Politica Para Seguridad Informacion Version 0.0.1.0

UNIV UNIVER ERS SIDADDI IDADDIS STRIT A All francIIsco franc

José de Caldas

L

SEGURIDAD DE

A ..

INFORMACION Polít ítiica par a la Seguridad de la Inf I nf orm rmac aciión de la Uni nive ver r idad Di Ditrit trita al !rancic rancico o J o o" " de #al #a lda da

El

cont co nte eni nid do de este texto texto es

con nsidera er e r si!n se co

privad priva do $

"n doc"#ent doc"#ento

la pr ese sen nte

Int nte ern rno o de

tr a$a %o&

E% AUT&R AU T&R N& A AUT&RI'A UT&RI'A %A REPR&D PR&DU U##i(N & DI!USI&N P&R NIN)* )*N N +ED EDII& & +E# A AN NIS+&.

Política de Seguridad de

la Inf ormación

Página 11 de 20

TER MINOS Y

CONDICIONES DE U SO

Versión actual del documento: 0.0.0.11

contenido de este texto es PR IVAD ! la "resente #ersión se considera un documento inter no no El cont de tr a $a %o. %o.

NO SE AUTOR IA !A REPRODUCCI"N O DI#USION POR NIN$%N MEDIO O MECANISMO SIN E! DE&IDO CONTRO! Y AUTOR IACI"N DE !A O#ICINA ASESORA DE SISTEMAS'


la Inf ormación

Página 22 de 20

Ta(la de Contenido 1.Intr oducción...................................................................................................................................... .'. 2.Acerca de la (egur idad de la In) or mación ....................................................................................... .*. &.r gani+ación "ara la (egur idad de la In) or mación........................................................................... .*. ,.Pol-tica de (egur idad de la In) or mación ........................................................................................... .. ,.1/ener alidades .............................................................................................................................  ,.2Alcance .......................................................................................................................................  ,.& $ %eti#os ................................................................................................................................... .  ,.,R es"onsa $ilidad ..........................................................................................................................  '.Identi) icación clasi) icación ! # alor ación de acti#os de in) or mación..................................................10. *.(egur idad de la in) or mación en el Recurso umano....................................................................... .10. *.1R es"onsa $ilidades del "er sonal de la 3ni#er sidad..................................................................... 11 *.2R es"onsa $ilidades de los estudiantes........................................................................................ 11 *.&R es"onsa $ilidades de 3suar ios Externos .................................................................................. 11 *.,3suar ios in#itados ! ser#icios de acceso "4$lico.......................................................................12 5.(egur idad 6-sica ! del entorno........................................................................................................ .12. 5.1Acceso........................................................................................................................................ 12 5.2(egur idad en los e7ui "os ...........................................................................................................

12

.Administr ación de las comunicaciones ! o"er aciones..................................................................... .1&. .1Re"orte e in#estigación de incidentes de segur idad................................................................... 1& .2Protección contra so) t8ar e malicioso ! 9ac:ing......................................................................... 1& .&;o"ias de (egur idad.................................................................................................................. 1, .,Administr ación de ;on) igur aciones de Red................................................................................ 1, .'Inter cam $io de In) or mación con r gani+aciones Exter nas.........................................................1' .*Inter net ! ;orreo Electr ónico...................................................................................................... 1' .5Instalación de (o) t8ar e..............................................................................................................

1'

.;ontr ol de Acceso........................................................................................................................... .1'. .1;ategor-as de Acceso................................................................................................................. 1' .2;ontr ol de ;la#es !
.,Auditor ia ! (eguimiento.............................................................................................................. 15 .'Acceso Remoto.......................................................................................................................... 15 10.Ad7uisición Desarr ollo ! =antenimiento de (istemas (o) t8ar e.....................................................15. 11.Administr ación de ;ontinuidad del
la Inf ormación

Página && de 20

15.


la Inf ormación

Página ,, de 20

12.;um "limiento................................................................................................................................. .1. 1&.R e) er encias.................................................................................................................................... .1. 1,.>?r minos ! De) iniciones................................................................................................................. .1. 1,.1In) or mación............................................................................................................................... 1 1,.2Acti#o de In) or mación...............................................................................................................

1

1,.&(istema de In) or mación............................................................................................................ 1 1,.,Pr o"ietar io de Acti#os de In) or mación ...................................................................................... 1 1,.'>ecnolog-a de la In) or mación.................................................................................................... 1 1,.*E#aluación de R iesgos ............................................................................................................ 1 1,.5Administr ación de R iesgos ..................................................................................................... . 20 1,.;omit? de (egur idad de la In) or mación ................................................................................... 20 1,.R es"onsa $le de (egur idad In) or mática ................................................................................... 20 1,.10/ru"o r es"onsa $le de (egur idad In) or mática......................................................................... 20 1,.11Incidente de (egur idad In) or mática ....................................................................................... . 20 1,.12;adena de custodia ............................................................................................................... 20


la Inf ormación

Página '' de 20

) Introducción En la actualidad la in) or mación de la institución se 9a reconocido como un acti#o # alioso ! a medida 7ue los sistemas de in) or mación a"o!an cada #e+ más los "rocesos de misión cr-tica se r e7uier e contar con estr ategias de alto ni#el 7ue "er mitan el contr ol ! administr ación e) ecti#a de los datos. ntan amena+as de segur idad 7ue inclu!en
;on la "r omulgación de la "resente Pol-tica de (egur idad de la In) or mación la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas ) or mali+a su com "r omiso con el "roceso de gestión r es"onsa $le de in) or mación 7ue tiene como o$ %eti#o g ar anti+ar la integr idad con) idencialidad ! dis"oni $ilidad de este im "ort ante acti#o teniendo como e %e el cum "limiento de los o$ %eti#os misionales.


