Política de Seguridad

Andres Giovanny Aponte Moreno

Código 67000831

Facultad de Ingeniería de Sistemas y Computación, Universidad

Católica de Colombia

Electiva – Seguridad Informática

Profesor Angel Serrano

22 de Agosto de 2023
 INDICE

1. OBJETIVOS
2. ALCANCE
3. GENERALIDADES
4. POLITICA DE USO DE LA INFORMACION CONFIDENCIAL
5. POLITICA DE USO DE EQUIPOS DE COMPUTO Y SISITEMAS
DE INFORMACIÓN
6. POLITICA DE USO DE EQUIPOS DE COMPUTO Y
SISITEMAS DE INFORMACIÓN
7. GLOSARIO
8. REFERENCIAS
9. CONCLUSIONES
1. OBJETIVOS

1.1. Objetivo General

El presente documento tiene como objetivo principal formalizar el
compromiso de la dirección de tecnología frente a la gestión de la
seguridad de la información presentando de forma escrita a los
usuarios de los sistemas de información y recursos informáticos un
conjunto de acciones con las cuales se establecen las normas para
proteger de posibles riesgos de daño, alteración, pérdida y uso
indebido de la información, los equipos y de más recursos
informáticos.

1.2. Objetivos Específicos

- Dar conformidad y cumplimiento a las leyes, regulaciones y

normativas que Ie aplican a la compañía en el desarrollo de su
misión.
- Proteger la información y los activos informáticos de la
compañía.
- Mantener un sistema de políticas, manuales, procedimientos y
estándares actualizados, a efectos de asegurar su vigencia y un
nivel de eficacia, que permitan minimizar el nivel de riesgo de los
activos de información de la compañía.
- Fortalecer la cultura de seguridad de la información en
funcionarios, terceros y clientes de la compañía, mediante la
definición de una estrategia de uso y apropiación de la política.
- Definir una estrategia de continuidad de los procesos de la
entidad frente a incidentes de seguridad de la Información.
 2. ALCANCE
El presente documento de política de seguridad de la información
reglamenta la protección y uso de información confidencial, sistemas
de información, equipos de cómputo y recursos en la Intranet e
Internet y está dirigido a todos los usuarios de la compañía, clientes,
proveedores y/o terceros que posean algún tipo de contacto con estos
recursos.

3. GENERALIDADES
En esta Política de Seguridad de la Información se describe el marco
de referencia para la gestión de Seguridad de la información de la
Compañía. Debe ser distribuida y replicada a todos los funcionarios,
clientes, proveedores y terceros que intervengan directa o
indirectamente con la información, recursos tecnológicos y sistemas de
información de la Compañía, y es responsabilidad de cada uno de
ellos su conocimiento y aplicación.

4. POLITICA DE USO DE LA INFORMACION CONFIDENCIAL

4.1. Todo documento, carpeta, y otros medios de almacenamiento que
contengan información sensible, restringida o confidencial debe ser
ubicada en áreas protegidas. Estos medios de almacenamiento de
información nunca deben ser ubicados en un lugar donde los visitantes
puedan tener acceso a ellos.
4.2. Debe indicar el usuario dueño o fuente de información en la
primera página o cubierta, o en algún repositorio central.
4.3. Diversos tipos de datos presentan varios riesgos. Preste atención
particular a cómo se guarda la información personal: Números de
Identificación, Tarjetas de crédito o información financiera, y otros
datos sensibles. Si no existe una necesidad legítima de información
personalmente identificable, para un proceso específico no la guarde.
Si existe una necesidad legítima de negocio de la información,
guárdela solamente mientras sea necesario.
4.4. Los números de identificación deben ser utilizados solamente
para propósitos requeridos o legales.
4.5. Los medios de almacenamiento de información que contienen
información sensitiva, restringida o confidencial debe ser guardada en
un área segura.
4.6. Toda información de respaldo de datos (“backup”) enviado o
almacenado en medios de datos (por ejemplo. CD, discos ópticos,
discos USB, cintas, etc.) debe ser protegido y debe ser manejado
según los procedimientos aplicable de librerías de medios, políticas y
seguridad vigentes en la compañía.
4.7. Todo documento, carpeta, y otros medios de almacenamiento que
contienen información sensitiva, restringida o confidencial debe debe
ser retirada del escritorio y asegurada en archivos de gaveta.
4.8. Cada usuario es responsable de asegurar todo documento y
medio electrónico de almacenamiento que contenga información
sensitiva o confidencial que esté ubicada en gavetas o archivos con
llave.
4.9. Las contraseñas no pueden ser dejadas en notas en el escritorio
ni en una ubicación accesible.
4.10. Los informes impresos que contienen información sensible,
restringida o confidencial deben ser retirados inmediatamente de las
impresoras.
4.11. Al momento de desechar, los documentos sensibles o
confidenciales deben ser destruidos.
4.12. Controles de acceso y monitoreo deben ser aplicados en áreas
de oficina e instalaciones de almacenaje donde resida información
restringida o confidencial.
4.13. Las impresoras y los equipos para Fax deben ser localizados en
áreas donde el público no pueda ver información sensible, restringida
o confidencial.
4.14. Información almacenada por periodos prolongados debe ser
revisada regularmente para verificar su legibilidad.

