A-PR-GTI-049 
 PROCEDIMIENTO 
 Versión: 1 
 
  Seguridad de la información en Bases de Datos  

1. OBJETIVO
Describir las actividades requeridas para asegurar la integridad, disponibilidad y
confidencialidad de la información que reposa en las Bases de Datos de la SFC. 
 
2. ALCANCE
Aplica a lo relacionado con la gestión de los usuarios, la auditoria en las bases de datos, los
respaldos de información, replicación de información. Lo anterior, para las Bases de datos
Oracle. 
 
3. DEFINICIONES
Base de Datos: Conjunto de información y de datos organizados de forma sistemática.

Auditoría de Base de Datos: Proceso que permite medir, asegurar, demostrar, monitorear

y registrar los accesos a la información almacenada en las base de datos.

Centro de Procesamiento de Datos (CPD): Lugar en donde se concentran los recursos

necesarios para el procesamiento de la información, independientemente de ser de su
propiedad o de un tercero.

Centro Alterno de Procesamiento de Datos (CAPD): Lugar en donde se procesa la

información cuando no es posible hacerlo en el CPD, independientemente de ser de su
propiedad o de un tercero. 
 
4. CONDICIONES GENERALES
a. La Gestión de usuarios se realiza conforme lo establece el documento A-MN-GTI-006
“Manual de Políticas de Seguridad de la información”

b. El usuario se crea con el estándar para establecer su identificación según el documento

A-IN-GTI-008 “Asignación de Activos tecnológicos”

c. Los privilegios se asignan atendiendo las solicitudes de los dueños de la información,

siguiendo lo establecido en el documento A-PR-GTI-020 “Creación de cuentas usuarios
internos”.

d. Cada vez que se crea un usuario, se debe obligar a cambiarse la contraseña al primer
inicio de sesión. Si utilizan el menú contable este les permitirá cambiarla en cualquier
momento

e. Según lo establece el documento A-MN-GTI-006 “Manual de Políticas de Seguridad de la

información”, las cuentas de usuario se bloquean después de tres intentos fallidos de
ingreso.

f. Por política de la Dirección de Tecnología, la auditoría de las Bases de Datos se está

 aplicando a todos las tablas. 

g. La auditoría de las Bases se activa cada vez que los usuarios acceden a los objetos
auditados, generando registros que permiten establecer qué información se introdujo, borró
o modificó.

h. Se audita la asignación de privilegios y lo relacionado con el inicio y fin de cada sesión de

usuario. 

i. Se aplica la auditoría de grano fino sobre las tablas más relevantes de los sistemas de
información.

j. El Respaldo de información se realiza siguiendo lo establecido en el documento A-MN-

GTI-009 “Respaldo de Información”, aplicando la agenda programada para realizar copias
de seguridad.

k. Se realiza replicación de las bases de datos al centro de datos alterno, esto con el
propósito de tener una contingencia en caso de desastre. 

i. El inventario de las bases de datos y su actualización se realizará conforme a lo

establecido en el procedimiento A-PR-GTI-040 Gestión de Activos tecnológicos.

j. El seguimiento a las Bases de datos se realizará a través de las alertas de funcionamiento

y disponibilidad con base en las herramientas con las que se cuenta para tal fin.  
 
5. DESARROLLO
No. Actividad Responsable Norma/Política

Gestión de Usuarios  SuperIT

Dueño de la
1 A-PR-GTI-020
información 
Solicita acceso a aplicativo  Creación usuarios
internos
Asigna tarea a administrador de base Administrador de
2
de datos  usuarios  SuperIT

Creación de usuario en Base de datos

Administrador de a-in-gti-008
3 con el estándar establecido en A-IN-
Base de Datos  Asignacion de activos
GTI-008. 
tecnológicos
Cierra tarea e informa a administrador Administrador de
4
de usuarios  Base de Datos  Super IT
Dirección de
Auditoría de Base de Datos Tecnología
5
Determinar relevancia de objetos a Dueños de la Base de Datos
auditar   Información
 
Administrador de
6 Activación Auditoría 
Base de Datos  Base de Datos
 Dirección de
7 Reporte auditoría por demanda 
Tecnología  Correo
Respaldo de información 
Administrador de
A-MN-GTI-009
8 Realiza respaldo de información respaldo de
Respaldo de
siguiendo lo establecido en A-MN-GTI- información. 
información
009. 
Replicación de información  Contratista

Realizar la replicación de las bases de Supervisor del

9 Contrato de
datos al centro de datos alterno según Contrato de
Contingencia
lo establecido en el contrato de contingencia
Contingencia   
10 FIN   
 
6. DOCUMENTOS DE REFERENCIA

 
7. HISTORIAL DE CAMBIOS
Versión Fecha Cambios
 

Elaboró Revisó Aprobó

Liana Beatriz Helman Rene Jose Humberto Velez
Nombre: Nombre:
Prada Aragon Nombre: Jaramillo Gutierrez
PROFESIONAL Valderrama Cargo: Director de Tecnología
Cargo:
UNIVERSITARIO Cargo: SUBDIRECTOR Fecha: 10/May/2019
Fecha: 08/May/2019 Fecha: 10/May/2019

Copia Controlada: Si este documento se encuentra impreso no se garantiza su vigencia,

puesto que la versión vigente reposa en el aplicativo del SGI.