la Inf ormación

Página ** de 20

* Ace rca de la Seguridad de la Inf ormación @a segur idad de la in) or mación se entiende como la "reser#ación asegur amiento ! cum "limiento de las siguientes car acter-sticas de la in) or mación: B Confidencialidad+ los acti#os de in) or mación solo "ueden ser accedidos ! custodiados "or usuar ios 7ue tengan "er misos "ara ello. B Integridad+ El contenido de los acti#os de in) or mación de$e "ermanecer inalter ado ! com "leto. @as modi) icaciones r eali+adas de$en ser r egistr adas asegurando su con) ia $ilidad. B Di,-oni(ilidad+ @os acti#os de in) or mación sólo "ueden ser o$tenidos a corto "la+o "or los usuar ios 7ue tengan los "er misos adecuados. Para ello es necesar io consider ar as"ectos tales como: BAutenticidad: @os acti#os de in) or mación los crean editan ! custodian usuar ios reconocidos 7uienes #alidan su contenido. B Po,i(ilidad de Auditoría+ (e mantienen e#idencias de todas las acti#idades ! acciones 7ue a) ectan a los acti#os de in) or mación. B Protecc ión a la du-licación: @os acti#os de in) or mación son o$ %eto de clasi) icación ! se lle#an r egistr os de las co"ias generadas de a7uellos catalogados como con) idenciales. B No re-udio+ @os autores "r o"ietar ios ! custodios de los acti#os de in) or mación se "ueden identi) icar "lenamente. B !egalidad+ @os acti#os de in) or mación cum "len los "arámetros legales nor mati#os ! estatutar ios de la institución. B Confia(ilidad de la Inf ormación+ Es ) ia $le el contenido de los acti#os de in) or mación 7ue conser#en la con) idencialidad integr idad dis"oni $ilidad autenticidad ! legalidad.. Datos o in) or mación "r o"iedad de la 3ni#er sidad 7ue

. Organi/ación -ara la Seguridad de la Inf ormación @a 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas gar anti+a el a"o!o al "roceso de esta $lecimiento im "lementación o"eración seguimiento re#isión mantenimiento ! me %or a del (istema de /estión de la (egur idad de la In) or mación del cual 9ace "arte integr al la "resente "ol-tica "or medio de la cr eación de una comisión t?cnica denominada Comité de Seguridad de la I n f or maci ón cu!a com "osición ! ) unciones serán r eglamentadas "or una mesa de tr a $a %o com"uesta "or: C C C C C C

0ice rrec tor acad1mico o un delegado es"eciali+ado 0ice rrec tor admini,trati2o o un delegado es"eciali+ado3

4efe de la oficina de Planeación o un delegado es"eciali+ado 4efe de la Oficina A,e,ora de Si,tema, o un delegado es"eciali+ado3 4efe de la Red de Dato, o un delegado es"eciali+ado3 A,e,or certificado en ,eguridad de la inf ormación.

En todo caso dic9a comisión o la mesa de tr a $a %o de$erá re#isar ! actuali+ar anualmente esta "ol-tica "resentando las "ro"uestas a las dir ecti#as de la institución "ara su a"ro$ación mediante Política de Seguridad de

la Inf ormación

Página 55 de 20

r esolución o acto %ur-dico corr es"ondiente. @os %e) es de de "endencia "re#ia identi) icación ! #alor ación de sus acti#os de in) or mación 9acen "arte del gru"o de r es"onsa $le de (egur idad de la In) or mación ! "or tanto deben seguir los linea mientos de gestión enmarcados en esta "ol-tica ! en los estándares normas gu-as ! "r ocedimientos recomendados "or el ;omit? de (egur idad de la In) or mación ! a"ro$ados "or las dir ecti#as.


la Inf ormación

Página  de 20

5 Política de Seguridad de la Inf ormación ad es G ener al id

4.1

@a in) or mación es un recurso 7ue como el resto de los acti#os tiene #alor "ara la institución ! "or consiguiente de$e ser de $idamente "r otegida. El esta $lecimiento seguimiento me %or a continua ! a "licación de la Pol-tica de (egur idad de la In) or mación gar anti+a un com "r omiso ineludi $le de "rotección a la misma ) r ente a una am "lia gama de amena+as. ;on esta "ol-tica se contr i$u!e a minimi+ar los r iesgos asociados de dao ! se asegura el e) iciente cum "limiento de las ) unciones sustanti#as de la e ntidad a"o!adas en un corr ecto sistema de in) or mación.

@a institución esta $lecer á los mecanismos "ara r es"aldar la di) usión estudio actuali+ación ! consolidación tanto de la "resente "ol-tica como de los demás com"onentes del (istema de /estión de la (egur idad de la In) or mación ! alinear los de ) or ma e) ecti#a con los demás sistemas de gestión.

4.2 Al cance Esta "ol-tica es de a "licación en el con %unto de de "endencias 7ue com"onen la institución a sus recursos a la totalidad de los "rocesos inter nos o externos #inculados a la uni#er sidad a tra#?s de contratos o acuerdos con terceros ! a todo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! el ni#el de las tareas 7ue desem "ee.

os Ob j et i

4.3 a

Proteger "reser#ar ! administr ar o$ %eti#amente la in) or mación de la 3 ni#er sidad Distr ital 6rancisco Jos? de ;aldas %unto con las tecnolog-as utili+ada "ara su "r ocesamiento ) re nte a amena+as inter nas o externas deli $er adas o accidentales con el )in de el cum "limiento de los car acter-sticas de con) idencialidad integr idad asegurar dis"oni $ilidad legalidad con) ia $ilidad ! no r e "udio de la in) or mación.

