UNIV UNIVER ERS SIDADDI IDADDIS STRIT A All francIIsco franc
José de Caldas
L
SEGURIDAD DE
A ..
INFORMACION Polít ítiica par a la Seguridad de la Inf I nf orm rmac aciión de la Uni nive ver r idad Di Ditrit trita al !rancic rancico o J o o" " de #al #a lda da
El
cont co nte eni nid do de este texto texto es
con nsidera er e r si!n se co
privad priva do $
"n doc"#ent doc"#ento
la pr ese sen nte
Int nte ern rno o de
tr a$a %o&
E% AUT&R AU T&R N& A AUT&RI'A UT&RI'A %A REPR&D PR&DU U##i(N & DI!USI&N P&R NIN)* )*N N +ED EDII& & +E# A AN NIS+&.
Política de Seguridad de
la Inf ormación
Página 11 de 20
TER MINOS Y
CONDICIONES DE U SO
Versión actual del documento: 0.0.0.11
contenido de este texto es PR IVAD ! la "resente #ersión se considera un documento inter no no El cont de tr a $a %o. %o.
NO SE AUTOR IA !A REPRODUCCI"N O DI#USION POR NIN$%N MEDIO O MECANISMO SIN E! DE&IDO CONTRO! Y AUTOR IACI"N DE !A O#ICINA ASESORA DE SISTEMAS'
Política de Seguridad de
la Inf ormación
Página 22 de 20
Ta(la de Contenido 1.Intr oducción...................................................................................................................................... .'. 2.Acerca de la (egur idad de la In) or mación ....................................................................................... .*. &.r gani+ación "ara la (egur idad de la In) or mación........................................................................... .*. ,.Pol-tica de (egur idad de la In) or mación ........................................................................................... .. ,.1/ener alidades ............................................................................................................................. ,.2Alcance ....................................................................................................................................... ,.& $ %eti#os ................................................................................................................................... . ,.,R es"onsa $ilidad .......................................................................................................................... '.Identi) icación clasi) icación ! # alor ación de acti#os de in) or mación..................................................10. *.(egur idad de la in) or mación en el Recurso umano....................................................................... .10. *.1R es"onsa $ilidades del "er sonal de la 3ni#er sidad..................................................................... 11 *.2R es"onsa $ilidades de los estudiantes........................................................................................ 11 *.&R es"onsa $ilidades de 3suar ios Externos .................................................................................. 11 *.,3suar ios in#itados ! ser#icios de acceso "4$lico.......................................................................12 5.(egur idad 6-sica ! del entorno........................................................................................................ .12. 5.1Acceso........................................................................................................................................ 12 5.2(egur idad en los e7ui "os ...........................................................................................................
12
.Administr ación de las comunicaciones ! o"er aciones..................................................................... .1&. .1Re"orte e in#estigación de incidentes de segur idad................................................................... 1& .2Protección contra so) t8ar e malicioso ! 9ac:ing......................................................................... 1& .&;o"ias de (egur idad.................................................................................................................. 1, .,Administr ación de ;on) igur aciones de Red................................................................................ 1, .'Inter cam $io de In) or mación con r gani+aciones Exter nas.........................................................1' .*Inter net ! ;orreo Electr ónico...................................................................................................... 1' .5Instalación de (o) t8ar e..............................................................................................................
1'
.;ontr ol de Acceso........................................................................................................................... .1'. .1;ategor-as de Acceso................................................................................................................. 1' .2;ontr ol de ;la#es !
.,Auditor ia ! (eguimiento.............................................................................................................. 15 .'Acceso Remoto.......................................................................................................................... 15 10.Ad7uisición Desarr ollo ! =antenimiento de (istemas (o) t8ar e.....................................................15. 11.Administr ación de ;ontinuidad del
la Inf ormación
Página && de 20
15.
Política de Seguridad de
la Inf ormación
Página ,, de 20
12.;um "limiento................................................................................................................................. .1. 1&.R e) er encias.................................................................................................................................... .1. 1,.>?r minos ! De) iniciones................................................................................................................. .1. 1,.1In) or mación............................................................................................................................... 1 1,.2Acti#o de In) or mación...............................................................................................................