5. POLITICA DE USO DE EQUIPOS DE COMPUTO Y

SISITEMAS DE INFORMACIÓN
5.1. En los computadores y/o estaciones de trabajo de la compañía
solo se puede instalar software desarrollado o adquirido legalmente y
cuya licencia de uso esté a nombre de la Compañía.
5.2. La coordinación y ejecución de mantenimiento de programas o
aplicaciones instaladas en las estaciones de trabajo es del equipo de
trabajo del programa de Gestión de Soluciones T.I de la Compañía.
5.3. Los computadores y/o estaciones de trabajo de la Compañía
deben ser utilizadas por los empleados, proveedores o contratistas
solo para el desarrollo de las funciones normales de su trabajo.
5.4. Los computadores y/o estaciones de trabajo deben mantener
activo un software antivirus, Sistema Operativo, software de ofimática,
licenciados y actualizados y que su uso haya sido autorizado por el
equipo de trabajo del programa de Gestión de Soluciones TI. de la
Compañía.
5.5. Los computadores y/o estaciones de trabajo deben ser analizados
contra virus periódica y automáticamente.
5.6. Cualquier información que venga por medio electrónico o
magnético como correo electrónico, CD, almacenamiento USB, debe
ser revisada por un software antivirus antes de ser descargada,
copiada y utilizada.
5.7. EI equipo de trabajo del programa de Gestión de Soluciones T.I de
la Compañía es responsable por la actualización oportuna del software
antivirus.
5.8. Es responsabilidad de los usuarios reportar todos los incidentes
de infección de virus al área encargada.
5.9. EI usuario debe asegurar que toda la información provenga de
fuentes conocidas.
5.10. Ningún usuario puede escribir, distribuir o introducir software que
conozca o sospeche que tiene virus, troyano, gusano o software
malicioso.
5.11. Los perfiles de usuario y las contraseñas de los sistemas de
información tienen que ser asignados individualmente para soportar el
principio de responsabilidad individual.
5.12. Los usuarios no pueden prestar su contraseña, lo que se realice
con su perfil queda bajo la responsabilidad del dueño.
5.13. EI usuario no debe compartir, escribir ni revelar sus contraseñas.
5.14. Las contraseñas individuales no deben ser mostradas en texto
claro. Todos los sistemas de información deben eliminar la
visualización de contraseñas ya sea en pantallas o en impresoras.
5.15. Las contraseñas deben cambiarse con regularidad. La duración
máxima de la contraseña debe ser un tiempo razonable (máximo 60
días).
5.16. Si un sistema no obliga al cambio de contraseña, es
responsabilidad del usuario realizar este cambio.
5.17. Las contraseñas deben ser cuidadosamente seleccionadas para
que no sean adivinadas fácilmente, por lo tanto se deben tener en
cuenta las siguientes recomendaciones:
a. No utilizar el primer o segundo nombre, los apellidos, el nombre de
algún familiar, mascota, etc.,
b. No utilizar otra información fácil de obtener acerca de Usted. Esto
incluye: Placa 0 marca del vehículo, número del teléfono, marca,
nombre del edificio, etc.
c. No use contraseñas que contengan sólo números o solo letras.
d. No utilice palabras contenidas en el diccionario u otras listas de
palabras.
 e. Use contraseñas fáciles de recordar para que no tenga que
escribirlas.
f. No use el nombre del perfil de usuario en ninguna forma.
5.18. Todos los computadores y/o estaciones de trabajo deben ser
aseguradas cuando el área de trabajo está desocupada. El equipo de
trabajo del programa de Gestión de Soluciones TI. de la Compañía
será responsable de aplicar un mecanismo automático para imponer
esta práctica.