$ =antener la !ol"tica de Seguridad de la I n f or maci ón actuali+ada #igente o"er ati#a ! auditada dentro del marco deter minado "or los r iesgos glo$ales ! es"ec-) icos de la 3ni#er sidad "ara asegurar su "ermanencia ! ni#el de e) icacia. nci sco &osé de Caldas "ara la corr ecta c De) inir las dir ectr ices de la #niersidad $i st ri t al % ra #alor ación análisis ! e#aluación de los r iesgos de segur idad asociados a la in) or mación ! su im "acto identi) icando ! e#aluando di) er entes o"ciones "ara su tr atamiento con el )in de gar anti+ar la continuidad e integr idad de los sistemas de in) or mación.


la Inf ormación

Página  de 20

4.4 'es(onsab ili d ad @a Pol-tica de (egur idad de la In) or mación es de a "licación o$ligator ia "ara todo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! el ni#el de las tareas 7ue desem "ee. @as dir ecti#as institucionales a"rue$an esta Pol-tica ! son r es"onsa $les de la autor i+ación de sus modi) icaciones. El Comit1 de Seguridad de la Inf ormación de la institución es r es"onsa $le de re#isar ! "ro"oner a las dir ecti#as institucionales "ara su a"ro$ación el texto de la Pol-tica de (egur idad de la In) or mación ) unciones la s gener ales en de de la in) or mación ! la mater ia segur idad estr uctur ación r ecomendación seguimiento ! me %or a del (istema de /estión de (egur idad de la institución. Es r es"ons a $ilidad de dic9o comit? de) inir las estr ategias de ca "acitación en mater ia de segur idad de la in) or mación al inter ior de la 3ni#er sidad. El Coordinador del Comit1 de Seguridad de la Inf ormación será el r es"onsa $le de coor dinar las acciones del ;omit? de (egur idad de la In) or mación ! de im "ulsa r la im "lementación ! cum "limiento de la "resente Pol-tica. El gru-o re,-on,a(le de Seguridad Inf orm6tica será r es"onsa $le de cum "lir ) unciones r elati#as a la segur idad de los sistemas de in) or mación de la entidad lo cual inclu!e la o"eración del (/(I ! su"er#isión del cum "limiento dentro de la de"endencia de as"ectos in9er entes a los temas tr atados en la "resente Pol-tica. El ni#el de su "er #isión 7ue "ueda r eali+ar cada gru"o r es"onsa $le de segur idad está relacionado con el talento 9umano 7ue lo con) or ma ! en todo caso de$erá ser a"ro$ado "or el ;omit? de (egur idad de la In) or mación. @os -ro-ietario, de acti2o, de inf ormación 72er ,u definición en el glo,ario8 son r es"onsa $les de la clasi) icación mantenimiento ! actuali+ación de la misma as- como de documentar ! mantener actuali+ada la clasi) icación e) ectuada de) iniendo 7u? usuar ios de$en tener "er misos de acceso a la in) or mación de acuerdo a sus ) unciones ! com"etencia. En gener al tienen la res"onsa $ilidad de mantener -ntegro con) idencial ! dis "oni $le el acti#o de in) or mación mientr as 7ue es desarr ollado "roducido mantenido ! utili+ado. El 9ef e de R ecur,o, :umano, cum "lir á la ) unción de noti) icar a todo el "er sonal 7ue se #incula contr actualmente con la 3 ni#er sidad de las o$ligaciones res"ecto del cum "limiento de la Pol-tica de (egur idad de la In) or mación ! de todos los estándares "rocesos "r ocedimientos "r ácticas ! gu-as 7ue sur %an del (istema de /estión de la (egur idad de la In) or mación. De igual ) or ma ser á r es"onsa $le de la noti) icación de la "resente Pol-tica ! de los cam $ios 7ue en ella se "rodu+can a todo el "er sonal a tra#?s de la suscr i"ción de los C om pr om iso s de C on f id encialidad ! de tareas de ca"acitación continua en mater ia de segur idad seg4n lineamientos dictados "or el ;omite de (egur idad de la In) or mación. El 9ef e

de la Oficina A ,e,ora de Si,tema, en coor dinación con el Director de la Red de D ato, UDNET de$en seguir los lineamientos de la "resente "ol-tica ! cum "lir los r e7uer imientos 7ue en mater ia de segur idad in) or mática se esta $le+can "ara la o"eración administr ación comunicación ! Política de Seguridad de

la Inf ormación

Página 1010 de

mantenimiento de los sistemas de in) or mación ! los recursos de tecnolog-a de la entidad.

;orres"onde a dic9as %e) atur as deter minar el in#entar io de acti#os de in) or mación ! r ecur sos tecnológicos de los cuales son "r o"ietar ios o custodios el cual será r e#isado ! a#alado "or el 4efe de Almac1n ! el 4efe de R ecur,o, #í ,ico,. El 9ef e de la Oficina 4urídica #er i) icar á el cum "limiento de la "resente Pol-tica en la gestión de todos los contratos acuerdos u otra documentación de la entidad con em "leados ! con terceros. Asimismo asesorará en mater ia legal a la entidad en lo 7ue se r e) ier e a la segur idad de la in) or mación. @os usuar ios de la in) or mación ! de los sistemas utili+ados "ara su "r ocesamiento son r es"onsa $les de conocer ! cum "lir la Pol-tica de (egur idad de la In) or mación #igente.

@a ficina de Control Interno es r es"onsa $le de "r acticar auditor-as "er iódicas so$re los sistemas ! acti#idades #inculadas con la gestión de acti#os de in) or mación ! la tecnolog-a de in) or mación. Es su r es"onsa $ilidad in) or mar so$re el cum "limiento de las es"eci) icaciones ! medidas de segur idad de la in) or mación esta $lecidas "or esta Pol-tica ! "or las normas "r ocedimientos ! "r ácticas 7ue de ella sur %an.