1
1,.&(istema de In) or mación............................................................................................................ 1 1,.,Pr o"ietar io de Acti#os de In) or mación ...................................................................................... 1 1,.'>ecnolog-a de la In) or mación.................................................................................................... 1 1,.*E#aluación de R iesgos ............................................................................................................ 1 1,.5Administr ación de R iesgos ..................................................................................................... . 20 1,.;omit? de (egur idad de la In) or mación ................................................................................... 20 1,.R es"onsa $le de (egur idad In) or mática ................................................................................... 20 1,.10/ru"o r es"onsa $le de (egur idad In) or mática......................................................................... 20 1,.11Incidente de (egur idad In) or mática ....................................................................................... . 20 1,.12;adena de custodia ............................................................................................................... 20
Política de Seguridad de
la Inf ormación
Página '' de 20
) Introducción En la actualidad la in) or mación de la institución se 9a reconocido como un acti#o # alioso ! a medida 7ue los sistemas de in) or mación a"o!an cada #e+ más los "rocesos de misión cr-tica se r e7uier e contar con estr ategias de alto ni#el 7ue "er mitan el contr ol ! administr ación e) ecti#a de los datos. ntan amena+as de segur idad 7ue inclu!en
;on la "r omulgación de la "resente Pol-tica de (egur idad de la In) or mación la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas ) or mali+a su com "r omiso con el "roceso de gestión r es"onsa $le de in) or mación 7ue tiene como o$ %eti#o g ar anti+ar la integr idad con) idencialidad ! dis"oni $ilidad de este im "ort ante acti#o teniendo como e %e el cum "limiento de los o$ %eti#os misionales.
Política de Seguridad de
la Inf ormación
Página ** de 20
* Ace rca de la Seguridad de la Inf ormación @a segur idad de la in) or mación se entiende como la "reser#ación asegur amiento ! cum "limiento de las siguientes car acter-sticas de la in) or mación: B Confidencialidad+ los acti#os de in) or mación solo "ueden ser accedidos ! custodiados "or usuar ios 7ue tengan "er misos "ara ello. B Integridad+ El contenido de los acti#os de in) or mación de$e "ermanecer inalter ado ! com "leto. @as modi) icaciones r eali+adas de$en ser r egistr adas asegurando su con) ia $ilidad. B Di,-oni(ilidad+ @os acti#os de in) or mación sólo "ueden ser o$tenidos a corto "la+o "or los usuar ios 7ue tengan los "er misos adecuados. Para ello es necesar io consider ar as"ectos tales como: BAutenticidad: @os acti#os de in) or mación los crean editan ! custodian usuar ios reconocidos 7uienes #alidan su contenido. B Po,i(ilidad de Auditoría+ (e mantienen e#idencias de todas las acti#idades ! acciones 7ue a) ectan a los acti#os de in) or mación. B Protecc ión a la du-licación: @os acti#os de in) or mación son o$ %eto de clasi) icación ! se lle#an r egistr os de las co"ias generadas de a7uellos catalogados como con) idenciales. B No re-udio+ @os autores "r o"ietar ios ! custodios de los acti#os de in) or mación se "ueden identi) icar "lenamente. B !egalidad+ @os acti#os de in) or mación cum "len los "arámetros legales nor mati#os ! estatutar ios de la institución. B Confia(ilidad de la Inf ormación+ Es ) ia $le el contenido de los acti#os de in) or mación 7ue conser#en la con) idencialidad integr idad dis"oni $ilidad autenticidad ! legalidad.. Datos o in) or mación "r o"iedad de la 3ni#er sidad 7ue
. Organi/ación -ara la Seguridad de la Inf ormación @a 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas gar anti+a el a"o!o al "roceso de esta $lecimiento im "lementación o"eración seguimiento re#isión mantenimiento ! me %or a del (istema de /estión de la (egur idad de la In) or mación del cual 9ace "arte integr al la "resente "ol-tica "or medio de la cr eación de una comisión t?cnica denominada Comité de Seguridad de la I n f or maci ón cu!a com "osición ! ) unciones serán r eglamentadas "or una mesa de tr a $a %o com"uesta "or: C C C C C C
0ice rrec tor acad1mico o un delegado es"eciali+ado 0ice rrec tor admini,trati2o o un delegado es"eciali+ado3
4efe de la oficina de Planeación o un delegado es"eciali+ado 4efe de la Oficina A,e,ora de Si,tema, o un delegado es"eciali+ado3 4efe de la Red de Dato, o un delegado es"eciali+ado3 A,e,or certificado en ,eguridad de la inf ormación.
