridad de los servicios de red

a) Como requisito de acceso a la red los funcionarios y contratistas deben realizar

autenticación sobre el directorio activo, para los servicios de red no integrados con
el directorio activo se requiere una autenticación propia por cada servicio.
b) Para los servicios de conectividad contratados con terceros se deberán revisar de
manera periódica por la OTI sus ANS pactados con el propósito de verificar la
disponibilidad del servicio.
c) Para el servicio de mensajería electrónica que está suministrado por un tercero
éste debe ofrecer controles de seguridad aplicados al servicio.
d) La Oficina de Tecnologías de la Información puede monitorear el uso de los
recursos tecnológicos.
7. Actividades de la Gestión de Acceso a redes y a Servicios en Red
6.1 Accesos remoto para funcionarios y/o contratistas su estación de trabajo.

No. Actividad Descripción Responsable

1 Solicitar una El funcionario o contratista que tiene la
conexión necesidad de conexión remota debe
mediante VPN hacer la solicitud mediante el Jefe de
Oficina, Delegado, Secretario General
o Superintendente a través de la Mesa Jefe de Oficina,
de Servicios o al correo Delegado, Secretario
soporte.oti@supersalud.gov.co, en General o
éste se debe incluir el nombre del Superintendente.
funcionario al cual se le va a dar
acceso a su estación de trabajo, la
justificación de la conexión remota y la
vigencia del servicio.
2 Registrar en El funcionario de mesa de servicios Mesa de Servicios
la herramienta deberá verificar que este habilitado el
de gestión de servicio de escritorio remoto en el
la mesa de equipo del funcionario para el cual
Servicios está solicitando el servicio, luego
registrar y escalar la solicitud al grupo
de Administración y Seguridad de la
Información en la herramienta de
gestión con el propósito de dejar la
trazabilidad pertinente.
3 Verificar si la El Oficial de la seguridad de la El Oficial de la
justificación información o quien haga sus veces, seguridad de la
es viable analiza la solicitud recibida y autoriza información o quien
o no el acceso al recurso solicitado. haga sus veces
4 El funcionario encargado del Grupo de
Administración y Seguridad de la
Información, hace las configuraciones Funcionario del Grupo
Conceder los respectivas para el establecimiento de de Administración y
accesos la conexión, en caso de ser necesario Seguridad de la
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

No. Actividad Descripción Responsable

se contacta con la parte interesada. Información

Al finalizar esta actividad se deben

hacer pruebas de conexión e informar
al interesado acerca del estado de su
requerimiento.
5 Se debe cerrar el acceso una vez sea Funcionario del Grupo
Cerrar el
cumplido el tiempo estipulado de de Administración y
acceso
conexión o cuando se acabe la Seguridad de la
relación contractual. Información

6.2 Acceso remoto para proveedores o terceros.

No. Actividad Descripción Responsable

1 Solicitar una El proveedor o tercero que tiene la
conexión necesidad de conexión remota debe
mediante VPN hacer la solicitud a través del: Jefe de
Oficina, Superintendente Delegado,
Secretario General o Superintendente,
según sea el caso, a la Mesa de
Proveedor
Servicios de TI mediante mensaje de
Jefe de Oficina,
correo electrónico, a la cuenta
Delegado, Secretario
soporte.oti@supersalud.gov.co . la
General o
solicitud debe incluir lo siguiente: la
Superintendente.
justificación de la conexión remota,
contacto técnico, tipo de dispositivo de
seguridad perimetral con la cual se va
a establecer la conexión, recurso al
que va a acceder de la red de la SNS
y la vigencia del servicio,
especificando las fechas desde
cuándo y hasta cuándo.
2 Registrar en El funcionario de mesa de servicios Mesa de Servicios
la herramienta deberá registrar y escalar la solicitud
de gestión de al grupo de Administración y
la mesa de Seguridad de la Información en la
Servicios herramienta de gestión con el
propósito de dejar la trazabilidad
pertinente.
3 Verificar si la El Oficial de la seguridad de la El Oficial de la
justificación información o quien haga sus veces, seguridad de la
es viable analiza la solicitud recibida y autoriza información o quien
o no el acceso al recurso solicitado. haga sus veces
4 El funcionario encargado del Grupo de
Administración y Seguridad de la
Información, hace las configuraciones Funcionario del Grupo
respectivas para el establecimiento de
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

No. Actividad Descripción Responsable

Conceder los la conexión, en caso de ser necesario de Administración y
accesos se comunica con el contacto técnico Seguridad de la
del proveedor. Información
Al finalizar esta actividad se deben
hacer pruebas de conexión e informar
al interesado acerca del estado de su
requerimiento.
5 Se debe cerrar el acceso una vez sea Funcionario del Grupo
Cerrar el
cumplido el tiempo estipulado de de Administración y
acceso
conexión o cuando se acabe la Seguridad de la
Información
relación contractual.

8. Documentación de Referencia:
Informe de gestión de redes y cumplimiento de Acuerdos de Niveles de Servicio
9. Registros
Se llevan a través del a herramienta de gestión de TI (CA) – Solicitudes
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU05
TECNOLÓGICOS
ACCESO A REDES Y A SERVICIOS
GUÍA VERSIÓN 2
EN RED

CONTROL DE CAMBIOS
RESPONSABLE FECHA DEL
ASPECTOS QUE DETALLES DE
DE LA CAMBIO VERSIÓ
CAMBIARON EN EL LOS CAMBIOS
SOLICITUD DEL DD/MM/ N
DOCUMENTO EFECTUADOS
CAMBIO AAAA
Solicitud de
creación
mediante
memorando
NURC: 3-2016-
014942 Jefe Oficina de
Adopción del
Tecnologías de la 11/08/2016 1
documento
Se realiza Información
aprobación
Mediante
memorando
NURC: 3-
2016-015043
Se modifica la
Matriz de
acceso a
internet, se
modificó la
actividad 1 de
la tabla 6.2
“Acceso Jefe Oficina de
Actualización del
remoto para Tecnologías de la 09/12/2016 2
documento
proveedores o Información
terceros”. Se
realiza
aprobación
Mediante
memorando
NURC 3-2016-
022687