; Identificación3 cla,ificación < inf ormación'

2aloración

de

acti2o,

de

;ada de "endencia $a %o su"er#isión del ;omit? de (egur idad de la In) or mación de$e ela $or ar ! mantener un in#entar io de los acti#os de in) or mación 7ue "oseen F"rocesada ! "roducida. "or e la clasi) icación #alor ación u$icación ! acceso @as car acter-sticas del in#entar io donde se incor de la in) or mación las es"eci) ica el Comit1 de Seguridad de la Inf ormación3 corr es"ondiendo a la Oficina A,e,ora de Si,tema, $r indar 9err amientas 7ue "er mitan la administr ación del in#entar io "or cada de"endencia gar anti+ando la dis"oni $ilidad integr idad ! con) idencialidad de los datos 7ue lo com "onen. @a Red de Dato, UDNET en coor dinación con la Di2i,ión de R ec ur,o, #í,ico, ! la Sección de Almac1n tienen la r es"onsa $ilidad de mantener el in#entar io com "leto ! actuali+ado de los r ecur sos de 9ard8are ! so) t8ar e de la institución.

= Seguridad de la inf ormación en el R ecur,o :umano >odo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! el ni#el de las tareas 7ue desem "e e de$e tener asociado un "er ) il de uso de los recursos de in) or mación inclu!endo el 9ard8are ! so) t8ar e asociado. @a Oficina A,e,ora de Si,tema, en coor dinación con la Red de Dato, UDNET de$en mantener un dir ector io com "leto ! actuali+ado de tales "er ) iles. El Comit1 de Seguridad de "ara los di) er entes "er ) iles. El el

la Inf ormación deter mina cuales son los atr i$utos 7ue de$en de) inir se

Comit1 de Seguridad de la Inf ormación de$e ela $or ar  mantener actuali+ar  me %or ar ! di) undir


la Inf ormación

Página 1111 de

R es"onsa $ilidades Per sonales "ara manual de 3ni#er sidad Distr ital 6rancisco Jos? de ;aldasH. G

la

(egur idad

de

la

In) or mación

en

la

@a r es"onsa $ilidad de custodia de cual7uier ar c9i#o mantenido usado o "roducido "or el "er sonal 7ue se r etir a o cam $ia de cargo recae en el %e) e de de"artamento o su"er#isor del contrato en todo caso el "roceso de cam $io en la cadena de custodia de la in) or mación de$e 9acer "arte integr al del "r ocedimiento de ter minación de la r elación contr actual o de cam $io de car go.

).1 'es(onsabilidades del (ersonal de la # ni er si d ad >odo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! las tareas 7ue desem"eAe de$e ) ir mar un acuerdo 7ue contenga los t ?r minos ! condiciones 7ue r egulan el uso de recursos de >I ! las r eglas ! "er ) iles 7ue autor i+an el uso de la in) or mación institucional. @os "r ocedimientos "ara o$tener tales "er ) iles ! las car acter-sticas de cada uno de ellos de$en ser mantenidos ! actuali+ados "or cada de "endencia de acuerdo a los lineamientos dados "or la Oficina A,e,ora de ,i,tema, en cuanto a la in) or mación ! la Red de Dato, UDNET en cuanto a los dis"ositi#os 9ard8are ! los elementos so) t8ar e. El Estatuto /ener al ! el Estatuto Docente de$en contem "lar "rocesos ! sanciones disci"linar ias "ar a los casos en 7ue se "resente usos de in) or mación ! >I 7ue #iolen los t?r minos ! condiciones.

@a Oficina de R ecur,o, :umano, %unto con la Oficina A,e,ora de Si,tema, se encargarán de crear actuali+ar  mantener ! e %ecutar un "lan de ca "acitación en segur idad de la in) or mación 7ue "ro"enda "or el cr ecimiento continuo de la conciencia indi#idual ! colecti#a en temas de segur idad de la in) or mación. @a Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET ! la Sección de &i(lioteca se encargarán de crear ! mantener un centro documental de acceso gener al con in) or mación r elacionada con temas de segur idad de la in) or mación t ales como r es"onsa $ilidad en la administr ación de ar c9i#os $uenas "r ácticas amena+as de segur idad entre otr os.

).2 'es(onsabilidades de l o s est ud i ant es. Para "oder usar los recursos de >I de la 3ni#er sidad los estudiantes de$en leer ! ace"tar en cada matr-cula de semestre un acuerdo con los t?r minos ! condiciones. @a Oficina A,e,ora de Si,tema, de$e asegurar los mecanismos "ara la di) usión ! ace"tación de dic9as condiciones "or medio de r egistr os ! manuales en l-nea. El estatuto estudiantil de$e contem "lar "rocesos ! sanciones disc i"linar ias "ara los casos en 7ue se "resente usos de in) or mación ! >I 7ue #iolen los t?r minos ! condiciones.

).3 'es(onsabilidades *+t er nos Política de Seguridad de

la Inf ormación

de

#suarios Página 1111 de

>odos los usuar ios externos ! "er sonal de em"resas externas de$en estar autor i+ados "or un


la Inf ormación

Página 1212 de

miem $r o del "er sonal de la 3 ni#er sidad 7uien será r es"onsa $le del contr ol ! #igilancia del uso adecuado de la in) or mación ! los recursos de >I institucionales. @os "r ocedimientos "ara el r egistr o de tales usuar ios de$e ser creado ! mantenido "or la ) icina Asesor a de (istemas en con %unto con la Red de Datos 3D ! la ) icina de Recursos umanos. @os usuar ios externos de$en ace"tar "or escr ito los t ?r minos ! condiciones de uso de la in) or mación ! recursos de >I institucionales. @as cuentas de usuar ios externos de$en ser de "er ) iles es"ec -) icos ! tener caducidad no su "er ior a t r es ,3- meses re no#a $les de acuerdo a la natur ale+a del usuar io.

#suarios initados  ).4 (/bli co .

sericios de

acceso

El acceso de usuar ios no r egistr ados solo de$e ser "er mitido al sitio 8e$ de in) or mación institucional. El acceso ! uso a cual7uier otro ti "o de recurso de in) or mación ! >I no es "er mitido a usuar ios in#itados o no r egistr ados.

