Normas de seguridad informática

FUNCION DE LA SEGURIDAD INFORMATICA

➢ Debe existir un área o persona responsable de la administración de la seguridad informática

la cual debe velar por el cumplimiento de las políticas, normas y procedimientos
relacionados con Seguridad Informática, así como de planear y coordinar todos los
proyectos relacionados con la implantación de controles para optimizar y mejorar
continuamente la seguridad de la información de XXXXXXXX
➢ Deberá definirse la estructura del área de Seguridad Informática y detallarse las funciones
de los miembros de dicha área.
➢ Las tareas de administración de Seguridad Informática de los componentes tecnológicos
deberán comprender como mínimo:
• Definición de accesos.
• Administración de cuentas.
• Definición de derechos de usuarios para hacer tareas de operación sobre servidores.
• Optimización de la Seguridad Informática.
• Realización periódica de campañas de concientización en Seguridad Informática
• Atención de incidentes de Seguridad Informática

HERRAMIENTAS DE SEGURIDAD: OPERACION Y PROTECCION

➢ Deben existir herramientas tecnológicas que permitan una adecuada administración,

monitoreo y control de la seguridad de los recursos informáticos disponibles en XXXXXXXX
.
➢ El acceso a las herramientas de seguridad se establecerá de acuerdo a las necesidades de
los funcionarios que lo requieran para el cumplimiento estricto de sus funciones.
➢ Es responsabilidad directa del área de Seguridad Informática verificar que sólo tengan
acceso a las herramientas de seguridad aquellos funcionarios que así lo requieran para el
cumplimiento de sus funciones.
➢ Únicamente, quienes ejerzan los siguientes roles tendrán acceso a herramientas de
seguridad informática:
• Administrador de Sistemas
• Administrador de Seguridad para cada Aplicación
• Administrador de Bases de Datos
• Ingenieros de XXXXXXX

CLASIFICACION DE LA INFORMACION

➢ Toda la información existente generada y soportada por los Sistemas de Información de

XXXXXXXX debe ser clasificada con el objetivo de determinar controles específicos para la
protección de la misma
➢ La información de XXXXXXXX será clasificada como Altamente Confidencial, Confidencial,
Restringida y Pública con base en los siguientes parámetros:
• Costo de reemplazo o reconstrucción
• Interrupción del negocio
• Violación de la privacidad
 ➢ La información ALTAMENTE CONFIDENCIAL es información de alta importancia para
XXXXXXXX que solo puede ser accedida por quienes ejerzan las funciones de dirección. El
mal uso de la misma puede ir en detrimento de los intereses de XXXXXXXX .
➢ La información CONFIDENCIAL. es información crítica y solamente podrá ser conocida al
interior de XXXXXXXX ya que el conocimiento externo de la misma puede implicar riesgo
para la Entidad.
➢ La información RESTRINGIDA solo podrá ser accedida por grupos específicos de usuarios
que requieren del conocimiento de esta información para el estricto cumplimiento de sus
funciones.
➢ La información PÚBLICA podrá ser utilizada por todos los empleados directos de
XXXXXXXX y por empleados temporales, contratistas y terceros a XXXXXXXX .

PROPIEDAD DE LA INFORMACION

➢ Toda la información existente en los recursos informáticos de XXXXXXXX pertenece a

XXXXXXXX .
➢ Todos los recursos informáticos de XXXXXXXX están sujetos a revisiones periódicas por
parte de Auditoría Informática o por los funcionarios que XXXXXXXX delegue para dicho
fin.
➢ Es responsabilidad del usuario garantizar los derechos de propiedad de la información de
XXXXXXXX
➢ Se prohíbe el uso de la información de XXXXXXXX con propósitos comerciales o
personales.
➢ Toda información generada por y para XXXXXXXX es propiedad de XXXXXXXX a menos
que una relación contractual aprobada por la Gerencia General especifique lo contrario.
➢ Ningún tipo de información acerca del negocio de XXXXXXXX debe ser compartida con
externos, solamente se hará cuando las características del trabajo lo requieran.
➢ Los reportes oficiales de la información administrada, almacenada y soportada por los
Sistemas de Información deberán ser generados en formato PDF para garantizar la
integridad y veracidad de la información.

BACKUP DE LA INFORMACION

➢ Debe existir una definición formal de las políticas y procedimientos de generación, retención
y rotación de copias de respaldo.
➢ Con el objetivo de garantizar la continuidad del negocio, se determina de carácter
obligatorio, la ejecución de políticas y procedimientos relacionados con copias de respaldo
para la información definida por XXXXXXXX .
➢ Debe existir un procedimiento que determine actividades, periodicidad, responsable y
mecanismos de almacenamiento de las copias de respaldo de todos los Sistemas de
Información de XXXXXXXX .
➢ La responsabilidad de verificar la realización de copias de respaldo de los servidores es del
área de Seguridad Informática.
➢ El almacenamiento de las copias de respaldo es responsabilidad del área de Infraestructura.
➢ La ejecución de las copias de respaldo es responsabilidad del área de Infraestructura.
ALMACENAMIENTO DE LA INFORMACION

➢ En los servidores y computadores personales de XXXXXXXX únicamente se debe

almacenar información de propiedad de XXXXXXXX .
➢ Toda la información crítica de XXXXXXXX deberá estar almacenada en los servidores.
➢ Se entiende por información crítica la información indispensable para el normal
funcionamiento de XXXXXXXX cuya disponibilidad garantiza la continuidad del negocio y la
cual debe estar debidamente protegida.
 ➢ En los computadores personales o portátiles deberá estar almacenada la información de
apoyo que no está clasificada para XXXXXXXX y es responsabilidad del Jefe de Área el
velar por la protección y respaldo de la información.
➢ En caso de retiro de un usuario, la información almacenada en los computadores
personales o portátiles asignados para el desarrollo de sus funciones deberá ser entregada
a su superior inmediato.