En todo caso dic9a comisión o la mesa de tr a $a %o de$erá re#isar ! actuali+ar anualmente esta "ol-tica "resentando las "ro"uestas a las dir ecti#as de la institución "ara su a"ro$ación mediante Política de Seguridad de
la Inf ormación
Página 55 de 20
r esolución o acto %ur-dico corr es"ondiente. @os %e) es de de "endencia "re#ia identi) icación ! #alor ación de sus acti#os de in) or mación 9acen "arte del gru"o de r es"onsa $le de (egur idad de la In) or mación ! "or tanto deben seguir los linea mientos de gestión enmarcados en esta "ol-tica ! en los estándares normas gu-as ! "r ocedimientos recomendados "or el ;omit? de (egur idad de la In) or mación ! a"ro$ados "or las dir ecti#as.
Política de Seguridad de
la Inf ormación
Página de 20
5 Política de Seguridad de la Inf ormación ad es G ener al id
4.1
@a in) or mación es un recurso 7ue como el resto de los acti#os tiene #alor "ara la institución ! "or consiguiente de$e ser de $idamente "r otegida. El esta $lecimiento seguimiento me %or a continua ! a "licación de la Pol-tica de (egur idad de la In) or mación gar anti+a un com "r omiso ineludi $le de "rotección a la misma ) r ente a una am "lia gama de amena+as. ;on esta "ol-tica se contr i$u!e a minimi+ar los r iesgos asociados de dao ! se asegura el e) iciente cum "limiento de las ) unciones sustanti#as de la e ntidad a"o!adas en un corr ecto sistema de in) or mación.
@a institución esta $lecer á los mecanismos "ara r es"aldar la di) usión estudio actuali+ación ! consolidación tanto de la "resente "ol-tica como de los demás com"onentes del (istema de /estión de la (egur idad de la In) or mación ! alinear los de ) or ma e) ecti#a con los demás sistemas de gestión.
4.2 Al cance Esta "ol-tica es de a "licación en el con %unto de de "endencias 7ue com"onen la institución a sus recursos a la totalidad de los "rocesos inter nos o externos #inculados a la uni#er sidad a tra#?s de contratos o acuerdos con terceros ! a todo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! el ni#el de las tareas 7ue desem "ee.
os Ob j et i
4.3 a
Proteger "reser#ar ! administr ar o$ %eti#amente la in) or mación de la 3 ni#er sidad Distr ital 6rancisco Jos? de ;aldas %unto con las tecnolog-as utili+ada "ara su "r ocesamiento ) re nte a amena+as inter nas o externas deli $er adas o accidentales con el )in de el cum "limiento de los car acter-sticas de con) idencialidad integr idad asegurar dis"oni $ilidad legalidad con) ia $ilidad ! no r e "udio de la in) or mación.
$ =antener la !ol"tica de Seguridad de la I n f or maci ón actuali+ada #igente o"er ati#a ! auditada dentro del marco deter minado "or los r iesgos glo$ales ! es"ec-) icos de la 3ni#er sidad "ara asegurar su "ermanencia ! ni#el de e) icacia. nci sco &osé de Caldas "ara la corr ecta c De) inir las dir ectr ices de la #niersidad $i st ri t al % ra #alor ación análisis ! e#aluación de los r iesgos de segur idad asociados a la in) or mación ! su im "acto identi) icando ! e#aluando di) er entes o"ciones "ara su tr atamiento con el )in de gar anti+ar la continuidad e integr idad de los sistemas de in) or mación.