> Seguridad #í ,ica < del entorno 0.1 Acceso (e de$e tener acceso contr olado ! r estr ingido a los cuartos de ser #idor es "r inc i"ales su $sidiar ios ! a los cuartos de comunicaciones. @a Red de Datos 3D en con %unto con la ) icina Asesor a de (istemas ela $or ar án ! mantendrán las normas contr oles ! r egistr os de acceso a dic9as ár eas.

0.2 Seguridad en l os e1 ui (o s @os se r #idor es 7ue contengan in) or mación ! ser #icios institucional de$en ser mantenidos en un am $iente seguro ! "r otegido "or los menos con:

B ;ontr oles de acceso ! segur idad ) -sica. B Detección de incendio ! sistemas de extinción de con) lagr aciones. B ;ontr oles de 9umedad ! tem "er atur a. B I a %o r iesgo de inundación. B (istemas el?ctr icos r egulados ! r es"aldados "or ) uentes de "otencia ininterr um "ida F3P(. >oda in) or mación institucional en ) or mato digital de$e ser mantenida en ser #idor es a"ro$ados "or la Oficina A,e,ora de Si,tema, o la Red de Dato, UDNET. El Comit1 de Inf orm6tica ! >elecomunicaciones de) ine el l-mite de r es"onsa $ilidades de las de"endencias.
@a Red de Datos 3D de$e asegurar 7ue la in) r aestr uctur a de ser#icios de >I este cu$iert a "or mantenimiento ! so"orte adecuados de 9ard8are ! so) t8ar e. Política de Seguridad de

la Inf ormación

Página 1&1& de

@as estaciones de tr a $a %o de$en estar correctamente aseguradas ! o"eradas "or "er sonal de la institución el cual de$e estar ca"acitado acerca del contenido de esta "ol-tica ! de las r es"onsa $ilidades "er sonales en el uso ! administr ación de la in) or mación institucional. @os medios 7ue alo %an co"ias de se gur idad de$en ser conser#ados de ) or ma correcta de acuerdo a las "ol-ticas ! estándares 7ue "ara tal e) ecto ela $or e ! mantenga el Comit1 de Seguridad en la Inf ormación' @as de"endencias tienen la res"onsa $ilidad de ado"tar ! cum "lir las normas de) inidas "ara la cr eación ! el mane %o de co"ias de segur idad.

? Admini,tración de la, comunicacione, < o-eracione, .1 'e(orte e inestigación de incidentes de se g uri d ad El "er sonal de la 3ni#er sidad de$e re"ortar con diligencia "r ontitud ! r es"onsa $ilidad "r esuntas #iolaciones de segur idad a tra#?s de su %e) e de de"endencia a la ) icina Asesor a de (istemas o la Red de Datos 3D. En casos es"eciales dic9os re"ortes "odrán r eali+ar se dir ectamente a la Oficina A,e,ora de Si,tema,  la cual de$e gar anti+ar las 9err amientas in) or máticas "ara 7ue ) or malmente se r ealicen t ales denuncias. El Comit1 de Seguridad de la Inf ormación de$e "re"arar mantener ! di) undir las normas "r ocesos ! gu-as "ara el re"orte e in#estigación de incidentes de segur idad.

En con) or midad con la le! la 3ni#er sidad "odrá inter ce "tar o r eali+ar seguimiento a las comunicaciones "or di) er entes mecanismos "re#ia autor i+ación del Comit1 de Inf orm6tica ! >elecomunicaciones ! en todo caso noti) icando "r e#iamente a los a) ectados "or esta decis ión. @a Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, 3D mantendr á "r ocedimientos escr itos "ara la o"eración de sistemas cu!a no dis"oni $ilidad su"onga un im "acto alto en el desarr ollo nor mal de acti#idades. A dic9os sistemas se de$e r eali+ar seguimiento continuo del desem"eAo "ara asegurar la con) ia $ilidad del ser#icio 7ue "r estan.

.2 !rotección contra soft3are malicioso  4ac5i n g . >odos los sistemas in) or máticos de$en ser "r otegidos teniendo en cuenta un en) o7ue multini#el 7ue in#olucr e contr oles 9umanos ) -sicos t?cnicos ! administr ati#os. El ;omit? de (egur idad de la In) or mación ela $or ar á ! mantendrá un con %unto de "ol-ticas normas estándares "r ocedimientos ! gu-as 7ue gar anticen la mitigación de r iesgos asociados a amena+as de so) t8ar e malicioso ! t?cnicas de 9ac:ing. En todo caso ! como contr ol m-nimo las estaciones de tr a $a %o de la 3ni#er sidad de$en estar "r otegidas "or so) t8ar e anti#ir us con ca "acidad de actuali+ación automática en cuanto a ) ir mas de Política de Seguridad de

la Inf ormación

Página 1,1, de

#irus. @os usuar ios de la estaciones no están autor i+ados a des9a $ilitar este contr ol. @a 3ni#er sidad a tra#?s de la Oficina A,e,ora de Si,tema, o la Red de Dato, 3D "odrá 9acer seguimiento al tr á) ico de la red cuando se tenga e#idencias de acti#idad inusual o detr imentos en el desem"eAo. @a de "endencia 7ue r ealice dic9o seguimiento de$erá in) or mar a la comunidad uni#er sitar ia a tra#?s de correo electr ónico o noticias en el "ort al institucional de la e %ecución de esta tar ea. @a Red de Dato, 3D ! la Oficina A,e,ora de Si,tema, de$en mantener actuali+ada una $ase de datos con alert as de segur idad re"ortadas "or or ganismos com"etentes ! actuar en con) or midad cuando una alert a "ueda tener un im "acto consider a $le en el desem"eAo de los sistemas in) or máticos.