ADMINISTRACION DE MEDIOS REMOVIBLES

➢ La Gerencia de Sistemas de XXXXXXXX es la responsable de la asignación y autorización

de uso de los dispositivos removibles.
➢ Los dispositivos de medios removibles como puertos USB, CD de escritura, entre otros, sólo
se habilitaran en caso que exista una justificación laboral para hacerlo.
➢ Solo es permitido el uso de medios removibles a aquellos usuarios que lo requieran por el
tipo de labores que realizan.
➢ Se debe realizar identificación clara de la información contenida en medios removibles para
garantizar su debida administración y control.
➢ El responsable del medio removible deberá velar por el buen uso de la información
almacenada en el mismo, el adecuado control y su distribución debe ser restringida.
➢ El responsable de la información debe tomar las medidas de precaución necesarias para el
transporte de cualquier tipo de información, estas medidas van desde el control de acceso a
través de contraseñas hasta encriptación de los archivos o medio a transportar.
➢ En caso de pérdida de uno de estos dispositivos con información sensible de XXXXXXXX ,
esta debe ser reportada de inmediato alJefe de área y al área de Seguridad Informática.
➢ Toda la información almacenada en medios removibles debe ser eliminada de manera
segura o sobrescrita cuando el medio sea retirado de XXXXXXXX o sea dado de baja.
➢ La función del medio removible es facilitar el transporte de información y no se consideran
como medio primario de almacenamiento de la información de propiedad y uso de
XXXXXXXX .
➢ En caso de borrado accidental o voluntario, deterioro o cualquier acción que haga
inaccesible la información almacenada en el medio removible, la el área de Infraestructura
de la Gerencia de sistemas hará los mejores esfuerzos pero no será responsable de la
recuperación de dicha información.
➢ El responsable del medio removible debe asegurar que la información allí almacenada
provenga de una fuente segura y esté libre de virus, software y/o código malicioso que
pueda poner en riesgo la seguridad y la disponibilidad de la información y de la plataforma
tecnológica de XXXXXXXX .

RESPONSABILIDAD DE USUARIOS

➢ La Gerencia de Sistemas de XXXXXXXX es responsable por la asignación y administración

de recursos informáticos requeridos por los usuarios para el cumplimiento de sus labores.
➢ Es responsabilidad de los usuarios de componentes tecnológicos de XXXXXXXX :
• Garantizar la integridad, veracidad y confidencialidad de la información asignada para el
cumplimiento de sus funciones.
• Hacer uso adecuado de la información de propiedad de XXXXXXXX .
• Administrar la información a su cargo.
• Utilizar correctamente las contraseñas.
• Mantener la confidencialidad de las contraseñas.
• Velar por el adecuado almacenamiento de la información.
 • Hacer copias de seguridad de la información almacenada en los computadores
personales y/o portátiles. Si no está seguro del proceso debe comunicarse con el
XXXXXXX – Ext XXX
• Reportar al Administrador de sistemas y/o al área de Seguridad Informática, cualquier
incidente de seguridad que se presente en su equipo, o que sea percibido en la
información usada en las labores diarias.
• Conocer y cumplir cabalmente las Políticas, Normas, Procedimientos y Estándares
definidos en el Modelo de Seguridad Informática.
• Hacer uso racional de los recursos informáticos provistos por XXXXXXXX .
• Mantener en forma organizada la información existente en el computador personal a
cargo.

PREVENCION, DETECCION Y ELIMINACION DE SOFTWARE ILEGAL

➢ Todo el software instalado en los computadores de XXXXXXXX debe ser legalmente

adquirido y estar autorizado y licenciado por XXXXXXXX .
➢ Todo software que utilice XXXXXXXX será adquirido de acuerdo con las leyes vigentes en
Colombia.
➢ Se entiende por software ilegal toda copia o uso no autorizado de un programa de
computador en cualquier forma distinta a la permitida por las leyes de derechos de autor o a
la estipulada en la licencia de software.
➢ Se entiende por software SHAREWARE (Uso restringido) aquel que se puede instalar sin
licencia como versión inicial de prueba, pero, el usuario tiene que pagar por adquirir la
licencia de uso definitivo. En algunas ocasiones las versiones SHAREWARE, llamado
también LITEWARE traen opciones deshabilitadas para obligar al usuario a adquirir la
licencia definitiva de uso.
➢ Se entiende por software FREEWARE (libre distribución) aquel que no requiere ningún tipo
de licencia para su funcionamiento. Sin embargo, sus derechos de copia no pueden ser
incorporados a ningún tipo de desarrollo de software. Normalmente se adquiere vía Internet.
➢ Se entiende por SOFTWARE DE DOMINIO PUBLICO, aquel que no tiene derechos de
autor, ya que sus autores desean compartirlo con la comunidad mundial de desarrolladores.
Es de libre uso y puede ser incorporado a cualquier tipo de desarrollo de software no
comercial.
➢ Ningún tipo de software, incluyendo el catalogado como de libre distribución debe ser
instalado en los equipos de XXXXXXXX sin previa autorización.
➢ Todos los empleados deben recibir inducción respecto a los tipos de licenciamiento de
software existentes y los requerimientos de legalizar el software disponible en Internet.
➢ Las licencias de software y/o los datos que comprueben la licencia de uso del software
deben estar debidamente almacenadas y protegidas en un área de acceso restringido.
Deberán ser almacenadas centralizadamente y en las oficinas de otras ciudades deberá
conservarse una copia de las licencias allí instaladas. El lugar de almacenamiento será
determinado por la Gerencia de Sistemas.
➢ Los inventarios de hardware, software y licencias deben permanecer actualizados.
➢ Debe existir una reglamentación de uso para los productos de software instalados en
demostración en los computadores de XXXXXXXX
➢ La Gerencia de Sistemas debe realizar revisiones periódicas aleatorias a los computadores
de XXXXXXXX , con el fin de verificar que solamente esté instalado software autorizado por
XXXXXXXX .
➢ XXXXXXXX debe disponer de una herramienta para administración y control automático de
productos de software instalados.
➢ Todas las copias de software instaladas y no autorizadas deben ser eliminadas.
➢ La violación de estas normas ocasionará sanciones.
PREVENCION, DETECCION Y ELIMINACION DE VIRUS