6. POLITICA DE USO DE INTERNET E INTRANET

Esta política pretende garantizar el uso efectivo del tiempo laboral,
evitando el uso inapropiado de internet e intranet.
6.1. El equipo que requiera estar conectado a la red de datos de la
Compañía debe ser registrado con anterioridad con anterioridad por el
equipo de trabajo del programa de Gestión de Soluciones TI para que
pueda ser conectado.
6.2. El uso personal y razonable de Internet está permitido en su
tiempo libre; pero, sujeto a las condiciones establecidas en las
políticas de seguridad de la Compañía.
6.3. Cuando se utilizan las instalaciones de la Compañía para acceso
a Internet debe cumplir con las siguientes pautas:
a. Hacer respetar la protección legal a los datos y el software
proporcionado por derechos de autor y protección de datos.
b. Informar al equipo de trabajo del programa de Gestión de
Soluciones TI inmediatamente observe cualquier acontecimiento
inusual.
c. No está permitido el acceso de contenido para adulto (pornografía y
juegos)
6.4. Un filtro corporativo de Internet se utiliza para prevenir tipos
específicos de sitios web que se accede. Si un usuario necesita
acceder a un sitio web que está bloqueado o restringido, el jefe
inmediato debe solicitar por los canales de comunicación establecidos,
la respectiva autorización a el equipo de trabajo del programa de
Gestión de Soluciones TI.
6.5. El historial de acceso a Internet es monitoreado, permitiendo
identificar los sitios visitados por los usuarios, lo cual puede ser
utilizado durante investigaciones cuando se sospeche el uso indebido
del recurso.
6.6. Los usuarios no están autorizados para descargar programas o
software (incluyendo protectores de pantalla y fondos de escritorio) de
la Internet. Si se requieren programas disponibles en Internet para
realizar funciones propias de la Compañia, es necesario ponerse en
contacto con el equipo de trabajo del programa de Gestión de
Soluciones TI que hará las gestiones necesarias para adquirir y
disponer la instalación de los mismos.
6.7. La intranet es una herramienta de comunicación interna utilizada
para brindar información sobre las actividades, documentación
institucional y trámites exclusivos de los funcionarios de la Alcaldía de
Barranquilla. Se recomienda consultar diariamente la información
publicada para mantenerse informado, dar un uso adecuado a los
trámites ofrecidos desde la intranet y utilizar la documentación
institucional publicada para los fines pertinentes.
6.8. Se prohíbe el uso de la Intranet e Internet para realizar algún tipo
de acoso, difamación, calumnia o cualquier forma de actividad hostil
hacia personas naturales o jurídicas, dentro o fuera del territorio
nacional.
6.9. Se prohíbe realizar actividades que contravengan la seguridad de
los sistemas o que generen interrupciones de la red o de los servicios.
6.10. Se prohíbe el monitoreo de puertos o análisis de tráfico de red
con el propósito de evaluar vulnerabilidades de seguridad. Las
personas responsables de la seguridad informática pueden realizar
estas actividades cuando se efectúen en coordinación con el personal
responsable de los servidores, los servicios, las aplicaciones y de la
red.
6.11. Se prohíbe enviar correos electrónicos cuyo contenido sea
inapropiado, tales como mensajes que incluyan material comercial y/o
publicitario, pornográfico e ilegal.
6.12. Se prohíbe el ingreso a sitios reconocidos y de inapropiada
reputación, el acceso a sitios con contenidos no apropiados tales como
juegos, apuestas, pornografía, etc., son inaceptables, más aún,
acceder, ver, bajar o reenviar material obsceno, amenazador, acosador
explícito, chistes o comentarios degradantes es un uso no apropiado
del equipo suministrado por la Compañía.
6.13. Utilizar el acceso a Internet para publicar material difamatorio o
injurioso.

7. GLOSARIO
Usuario: es aquella persona que usa una cosa o servicio
habitualmente. En sentido general, un usuario es un conjunto de
permisos y de recursos a los cuales se tiene acceso.
Activo: cualquier cosa que tenga valor para la organización es
considerada un activo en este caso la información es un activo.
Equipo de cómputo: conjunto de los componentes que integran la
parte material de una computadora.
Software: son los programas informáticos que hacen posible la
realización de tareas específicas dentro de un computador.
Backup: es el proceso de hacer copias de datos para poder restaurar
el original en caso de pérdida de datos.
Terceros: : persona o entidad que se reconoce como independiente.
Software malicioso: . Es un tipo de software que tiene como objetivo
infiltrar o dañar una computadora o sistema de información sin el
consentimiento de su propietario.
8. REFERENCIAS
a. Política de Seguridad de la Información Digital - ALCALDÍA
DISTRITAL DE BARRANQUILLA B.
b. Política de Seguridad de la Información Digital -
GOBERNACION DEL VALLE DEL CAUCA.
c. Política de Seguridad de la Información Digital - CAMARA DE
COMERCIO DE BOGOTA.

9. CONCLUSIONES
La elaboración de una política de seguridad informática permite:
- Organizar de forma completa los lineamientos y actividades para
garantizar los principios de Integridad, Confidencialidad e
Integridad en una organización, y aplicarlos de forma efectiva.
- Facilita abarcar todos los campos necesarios para el
aseguramiento de la información.
- Ayuda en gran medida a prevenir incidentes de seguridad en una
organización.
- Ayuda a la rápida y efectiva reacción ante incidentes de
seguridad en una organización.