.3

Co(ias de S eg uri d ad

>oda in) or mación 7ue "ertene+ca a la matr i+ de acti#os de in) or mación institucional o 7ue sea de inter ?s "ara un "roceso o"er ati#o o de misión cr-tica de$e ser r es"aldada "or co"ias de segur idad tomadas de acuerdo a los "r ocedimientos documentados "or el Comit1 de Seguridad de la Inf ormación. Dic9o "r ocedimiento de$e incluir las acti#idades de almacenamiento de las co"ias en sitios segur os. @as de"endencias de la 3ni#er sidad de$e r eali+ar "rue$as contr oladas "ara asegurar 7ue las co"ias de segur idad "ueden ser correctamente le-das ! r estaur adas. @os r egistr os de co"ias de segur idad de$en ser guardados en una $ase de datos creada "ara tal ) in. @a ) icina Asesor a de (istemas de$e "ro#eer las 9err amientas "ara 7ue las de "endencias "uedan administr a la in) or mación ! r egistr os de co"ias de segur idad. @a ) icina de ;ontr ol Inter no de $e e) ectuar auditor-as aleator ias 7ue "er mitan d eter minar el correcto ) uncionamiento de los "rocesos de co"ia de segur idad. @as co"ias de segur idad de in) or mación cr -tica de$e ser mantenida de acuerdo a cr onogr amas de) inidos ! "u$licados "or la Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET.

@a creación de co"ias de segur idad de ar c9i#os usados custodiados o "r oducidos "or usuar ios indi#iduales es r es"onsa $ilidad exclusi#a de dic9os usuar ios. @os usuar ios de$en entregar al r es"ecti#o %e) e de de"endencia las co"ias de segur idad "ara su r egistr o ! custodia.

.4 Ad mi ni st ra ci ó n de Configuraciones de 'ed @a con) igur ación de enrutadores s8itc9es ) ir e8all sistemas de detección de intr usos ! otr os dis"ositi#os de segur idad de red de$e ser documentada r es"aldada "or co"ia de segur idad ! mantenida "or la Red de Datos 3D.


la Inf ormación

Página 1'1' de

>odo e7ui "o de >I de$e ser r e#isado r egistr ado ! a"ro$ado "or la Red de Datos 3D antes de conectarse a cual7uier nodo de la Red de comunicaciones ! datos institucional. Dic9a de "endencia de$e desconectar a7uellos dis"ositi#os 7ue no est?n a"ro$ados ! re"ortar tal conexión como un incidente de segur idad a ser in#estigado.

.6 I nt er cambi o * +t er nas.

de

I n f or maci ó n

con

Organi7aciones

@as "eticiones de in) or mación "or "arte de entes externos de contr ol de$en ser a"ro$adas "or la Vicerr ector-a Administr ati#a ! 6inancier a ! dir igida "or dic9os entes a los r es"onsa $les de su custodia.

>oda la in) or mación institucional de$e ser mane %ada de acuerdo a la legislación. F Sección 12 de a s t e P ol ít ica

.) I nt er net ni co *l ect ró



Correo

@as normas de uso de Inter net ! de los ser#icios de correo electr ónico serán ela $or adas mantenidas ! actuali+adas "or el Comit1 de Seguridad de la Inf ormación ! en todo caso este comit? de$e #elar "or el cum "limiento del código de ?tica institucional ! el mane %o r es"onsa $le de los recursos de tecnolog-as de la in) or mación.

.0

I nst al aci ón de

S o f t 3ar e

>odas las instalaciones de so) t8ar e 7ue se r ealicen so$re sistemas de la 3ni#er sidad de$en se r a"ro$adas "or la Oficina A,e,ora de Si,tema, o la Red de Dato, UDNET3 de acuerdo a los "r ocedimientos ela $or ados "ara tal )in "or dic9as de "endencias. El Comit1 de Inf orm6tica < Telec omunicacione, de) inir á el ám $ito en el cual actuará cada de "endencia.

de$en desinstalar cual7uier so) t8ar e ilegal ! r egistr ar este 9ec9o como un incidente de segur idad 7ue de$e ser in#estigado.

;orres"onde a la Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET mantener una $ase de datos actuali+ada 7ue contenga un in#entar io del so) t8ar e autor i+ado "ara su uso e instalación en los sistemas in) or máticos institucionales.

@ Control de Acce ,o 8.1

Categor"as de Acc eso


la Inf ormación

Página 1*1* de

El acceso a los recursos de tecnolog-as de in) or mación institucionales de$en estar r estr ingidos seg4n los "er ) iles de usuar io de) inidos "or el Comit1 de Seguridad de la Inf ormación.


la Inf ormación

Página 1515 de

8.2

Control de Claes  9ombres de # suar i o

El acceso a in) or mación r estr ingida de$e estar contr olado. (e r ecomienda el uso automati+ados de autenticación 7ue mane %en cr edenciales o ) ir mas digitales.

de sistemas

;orres"onde a la Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET ela $or ar  mantener ! "u$licar los documentos de se r vicio s de red que ofrece l a in st it ución a su "er sonal estudiantes docentes ! t er cer os. @a Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET de$en ela $or ar  mantener ! "u$licar "r ocedimientos de administr ación de cuentas de usuar io "ara el uso de ser #icios de r ed. El acceso a sistemas de cóm"uto ! los datos 7ue "er sonal encargado de tales sistemas.

contienen es r es"onsa $ilidad exclusi#a del

@a 3ni#er sidad de$e "ro"ender "or mantener al m-nimo la cantidad de cuentas de usuar io 7ue el "er sonal los estudiantes docentes ! terceros de$en "oseer "ara acceder a los ser#icios de r ed. El contr ol de las contraseAas de red ! uso de e7ui "os es r es"onsa $ilidad de la UDNET. Dic9as contraseAas de$en ser codi) icadas ! almacenadas de ) or ma segur a.