➢ Los usuarios deben adoptar en forma permanente medidas preventivas tendientes a evitar
la presencia de virus informáticos en los computadores de XXXXXXXX , para ello deben
estar entrenados en el uso del software antivirus definido por XXXXXXXX .
➢ Todos los usuarios deben estar alerta sobre el riesgo de virus informáticos a través de
Internet, por correo electrónico, desde otro computador de la red o por medio de un
dispositivo removible.
➢ En los casos en que se autorice la instalación de software catalogado como de libre
distribución, éste debe ser revisado y certificado por el área de Infraestructura de la
Gerencia de Sistemas, como libre de virus antes de ser instalado en los computadores de
XXXXXXXX .
➢ Toda comunicación recibida a través de la red, debe ser revisada por el software antivirus
antes de ser abierta y almacenada en el equipo.
➢ Cualquier archivo recibido a través de la red debe ser siempre revisado con el antivirus
seleccionado por XXXXXXXX .
➢ El área de Infraestructura de la Gerencia de Sistemas serán los únicos funcionarios
autorizados para descargar software desde Internet, siguiendo los lineamientos definidos en
las políticas y normas de Seguridad de la Información.
➢ La instalación de cualquier tipo de software solamente podrá ser hecha por área de
Infraestructura o por quienes ellos deleguen.
➢ El software antivirus debe estar instalado en los servidores y computadores personales de
XXXXXXXX y debe ser actualizado y distribuido de manera automática desde los
servidores de red.
➢ Los diferentes servidores y computadores tendrán instalado el antivirus seleccionado por
XXXXXXXX , el cual debe estar configurado de tal forma que se active cuando se
encienden los computadores.
➢ Deben existir procedimientos y mecanismos para garantizar que la herramienta para
detección y eliminación de virus se encuentre permanentemente actualizada.
➢ Los cambios de configuración del antivirus, son responsabilidad exclusiva del personal del
área de Infraestructura de la Gerencia de sistemas y ningún usuario, por ningún motivo,
debe intentar modificar dicha configuración.
➢ Los funcionarios de XXXXXXXX deberán informar a XXXXXXX - Ext XXX o al área de
Seguridad Informática, cualquier virus detectado en sus computadores personales.
➢ Los usuarios deben conocer los procedimientos de detección y eliminación de virus
informáticos.
➢ El software de detección de virus seleccionado por XXXXXXXX debe ser instalado en todos
los servidores, estaciones de trabajo, incluyendo computadores portátiles de XXXXXXXX .
➢ Todos los registros de detección de virus serán examinados por el área de Infraestructura
con el objetivo de evitar reincidencias.
➢ Cualquier equipo que haya sido detectado con virus, debe ser desconectado
inmediatamente de la red y solo será puesto en servicio de nuevo hasta que el área de
Infraestructura verifique que todos los virus han sido eliminados.

SEGURIDAD DE COMPUTADORES PERSONALES

➢ Cualquier modificación al estándar definido para software y hardware en computadores de

XXXXXXXX debe ser autorizada por la Gerencia de Sistemas.
➢ La configuración, instalación, desinstalación y mantenimiento de hardware y software es
responsabilidad exclusiva de la Gerencia de Sistemas de XXXXXXXX . Por esta razón
ningún usuario, bajo ningún motivo, debe intentar modificar las configuraciones del software
instalado en los equipo de cómputo.
 ➢ Debe mantenerse un inventario actualizado de software y hardware de cada uno de los
computadores de XXXXXXXX
➢ Todos los usuarios de computadores personales deberán tener en cuenta los siguientes
aspectos:
➢ No ingerir alimentos cerca de los computadores personales
➢ No realizar actividades de mantenimiento de hardware
➢ Conservar los equipos en adecuadas condiciones ambientales
➢ Apagar los equipos cuando no estén en uso
➢ La Gerencia de Sistemas es responsable de la instalación y configuración del protector de
pantalla con contraseñas de acceso en todos los computadores personales.
➢ La correcta utilización de la cuenta de usuario para administración y su contraseña a nivel
de computadores personales esta bajo la responsabilidad de cada usuario al cual se le
entrega su contraseña.
➢ La Gerencia de Sistemas tiene la potestad para remover, sin notificar al funcionario,
cualquier software que no esté autorizado por la Gerencia de Sistemas
➢ Las normas mínimas de control deben ser acatadas por todos los usuarios para garantizar
la seguridad y apropiado uso de los equipos portátiles de propiedad de XXXXXXXX
➢ Los computadores portátiles XXXXXXXX se han adquirido específicamente para facilitar el
desarrollo de actividades laborales directamente relacionadas con XXXXXXXX
➢ Su uso debe estar directamente relacionado con las actividades del área a la cual ha sido
asignado el equipo portátil y el uso para propósitos personales debe ser ocasional, racional
y no debe obstaculizar las actividades laborales.

Control de configuración

Cambios al Software de Aplicaciones

➢ XXXXXXXX cuenta con diferentes clases de software aplicativo, debidamente licenciado

que puede ser utilizado por los funcionarios de XXXXXXXX .
➢ La instalación, configuración, modificación o eliminación de software aplicativo sobre los
computadores personales y/o Portátiles es responsabilidad exclusiva de la Gerencia de
Sistemas.
➢ Ningún usuario, bajo ninguna circunstancia, puede instalar software aplicativo en los
computadores personales y/o Portátiles.
➢ La Gerencia de Sistemas tiene la potestad para remover, sin notificar al funcionario,
cualquier software que no esté autorizado por la Gerencia de Sistemas.
➢ Cualquier modificación al estándar definido para software y hardware en los computadores
personales y/o Portátiles de XXXXXXXX debe ser autorizada por la Gerencia de Sistemas.
.
Cambios a la Configuración del Sistema Operativo

➢ La configuración de las opciones del sistema operativo en los computadores personales y/o
Portátiles es responsabilidad exclusiva de la Gerencia de Sistemas.
➢ Ningún funcionario, bajo ninguna circunstancia, puede modificar la configuración del sistema
operativo de los computadores personales y/o Portátiles de XXXXXXXX .
➢ Ningún funcionario, bajo ninguna circunstancia, puede eliminar o modificar el sistema
operativo instalado en los computadores personales y/o Portátiles de XXXXXXXX .
➢ Ningún funcionario, bajo ninguna circunstancia, puede instalar un nuevo sistema operativo
en los computadores personales y/o Portátiles de XXXXXXXX

Cambios al Hardware

➢ La configuración de hardware de los computadores personales y/o Portátiles de XXXXXXXX

, es responsabilidad exclusiva de la Gerencia de Sistemas
 ➢ Ningún funcionario, bajo ninguna circunstancia, puede retirar o instalar nuevos dispositivos
de hardware a los computadores personales y/o Portátiles de XXXXXXXX .

Utilización de tarjetas inalámbricas

➢ Se debe mantener desactivada la red inalámbrica en caso de que no esté siendo utilizada.
➢ El uso de redes AD-HOC está restringido excepto cuando sea estrictamente necesario y
estas deben contar con mecanismos de autenticación y tráfico seguro como WEP, WPA. ó
WPA2

Copias de Seguridad o Backup de la Información

➢ Es responsabilidad de cada usuario hacer copias de seguridad de la información

almacenada en el computador personal y/o Portátil. Si no está seguro del proceso debe
comunicarse con el área de XXXXXXX – Ext XXX .

Reporte de Daño o Robo de Equipos Portátiles

➢ Es responsabilidad del funcionario reportar inmediatamente a la Gerencia de Sistemas,

cualquier daño o pérdida del equipo portátil que le ha sido asignado.

Incumplimiento

➢ Es responsabilidad de cada usuario el cumplimiento de esta norma en forma consistente.

➢ Cualquier tipo de incumplimiento, inobservancia o mal uso, de estas mínimas prácticas, es
considerado como una falta grave para XXXXXXXX ..

SEGURIDAD Y USO ADECUADO DE EQUIPOS DE TERCEROS

➢ Todos los equipos de propiedad de terceros que sean autorizados por la gerencia de
sistemas para ser ingresados a la red de datos de XXXXXXXX deben:

•Utilizar únicamente el software necesario para el desarrollo de sus labores.

•Tener instalado software debidamente licenciado ya que XXXXXXXX no se hace
responsable por el uso de software no licenciado.
• Mantener actualizado el software instalado con los niveles de seguridad recomendados
por el fabricante.
• Adquirir, instalar y mantener actualizado software antivirus en sus computadores con el
fin de evitar dispersión de virus en la red.
• Ser identificados según el estándar de nomenclatura de equipos cliente definida por
XXXXXXXX
➢ La Gerencia de Sistemas no suministrará servicio de soporte a Hardware ni Software de
propiedad de terceros.
➢ Los responsables de equipos de terceros deben:
• Controlar el acceso al computador a personas no autorizadas para asegurar la
protección de la información.
• Utilizar adecuada y racionalmente los recursos tecnológicos que provee XXXXXXXX
• No hacer uso de comunicaciones telefónicas o inalámbricas a redes externas mientras
el computador esté conectado a la red de datos de XXXXXXXX .
• Tomar las medidas necesarias para garantizar la seguridad del equipo de su propiedad.
 • Conocer, cumplir y difundir las Políticas, Normas, Procedimientos y Estándares del
Modelo de Seguridad Informática.

ADMINISTRACION DE CUENTAS

➢ Todas las personas que presten sus servicios a XXXXXXXX ya sea de forma directa o
como contratistas, deberán tener una cuenta personal para cada uno de los componentes
de la plataforma tecnológica a los que requieran acceso.
➢ Todas las cuentas con permisos de ingreso, modificación o eliminación de información
deben ser de carácter único, personal e intransferible.
➢ El responsable de velar y monitorear que los usuarios tengan únicamente los accesos que
necesitan para el cumplimiento de sus funciones es el área de Seguridad Informática.
➢ Se deben inhabilitar temporalmente las cuentas de usuario de funcionarios que se
encuentren de
➢ vacaciones y/o licencias, o a petición del respectivo Responsable de la Información, el Jefe
Inmediato o de la Gerencia de Recursos Humanos.
➢ Se debe inactivar la cuenta de usuario en el Directorio Activo, en los siguientes casos:
• Si el funcionario ya no labora para XXXXXXXX .
• Si así lo establece el área de Seguridad Informática como resultado de alguna de sus
revisiones periódicas.
• Cuando se establece una sanción al usuario por mal uso de los componentes
tecnológicos

EXEPCIONES DE LA NORMA

➢ Solo se harán excepciones a esta norma cuando sea necesario mantener un registro de
histórico de un usuario en particular, para lo cual se debe contar con la autorización de la
Gerencia de Sistemas

REGISTRO DE EVENTOS

➢ Deben existir mecanismos que permitan que todas las actividades ejecutadas sobre los
servidores queden reflejadas en los registros de auditoría del sistema.
➢ Deben existir procedimientos que determinen el uso de los registros de auditoría generados
por los diferentes sistemas de información para monitorear el acceso autorizado a bases de
datos de producción o directorios con información crítica.
➢ Debe existir un procedimiento que regule la revisión periódica de los logs, con el fin de
detectar los posibles intentos de violación a la seguridad o mal uso de los componentes de
la plataforma tecnológica como el acceso a internet.
➢ Los accesos otorgados temporalmente para ejecución de trabajos de emergencia deben ser
de acceso restringido y deben ser revisados periódicamente.
➢ El área de Seguridad Informática en conjunto con los Responsables de la Información
determinará quienes son los usuarios para realizar la auditoría.
➢ La activación de los registros de auditoría a nivel de componentes tecnológicos diferentes
de los sistemas aplicativos será realizada por el Administrador de sistemas y/o Responsable
del Componente Tecnológico, de acuerdo con los requerimientos de los Responsables de la
información.

CONFIGURACION DE PARAMETROS

➢ Todos los parámetros de seguridad configurados en los Componentes de la plataforma

tecnológica, deben cumplir con los estándares establecidos por XXXXXXXX .
 ➢ El área de Seguridad Informática en conjunto con la Gerencia de Sistemas tendrá bajo su
responsabilidad analizar las implicaciones tecnológicas y funcionales de realizar cambios en
la configuración de parámetros.
➢ Todos los cambios en configuración de parámetros requeridos en los servidores y
aplicativos XXXXXXXX deben ser autorizados por el área de Seguridad Informática.
➢ Todos los cambios a configuración de parámetros deben ser debidamente documentados.
La responsabilidad de ello será de los Administradores y a los Administradores de Seguridad
para cada Sistema de Información.
➢ En los diferentes componentes de plataforma tecnológica de XXXXXXXX deben
implementarse los siguientes controles como mínimo:
• Salida forzosa de un usuario de la estación de trabajo después de un tiempo de
inactividad.
• Bloqueo de las cuentas de usuarios después de un número determinado de intentos
fallidos o debido al no uso de la cuenta.
• Cambiar forzosa y periódicamente las contraseñas.
• Controlar la repetición de contraseñas ya utilizadas.