Red de Dato,

@as cla#es de administr ador de los sistemas de$en ser conser#adas "or la dir ección de la Red de Dato, UDNET ! de$en ser cam $iadas en inter#alos r egular es de tiem "o ! en todo caso cuando el "er sonal adscr ito al cargo cam $ie. (e exce"t4a de lo anter ior las cla#es de administr ador de ser #idor es ! e7ui "os de escr itor io adscr itos a la Oficina A,e,ora de Si,tema, las cuales de$en ser conser#adas "or la Je) atur a de la Oficina A,e,ora de Si,tema, ! de$en ser cam $iadas en inter#alos r egular es de tiem "o ! en todo caso cuando el "er sonal adscr ito al cargo cam $ie.

@a Red de Dato, UDNET en coor dinación con la Oficina A,e,ora de Si,tema, de$en ela $or ar  mantener ! actuali+ar el "r ocedimiento ! las gu-as "ara la correcta de) inición uso ! com "le %idad d e cla#es de usuar io. ;omo r e7uisito "ara la ter minación de r elación contr actual o la $or al del "er sonal de la 3ni#er sidad la Red de Dato, UDNET de$e ex"edir un certi) icado de cancelación de las cuentas de usuar io asignadas "ara el uso de recursos de tecnolog-as de la in) or mación de la institución.

8.3

Com(utación : ói l

@a 3ni#er sidad reconoce el alto grado de ex"osición 7ue "resenta la in) or mación ! los datos almacenados en dis"ositi#os "ort átiles Fcom"utadores "ort átiles note$oos PDA celular es etc. ;orres"onde a la ) icina de Recursos umanos en con %unto con la ) icina Asesor a de (istemas ela $or ar  mantener e im "lementar "lanes de ca "acitación 7ue "ro"endan "or la ) or mación ! mantenimiento de la conciencia en cuestión de segur idad de la in) or mación. @as redes inalám $r icas "otencialmente intr oducen nue#os r iesgos de segur idad 7ue de$en ser Política de Seguridad de

la Inf ormación

Página 11 de

identi) icados #alor ados ! tratados de acuerdo a los lineamientos de la !ol"tica de Seguridad en r ed es i nal ;mbri cas 7ue de$e ela $or ar el Comit1 de Seguridad de la Inf ormación''

8.4 Auditoria  S eg ui mi ent o >odo uso 7ue se 9aga de los recursos de tecnolog-as de la in) or mación en la 3ni#er sidad de$en ser seguidos ! auditados de acuerdo con los lineamientos del Código de tica ! del Código de U,o de R ecur,o, de Tecnologí a, de la Inf ormación3 el cual de$e ser ela $or ado "or el Comit1 de Seguridad de la Inf ormación.

8.6 Acceso 'emot o El acceso remoto a ser#icios de red o) r ecidos "or la 3 ni#er sidad de$e estar su %eto a medidas de contr ol de) inidas "or la Red de Dato, UDNET las cuales de$en incluir acuerdos escr itos de segur idad de la in) or mación.

)B Adui,ición3 De,arrollo < Mantenimiento de Si,tema, SoftDare Para a"o!ar los "rocesos o"er ati#os ! estr at?gicos la 3ni#er sidad de$e 9acer uso intensi#o de las >ecnolog-as de la In) or mación ! las ;omunicaciones. @os sistemas de so) t8ar e utili+ados "ueden ser ad7uir idos a tra#?s de terceras "artes o desarr ollados "or "er sonal "r o"io.

@a ) icina Ases or a de (istemas de$e elegir  ela $or ar  mantener ! di) undir el do de : é to $esarr oll o de S is t emas Soft3are en la #niersidad $i st ri t al % r anci sco &osé de C al d as 7ue inclu!a linea mientos "rocesos $uenas "r ácticas "lantillas ! demás arte) actos 7ue sir#an "ara r egular los desarr ollos de so) t8ar e inter nos en un am $iente de mitigación del riesgo ! asegur amiento de la calidad. G

H

>odo "ro!ecto de desarr ollo de so) t8ar e inter no de$e contar con un documento de I d ent ifi caci ón 
)) Admini,tración de Continuidad del Negocio @a Administr ación de ;ontinuidad del

la Inf ormación

Página 11 de

)* Cum-limiento >odo uso ! seguimiento de uso a los recursos de >I en la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas de$e estar de acuerdo a las normas ! estatutos inter nos as- como a la legislación nacional en la mater ia incluido "ero no r estr ingido a:

Con,titución Política de Colom(ia !e< ;*>)@@@ @e! de comercio electr ónico. NTC *>BB)+*BB=' (istema de /estión de (egur idad de la In) or mación. IS

OIEC )>>@@+*BB; In) or mation t ec9nolog! (ecur it! t ec9ni7ues ;ode o) "r actice )or in) or mation

secur it! management Pro
Acuerdo B*> de diciem(re *. de )@@.' Estatuto Estudiantil de la 3ni#er sidad Distr ital 6r ancisco

Estatuto Docente de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas ;ódigo de ?tica de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas MECI )BBB+*BB; @ineamientos gener ales "ara la im "lementación del =odelo Estándar de ;ontr ol NTC$P)BBB+*BB5 ecnica ;olom $iana de la /estion Pu$lica

PI$A C Plan Institucional de /estión Am $iental

). R ef erencia, J)F ISO *>BB)+*BB;' (istemas de gestión de (egur idad en la In) or maciónC R e7uer imientos .

G*F ISOIEC )...;)+*BB5' >ecnolog-a de la in) or mación C >?cnicas de segur idad C /estión de segur idad en tecnolog-a de in) or mación ! comunicaciones C Parte 1: ;once"tos ! modelos "ara la gestión de segur idad en la t ecnolog-a de la in) or mación ! comunicaciones .

G.F ISOIEC TR )...;.+)@@? . @inea mientos "ara la /estión de (egur idad >I C Parte &: >?cnicas "ar a la gestión de la segur idad >I .