NOMBRES DE USUARIO

➢ Todos los funcionarios de XXXXXXXX (empleados o contratistas) que requieran acceso a

los componentes de la plataforma tecnológica, tendrán una identificación de usuario y una
contraseña únicos para acceder al respectivo componente de la plataforma tecnológica.
➢ Todos los identificadores de usuario deben acogerse al estándar establecido por
XXXXXXXX para dicho fin.

USUARIOS PRIVILEGIADOS

➢ Se entiende por usuarios privilegiados:

• Los superusuarios creados por defecto en la instalación de los componentes de la
plataforma tecnológica.
• Los usuarios que realizan actividades de administración en los componentes
tecnológicos con los máximos privilegios que requiere su función.
• Todos aquellos identificadores de usuario que requieren ser asignados a funcionarios
cuyo cargo está relacionado con la administración funcional y/o tecnológica de sistemas
de información.
• Los usuarios privilegiados solo serán otorgados a aquellas personas que lo requieran
para el cumplimiento de sus funciones.
➢ Deberá existir una cuenta de usuario que será utilizada exclusivamente para monitoreo por
parte del área de Seguridad Informática..
➢ Las actividades realizadas por los usuarios privilegiados deberán reflejarse en un registro,
que debe ser monitoreado periódicamente por el área de Seguridad Informática.
➢ Las personas que por sus funciones requieran acceso de usuario privilegiado deben
solicitarlo siguiendo el procedimiento establecido por XXXXXXXX para administración de
usuarios privilegiados de los componentes tecnológicos.
➢ Ningún usuario privilegiado debe modificar información sin previa autorización del
Responsable de la Información y del área de Seguridad Informática.
➢ Las contraseñas de las cuentas de usuarios privilegiados creados por defecto en la
instalación de cada componente de la plataforma tecnológica no deben ser conocidas por el
personal que realiza actividades de administración.
 ➢ Las contraseñas de los usuarios privilegiados creados por defecto en la instalación de cada
componente de la plataforma tecnológica deben ser definidas por el área de Seguridad
Informática y almacenadas en adecuadas condiciones de seguridad y serán utilizadas
únicamente en situaciones consideradas de emergencia y/o contingencia.
➢ Las cuentas de usuarios privilegiados deben ser de uso personal e intransferible.
➢ Debe existir un procedimiento para el almacenamiento, protección y administración de las
contraseñas de los usuarios privilegiados.

USUARIOS GENERICOS

➢ XXXXXXXX no asignará cuentas de red o de aplicaciones para usuarios Genéricos

SEGURIDAD LOGICA - SUPERUSUARIOS DE BASES DE DATOS

➢ El Administrador de Bases de Datos es el único autorizado para crear a nivel de Base de

Datos, los súperusuarios que serán utilizados..
➢ Los superusuarios que requieren acceso a las Bases de Datos, solo podrán ser solicitados
al Administrador de Bases de Datos por el Administrador de Seguridad del Sistema de
Información y autorizados por el área Seguridad Informática.
➢ La creación de los superusuarios a nivel de Bases de Datos deberá ser definida
técnicamente por los líderes técnicos de los Sistemas de Información.
➢ La contraseñas de los superusuarios de Sistemas de Información creados a nivel de Bases
de Datos y utilizadas para otorgar acceso a los usuarios del Sistema de Información deben
ser de uso y conocimiento únicamente por parte del Administrador de Seguridad para cada
Sistema de Información o quien ejerza sus funciones.

ADMINISTRACION DE ACCESOS A COMPONENTES DE LA PLATAFORMA TECNOLOGICA

➢ Debe existir un procedimiento formal para la creación, actualización, inactivación, bloqueo

y/o eliminación de accesos a los diferentes componentes de la plataforma tecnológica
existentes en XXXXXXXX .
➢ Toda novedad presentada en la planta de personal de los funcionarios y/o contratistas de
XXXXXXXX (ingresos, licencias, sanciones, suspensiones, ascensos y/o retiros) debe ser
reportada mensualmente por la Gerencia de Recursos Humanos y/o el Jefe Inmediato del
funcionario mediante novedad al área de Seguridad Informática.
➢ La autorización para la creación, eliminación o modificación de perfiles de acceso es
responsabilidad directa del área de Seguridad Informática.
➢ El área de Seguridad Informática, los Administradores, Administradores de Seguridad para
cada Sistema de Información y los Responsables de la Información serán los responsables
de velar por que los perfiles de acceso existentes sean acordes con las funciones realizadas
por cada uno de los usuarios.

CLAVES DE ACCESO

➢ Las contraseñas serán entregadas por:

• El Administrador de seguridad , en el caso de los Sistemas de Información.
• Los Administradores en el caso de los componentes de la plataforma tecnológica
➢ Todos los casos, deberá forzarse el cambio de la contraseña en el Primer ingreso.
➢ Las contraseñas deben ser únicas, personales e intransferibles. De esta forma se garantiza
la integridad y veracidad de la información.
➢ Los cambios de contraseñas están sujetos a los estándares establecidos por XXXXXXXX

SEGURIDAD FISICA
 ➢ Deben existir planos actualizados de las áreas de almacenamiento y/o procesamiento de la
información.
➢ Deben existir planos de evacuación de las áreas de almacenamiento y/o procesamiento de
la información.
➢ La Gerencia de Sistemas debe contar con contratos vigentes de mantenimiento preventivo y
correctivo de los componentes de la plataforma tecnológica.

ACCESO A AREAS DE PROCESAMIENTO DE INFORMACION

➢ Se consideran áreas de procesamiento el centro de cómputo y los lugares donde se

encuentren alojados los siguientes elementos:
• Servidores
• Centros de cableado
• UPS
• Componentes de red
• Equipos de comunicaciones
• Equipos de almacenamiento masivo de información
➢ El Responsable de las Áreas de Procesamiento y debe llevar un formato de control donde
se especifique la información de los funcionarios que tienen autorización para ingresar a las
áreas de procesamiento. El formato debe contener, por lo menos, la siguiente información:
Nombre del funcionario, área a la cual tiene acceso autorizado, justificación del acceso
otorgado y funcionario quien autoriza.
➢ Todo personal que no tenga acceso permanente a esas áreas deberá permanecer en
compañía de un funcionario encargado de la administración de la seguridad física durante
su permanencia en la zona de procesamiento.
➢ El acceso físico a las áreas de almacenamiento y/o procesamiento debe ser controlado
mediante dispositivos electrónicos o en su defecto por procedimientos manuales.
➢ El acceso permanente a las áreas de procesamiento estará restringido a los funcionarios
autorizados por la Gerencia de Sistemas
➢ El ingreso y salida de funcionarios a las áreas de procesamiento debe ser registrado en el
formato establecido por XXXXXXXX para dicho fin.
➢ Con el objetivo de garantizar la confidencialidad de la información, los visitantes, contratistas
y empleados externos de XXXXXXXX no tendrán acceso a los centros de almacenamiento
y distribución de la información, entre ellos: Centro de cómputo, centros de cableado, a
menos que sea estrictamente necesario para el cumplimiento de sus funciones.
➢ Para garantizar la integridad de los componentes de la plataforma tecnológica existentes en
las áreas de procesamiento y almacenamiento de información deberá contarse con la
infraestructura física requerida de acuerdo a los estándares definidos por XXXXXXXX .
➢ Deben existir mecanismos de monitoreo de las actividades realizadas por personal que no
pertenece a la Gerencia de Sistemas, durante su permanencia en las áreas de
procesamiento
➢ Se deben reportar y documentar todos los incidentes ocurridos durante la ejecución de
labores dentro del centro de cómputo.
➢ En las áreas de almacenamiento y/o procesamiento de información está prohibido realizar
las siguientes acciones:
• Consumir bebidas y alimentos
• Ingresar y/o almacenar material, cuando no lo requiere la actividad que se realiza en
estas áreas.

CONTROL DE MEDIOS

➢ Se entiende por medios magnéticos:

 • Dispositivos que contienen software.
• Copias de respaldo de la información existente en los componentes de la plataforma
tecnológica de XXXXXXXX .
➢ El acceso a los medios magnéticos debe ser restringido a personal autorizado de acuerdo a
la norma de Seguridad Física - Acceso a áreas de almacenamiento y/o procesamiento.
➢ Las copias de seguridad deben ser almacenadas externamente de acuerdo con las políticas
y procedimientos definidos por XXXXXXXX .
➢ Debe existir un inventario de los medios magnéticos almacenados, especificando para cada
uno la siguiente información:
• Código de identificación del medio.
• Identificación del área responsable de la información.
• Fecha y hora de la transacción realizada.
• Descripción de la información contenida.
• Vigencia del medio (Para el caso de las copias de respaldo, esta fecha representa el
tiempo que debe conservarse el medio antes de ser eliminado o sobrescrito).
➢ Debe existir un procedimiento formal de destrucción de cintas y/o medios magnéticos que
contienen información altamente confidencial y que hayan perdido vigencia para
XXXXXXXX .
➢ Ningún tipo de información en medio magnético o impresa almacenada en áreas destinadas
para tal fin, al interior de la organización o en forma externa a XXXXXXXX , debe retirarse
de estas áreas sin previa autorización de la Gerencia de Sistemas.

RETIRO DE COMPONENTES DE LA PLATAFORMA TECNOLOGICA

➢ Ningún tipo de componente de la plataforma tecnológica será retirado de las instalaciones

de XXXXXXXX sin previa autorización de la Gerencia de Sistemas
➢ La Gerencia de Sistemas es responsable de los procesos de entrega y recepción de los
componentes de la plataforma tecnológica a áreas usuarias o entes externos.
➢ Debe existir un procedimiento de retiro de los componentes de la plataforma tecnológica
que garantice la integridad, disponibilidad y veracidad de la información existente en el
componente.

USO DEL CORREO ELECTRONICO

➢ El correo electrónico es un medio formal de comunicación de XXXXXXXX .