G5F ISOIEC )...;5+*BBB' @ineamientos "ara la /estión de la (egur idad >I C Parte ,: (elección de sal#aguar das.

G;F ISO )5BB)+*BB5' (istemas de gestión am $iental C R e7uer imientos con lineamiento "ara su uso G=F ISOIEC TR )?B55+*BB5.>ecnolog-a de la in) or mación C >?cnicas de segur idad C /estión de incidentes en la segur idad de la in) or mación .


la Inf ormación

Página 2020 de

G>F ISOIEC )@B))+*BB*' @ineamientos "ara la auditor-a de sistemas de auditor-a !Ko gestión am $iental

G?F ISOIEC $uía =*+)@@=' R e7uer imientos gener ales "ara los or ganismos 7ue o"eran la e#aluación ! certi) icaciónKr egistr o de sistemas de calidad.

G@F ISOIEC $uía >.+*BB*' /estión de r iesgo C Voca $ular io C @inea mientos "ara el uso en estándares .

G)BF NIST SP ?BB.B' /u-a de /estión de R iesgo "ara los (istemas de >ecnolog-a de la In) or mación. G))F ISO @BB)+*BBB' (istemas de gestión de calidad C R e7uer imientos .

)5 14.1

T1rmino, <

Definicione,

I n f or maci ón

>oda ) or ma de conocimiento o$ %eti#o con re"resentación ) -sica o lógica ex "l-cita.

14.2 Actio de I n f or maci ón Datos o in) or mación "r o"iedad de la 3ni#er sidad 7ue se almacena en cual7uier ti "o de medio ! 7ue es considerada "or la misma como sensiti#a o cr -tica "ara el cum "limiento de los o$ %eti#os misionales. De) inir in) or mación sensiti#a o cr-tica...

14.3 Sistema de I n f o r maci ón ;on %unto ordenado de elementos cu!as "r o"iedades se r elacionan e inter accionan "er mitiendo la r eco"ilación "r ocesamiento mantenimiento tr ansmis ión ! di) usión de in) or mación utili+ando di) er entes medios ! mecanismos tanto automati+ados como manuales.

14.4 !ro(ietario de Actios de I n f o r maci ón En el contexto de la norma <>; 25001 un "r o"ietar io de acti#os de in) or mación es cual7uier "er sona o entidad a la cual se le asigna la res"onsa $ilidad ) or mal de custodiar ! asegurar un acti#o de in) or mación o un con %unto de ellos.

14.6

=ecnolog"a de la I n f or maci ón

;on %unto de 9ard8are ! so) t8ar e o"erados "or la entidad o "or un tercero en su nom$re 7ue com"onen la "lata) or ma necesar ia "ara "rocesar ! administr ar la in) or mación 7ue r e7uier e la entidad "ara lle#ar a ca$o sus ) unciones.

14.) *aluación de 'i esg o s E#aluación de las amena+as ! #ulner a $ilidades r elati#as a la in) or mación ! a las instalaciones de "r ocesamiento de la misma la "r o$a $ilidad de 7ue ocurran ! su "otencial im "acto. Política de Seguridad de

la Inf ormación

Página 2121 de

14.0 Ad mi ni st ra ci ón de 'i esg o s Proceso de identi) icación contr ol ! reducción o eliminación a un costo ace "ta $le de los r iesgos de segur idad 7ue "odr-an a) ectar a la in) or mación. Dic9o "roceso es c-clico ! de$e lle#ar se a ca$o en ) or ma "er iódica.

14.

Comité de Seguridad de la I n f or maci ón

El ;omit? de (egur idad de la In) or mación es un cuer"o integr ado "or di) er entes re"resentantes de la 3ni#er sidad destinado a gar anti+ar el a"o!o mani) iesto de las dir ecti#as a las iniciati#as de segur idad. (u ) unción "r inc i"al es de) inir  estructurar recomendar 9acer seguimiento ! me %or ar el (istema de /estión de (egur idad de la In) or mación F(/(I de la institución. De"ende dir ectamente de la Vicerr ector-a Administr ati#a ! 6inancier a ! com "lementa el tr a $a %o d el Comit1 de Inf orm6tica < Telecomunicacione, sir#iendo como consultor t?cnico en temas r elacionados con la segur idad de la in) or mación.

14.8 'es(onsable de Seguridad I n f o r m;t ic a ;oor dinador gener al del ;omit? de (egur idad de la In) or mación. (u ) unción "r inci "al es su "er #isa r el cum "limiento de la "resente Pol-tica ! los lineamientos del (/(I.

14.1> I n f or m;t i ca

Gru(o

res(onsable

de

Seguridad

/ru"os de a"o!o creado en de "endencias de la 3ni#er sidad 7ue mane %an in) or mación sensi $le o cr-tica ! 7ue se encargan de #elar "or la o"eración del (/(I. Están con) or mados "or ) uncionar ios o contr atistas de la de"endencia 7ue tengan ) or mación en temas de segur idad de la in) or mación.

14.11

I nci d ent e de

Seguridad I n f o r m;t ic a

3n incidente de segur idad in) or mática es un e#ento ad#erso en un sistema de com"utadoras o red de com"utadoras 7ue com"romete la con) idencialidad integr idad dis"oni $ilidad legalidad o con) ia $ilidad de la in) or mación. Puede ser causado mediante la ex"lotación de alguna #ulner a $ilidad o un intento o amena+a de rom"er los mecanismos de segur idad existentes.

14.12

Cadena de cust od ia

En el ám $ito de la segur idad de la in) or mación @a cadena de custodia es la a "licación de una ser ie de normas ! "r ocedimientos tendientes a asegurar de"ositar ! "roteger cada acti#o de in) or mación "ar a e#itar la "?r dida de integr idad dis "oni $ilidad o con) idencialidad.


la Inf ormación

Página 2020 de

Politica Para Seguridad Informacion Version 0.0.1.0

Recommend Documents