➢ El correo electrónico debe usarse para el envío de comunicaciones cortas y concisas.
➢ Las comunicaciones electrónicas al igual que todas las comunicaciones que se cursan al
interior de XXXXXXXX y hacia el exterior, deben tener las características básicas de
cordialidad y respeto.
➢ En las comunicaciones electrónicas deben observarse los conductos regulares de la
Entidad, respetando el fuero y ámbito de decisión de las diferentes instancias.
➢ Las comunicaciones electrónicas en lo posible, deben ser concretas, precisas y completas.
➢ Solamente se considera oficial un mensaje de correo electrónico que incluya el nombre y el
cargo del funcionario de XXXXXXXX y/o su firma digital. Se considerará no oficial cuando
solamente incluye el nombre del funcionario.
➢ Las comunicaciones oficiales y circulares deben ser enviadas desde el correo electrónico de
quien los firma.
➢ Se deben conservar los niveles de seguridad en el manejo de la información electrónica
conforme a los parámetros definidos para tal fin.
➢ La asignación de cuentas de correo electrónico a contratistas será autorizado por el
supervisor del respectivo contrato.
➢ Todas las direcciones de correo electrónico deben ser creadas usando el estándar
establecido por XXXXXXXX para dicho fin.
➢ Todos los funcionarios de XXXXXXXX tendrán correo electrónico personalizado.
➢ El uso del correo electrónico para fines personales deberá ser racional.
➢ Se establecerá un tamaño de buzón de correo para cada usuario, es decir un espacio en
disco en el servidor de correo, destinado al almacenamiento de mensajes electrónicos de
cada usuario.
➢ El usuario responsable del buzón deberá dar un trámite ágil al correo electrónico recibido,
es decir, diariamente debe leer, responder y eliminar o archivar en el disco duro local,
solamente los mensajes que soporten información relevante para el desarrollo de sus
labores en XXXXXXXX .
➢ El mantenimiento de la lista de contactos y del buzón será responsabilidad del usuario
➢ Los mensajes deben ser redactados de forma clara y concreta, evitando el uso de
MAYUSCULAS sostenidas, que según normas internacionales de redacción en Internet,
equivale a gritar.
➢ En el nombre del destinatario y el asunto debe evitarse el uso de caracteres especiales
como slash (/), tildes (´), guiones (-), etc.
➢ Los mensajes de correo salientes siempre deben llevar en el campo “Asunto” una frase que
haga referencia directa al contenido del texto.
➢ Todos los mensajes de correo enviados deben contener como mínimo la siguiente
información:
➢ Nombre,
➢ Cargo,
➢ Dependencia,
➢ Tel.: XXXX – Ext. XXXX
➢ Ningún usuario deberá permitir a otro enviar correos utilizando su cuenta, sin aclarar el
remitente.
➢ La “confirmación de lectura” solo debe ser utilizada en situaciones estrictamente necesarias
con el fin de evitar la congestión de mensajes
➢ Cuando un funcionario requiere ausentarse de XXXXXXXX por un período superior a 3 días
debe programar el correo electrónico para que automáticamente responda a los remitentes
indicando fecha de llegada, nombre y dirección de correo electrónico de la persona
encargada durante su ausencia.
➢ Después de inactividad de noventa (90) días la cuenta de correo será deshabilitada.
➢ El envío de mensajes a grupos de usuarios múltiples como “Todos los Usuarios” cuyo
tamaño pueda ocasionar saturación en el tráfico de la red pone en riesgo la disponibilidad
de los servicios informáticos de XXXXXXXX al exceder su capacidad, por lo que este
servicio se restringe a mensajes exclusivamente de carácter oficial emitidos por la Gerencia
General. Como alternativa, cuando se desee publicar documentos o manuales se deben
publicar en los servidores de archivos.
➢ Antes de enviar un correo deberá verificarse que esté dirigido solamente a los interesados
y/o a quienes deban conocer o decidir sobre el tema, evitando duplicidades o
desmejoramiento en el servicio y operación de la red.
➢ Antes de enviar un archivo adjunto, el remitente deberá verificar que éste no contenga virus.
➢ Está prohibida la reproducción y envío de mensajes en cadenas o similares; puede
ocasionar suspensión del servicio temporal o definitiva, aunque el iniciador haya sido otra
persona.
➢ No se deberán transmitir o reproducir mensajes escritos y/o gráficos que no atañen
directamente a asuntos propios de XXXXXXXX .
➢ La responsabilidad del contenido de los mensajes de correo será del usuario remitente. El
receptor no deberá alterar los mensajes sin la autorización del emisor.
➢ El contenido de los mensajes de correo se considera confidencial y solo perderá este
carácter en casos de investigaciones judiciales o incidentes relacionados con Seguridad
Informática, entendiendo por confidencial aquella información cuyo conocimiento por parte
de personas no autorizadas pueda implicar riesgos para XXXXXXXX .
 ➢ El contenido o información (textual o gráfica) de las comunicaciones electrónicas deberá ser
de tal forma que no pueda ser considerado como ofensivo, sexista, racista, discriminatorio,
ofensivo, obsceno, en la medida que dichos contenidos atentan contra los derechos
fundamentales de las personas.
➢ El Correo electrónico no deberá usarse para enviar información con contenido
discriminatorio. Se deben evitar los estereotipos por raza, género, religión, origen étnico,
localización geográfica, orientación sexual, discapacidad, apariencia física o estrato social.
➢ No se deberá utilizar el correo electrónico para enviar mensajes políticos, avisos
clasificados, publicidad comercial o boletines cuya información no guarde relación directa
con los intereses de la Entidad.
➢ En el servidor de correo electrónico, la Gerencia de Sistemas mantendrá actualizado el
directorio con las direcciones electrónicas de XXXXXXXX y los datos básicos de cada
usuario de correo.
➢ Cualquier dependencia de XXXXXXXX podrá tener asignada una dirección de correo
electrónico para responder a preguntas y/o necesidades. Ejemplo:XXXXXXX@XXXXXXXX
.com, nomina@XXXXXXXX .com y infoweb@XXXXXXXX .com., esto permite que los
usuarios internos y externos obtengan respuesta de la Entidad, sin necesidad de conocer la
dirección específica de un funcionario de XXXXXXXX .
➢ La administración de ésta cuenta de correo será responsabilidad de un usuario asignado por
el Área Responsable de la Información.
➢ Las normas para el uso del correo electrónico certificado hacen parte de estas normas y
serán publicadas al momento de su emisión.

ACCESO A INTERNET

➢ El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones
asignadas
➢ a los funcionarios de XXXXXXXX .
➢ Se debe hacer uso racional del servicio de Internet.
➢ El uso de Internet es considerado indebido cuando:
• Atenta contra la integridad, veracidad y confidencialidad de la información de la UAEAC
• Atenta contra la integridad de los componentes de la plataforma tecnológica.
• Reduce la productividad de los funcionarios.
• Pone en riesgo la disponibilidad de los recursos informáticos de XXXXXXXX .
➢ No se permite la descarga de software de Internet.
➢ La Gerencia de Sistemas debe usar herramientas para restringir el acceso a los sitios de
Internet no autorizados por XXXXXXXX .
➢ Se realizarán revisiones periódicas del uso de Internet por parte de funcionarios y/o
contratistas que XXXXXXXX delegue para tal fin.
➢ Se prohíbe el acceso y consulta de páginas pornográficas, de contenido erótico u obsceno.
➢ Los funcionarios deberán limitar su acceso a páginas de entretenimiento, distracción o
correos en portales públicos. XXXXXXXX podrá aplicar restricciones o sanciones en casos
que se encuentren excesos.
➢ Para inscripciones y transacciones comerciales en Internet se debe entender que esta clase
de actuaciones no compromete en forma alguna los recursos económicos de XXXXXXXX ni
implica responsabilidad por parte de esta. En todo caso, si se llegare a presentar se
entiende que compromete exclusivamente al funcionario y XXXXXXXX podrá tomar las
acciones del caso.
➢ El acceso a Internet está autorizado para todos los funcionarios de XXXXXXXX en el
horario establecido por la Gerencia de Sistemas y debe ser utilizado como herramienta de
 apoyo para facilitar el cumplimiento de las funciones asignadas. Se establecerán los grupos
de acceso a Internet necesarios para el control de la navegación:

SEPARACION DE AMBIENTES

➢ En el proceso de desarrollo e implantación de proyectos de mejoramiento de la aplicación

PeopleSoft o Adición de nuevas funcionalidades deben existir como mínimo los siguientes
ambientes:
• Ambiente de Desarrollo: Aquel en el cual los desarrolladores crean y modifican los
objetos a solicitud del área Responsable de la Información.
• Ambiente de Pruebas: Es una réplica del ambiente de producción en donde se
realizarán todas las pruebas necesarias para garantizar el buen funcionamiento de los
Sistemas de Información .
• Ambiente de producción: Es el ambiente donde se realiza el procesamiento real de la
información utilizada para la toma de decisiones de XXXXXXXX .
➢ Todos los cambios a programas deben realizarse en el Ambiente de Desarrollo.
➢ Los ingenieros de Nivel 2 deben tener acceso únicamente a los Ambientes de Desarrollo y
pruebas.

CONTROL DE CAMBIOS A SISTEMAS DE INFORMACION

➢ Debe disponerse de un inventario de los Sistemas de Información existentes XXXXXXXX ,

especificando si se encuentran en producción o desarrollo
➢ Para todos los cambios y ajustes autorizados, y en ejecución se debe conservar un registro
de las modificaciones realizadas. Dicho registro debe incluir fechas, personas y
transacciones involucradas en dicho cambio.
➢ Los cambios de emergencia deben ser debidamente aprobados, auditados y documentados.
➢ Todo cambio a los Sistemas de Información debe ser solicitado por el Responsable de la
Información, Líder Funcional del área usuaria, Líder Técnico o Administrador de Seguridad.
Si se requieren cambios a los datos, deben ser aprobados por el Responsable de la
Información.
➢ Debe existir un procedimiento para la solicitud, autorización y aprobación para todos los
cambios a PeopleSoft
➢ La documentación de todas las aplicaciones de XXXXXXXX debe ser permanentemente
actualizada y debe realizarse siguiendo los estándares de documentación de XXXXXXXX .
➢ La documentación de los Sistemas de Información debe incluir Manuales, de Operación y
de Usuario.
➢ Debe definirse y aplicarse una metodología para el desarrollo de nuevas funcionalidades de
PeopleSoft.
➢ El área Seguridad Informática deberá monitorear y velar por el cumplimiento de los
procedimientos relacionados con cambios a programas.

PRUEBAS A PROGRAMAS

➢ Debe existir un procedimiento de pruebas a programas que defina actividades y

responsables.
➢ Debe definirse un plan de pruebas que especifique escenarios de pruebas, niveles y tipos
de pruebas que se deban realizar a los aplicativos.
➢ Los datos del ambiente de pruebas deben ser una réplica del ambiente de producción.
➢ El resultado de las pruebas deberá documentarse por los desarrolladores en conjunto con
los usuarios del área solicitante.
TRANSPORTE DE OBJETOS

➢ Todo transporte de objetos entre ambientes debe ser autorizado por el Administrador de
Seguridad Informática para cada Sistema de Información. En el caso de transportes de
objetos a ambiente de producción es necesaria la aprobación previa del Líder Funcional y/o
Responsable de la Información.
➢ Todos los transportes de objetos entre ambientes deben realizarse siguiendo los
procedimientos establecidos para dicho fin.
➢ El responsable de transportar objetos entre ambientes de desarrollo y/o pruebas es el
Administrador de Bases de Datos
➢ Todo transporte de objetos entre ambientes debe quedar debidamente documentado
indicando fecha, responsable, objeto u objetos transportados, entre otros.
➢ Deben existir controles que aseguren que el código fuente de programas en producción
representa exactamente el código que ha sido aprobado en el ambiente de pruebas y que
se ha solicitado transportar.

MIGRACION DE DATOS

➢ Toda migración debe ser aprobada por la Gerencia de Sistemas.

➢ Se entiende por migración el traslado de datos entre diferentes componentes de la
plataforma tecnológica.
➢ Debe definirse un plan de migración que incluya:
• Actividades
• Responsables
• Recursos
• Pruebas a realizar
• Resultados esperados
• Controles
• Cronograma
➢ Toda migración de datos debe ser debidamente documentada.
➢ Cuando la migración es realizada por un tercero, se debe adjuntar el plan de migración
completamente documentado y debe incluir la metodología a utilizar.

ATENCION A INCIDENTES INFORMATICOS

➢ Se entiende por incidente en la plataforma tecnológica cualquier evento que ponga en

riesgo la integridad, disponibilidad, confiabilidad, veracidad y consistencia de la información
existente en la plataforma tecnológica de XXXXXXXX .
➢ Todos los incidentes ocurridos en la plataforma tecnológica de XXXXXXXX deben ser
documentados y atendidos según la metodología de XXXXXXXX .
➢ En el Plan de Contingencia y en la metodología de Respuesta a Incidentes se debe
determinar el responsable de atender los incidentes informáticos ocurridos especificando
roles y responsabilidades

ATENCION A EMERGENCIAS INFORMATICAS

➢ Se define como situación de emergencia informática, aquella incidencia que impide

continuar con el procesamiento de información y que ya sea por necesidades técnicas o
porque su ocurrencia es en horas no laborales, no se le puede dar solución en el plazo
requerido sin la utilización de perfiles o herramientas de excepción.
 ➢ No toda incidencia deberá ser tratada como una situación excepcional. Queda bajo la
responsabilidad de quien autoriza y quien utiliza las herramientas y perfiles de excepción,
justificar con posterioridad la calificación de la emergencia o incidente.

CONTINGENCIAS INFORMATICAS

➢ Con el objetivo de garantizar la continuidad en el funcionamiento de los Componentes

Tecnológicos de XXXXXXXX , deberá existir un Plan de Contingencia que permita
reaccionar ante eventos no esperados; ya sea por efectos de la naturaleza o por actos
humanos (robo, sabotaje, terremoto, incendio, inundación entre otros).
➢ Se entiende por Plan de Contingencia toda acción administrativa y/o operacional tendiente a
superar eventos que interrumpan el normal funcionamiento de los Componentes
Tecnológicos de XXXXXXXX .
➢ El área de Seguridad Informática deberá establecer períodos y responsables para efectos
de actualizar, mantener y probar este Plan de Contingencia.
➢ La elaboración de este Plan de Contingencia será responsabilidad de la Gerencia de
Sistemas.