Política de Seguridad de
la Inf ormación
Página de 20
4.4 'es(onsab ili d ad @a Pol-tica de (egur idad de la In) or mación es de a "licación o$ligator ia "ara todo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! el ni#el de las tareas 7ue desem "ee. @as dir ecti#as institucionales a"rue$an esta Pol-tica ! son r es"onsa $les de la autor i+ación de sus modi) icaciones. El Comit1 de Seguridad de la Inf ormación de la institución es r es"onsa $le de re#isar ! "ro"oner a las dir ecti#as institucionales "ara su a"ro$ación el texto de la Pol-tica de (egur idad de la In) or mación ) unciones la s gener ales en de de la in) or mación ! la mater ia segur idad estr uctur ación r ecomendación seguimiento ! me %or a del (istema de /estión de (egur idad de la institución. Es r es"ons a $ilidad de dic9o comit? de) inir las estr ategias de ca "acitación en mater ia de segur idad de la in) or mación al inter ior de la 3ni#er sidad. El Coordinador del Comit1 de Seguridad de la Inf ormación será el r es"onsa $le de coor dinar las acciones del ;omit? de (egur idad de la In) or mación ! de im "ulsa r la im "lementación ! cum "limiento de la "resente Pol-tica. El gru-o re,-on,a(le de Seguridad Inf orm6tica será r es"onsa $le de cum "lir ) unciones r elati#as a la segur idad de los sistemas de in) or mación de la entidad lo cual inclu!e la o"eración del (/(I ! su"er#isión del cum "limiento dentro de la de"endencia de as"ectos in9er entes a los temas tr atados en la "resente Pol-tica. El ni#el de su "er #isión 7ue "ueda r eali+ar cada gru"o r es"onsa $le de segur idad está relacionado con el talento 9umano 7ue lo con) or ma ! en todo caso de$erá ser a"ro$ado "or el ;omit? de (egur idad de la In) or mación. @os -ro-ietario, de acti2o, de inf ormación 72er ,u definición en el glo,ario8 son r es"onsa $les de la clasi) icación mantenimiento ! actuali+ación de la misma as- como de documentar ! mantener actuali+ada la clasi) icación e) ectuada de) iniendo 7u? usuar ios de$en tener "er misos de acceso a la in) or mación de acuerdo a sus ) unciones ! com"etencia. En gener al tienen la res"onsa $ilidad de mantener -ntegro con) idencial ! dis "oni $le el acti#o de in) or mación mientr as 7ue es desarr ollado "roducido mantenido ! utili+ado. El 9ef e de R ecur,o, :umano, cum "lir á la ) unción de noti) icar a todo el "er sonal 7ue se #incula contr actualmente con la 3 ni#er sidad de las o$ligaciones res"ecto del cum "limiento de la Pol-tica de (egur idad de la In) or mación ! de todos los estándares "rocesos "r ocedimientos "r ácticas ! gu-as 7ue sur %an del (istema de /estión de la (egur idad de la In) or mación. De igual ) or ma ser á r es"onsa $le de la noti) icación de la "resente Pol-tica ! de los cam $ios 7ue en ella se "rodu+can a todo el "er sonal a tra#?s de la suscr i"ción de los C om pr om iso s de C on f id encialidad ! de tareas de ca"acitación continua en mater ia de segur idad seg4n lineamientos dictados "or el ;omite de (egur idad de la In) or mación. El 9ef e
de la Oficina A ,e,ora de Si,tema, en coor dinación con el Director de la Red de D ato, UDNET de$en seguir los lineamientos de la "resente "ol-tica ! cum "lir los r e7uer imientos 7ue en mater ia de segur idad in) or mática se esta $le+can "ara la o"eración administr ación comunicación ! Política de Seguridad de
la Inf ormación
Página 1010 de
mantenimiento de los sistemas de in) or mación ! los recursos de tecnolog-a de la entidad.
;orres"onde a dic9as %e) atur as deter minar el in#entar io de acti#os de in) or mación ! r ecur sos tecnológicos de los cuales son "r o"ietar ios o custodios el cual será r e#isado ! a#alado "or el 4efe de Almac1n ! el 4efe de R ecur,o, #í ,ico,. El 9ef e de la Oficina 4urídica #er i) icar á el cum "limiento de la "resente Pol-tica en la gestión de todos los contratos acuerdos u otra documentación de la entidad con em "leados ! con terceros. Asimismo asesorará en mater ia legal a la entidad en lo 7ue se r e) ier e a la segur idad de la in) or mación. @os usuar ios de la in) or mación ! de los sistemas utili+ados "ara su "r ocesamiento son r es"onsa $les de conocer ! cum "lir la Pol-tica de (egur idad de la In) or mación #igente.
@a ficina de Control Interno es r es"onsa $le de "r acticar auditor-as "er iódicas so$re los sistemas ! acti#idades #inculadas con la gestión de acti#os de in) or mación ! la tecnolog-a de in) or mación. Es su r es"onsa $ilidad in) or mar so$re el cum "limiento de las es"eci) icaciones ! medidas de segur idad de la in) or mación esta $lecidas "or esta Pol-tica ! "or las normas "r ocedimientos ! "r ácticas 7ue de ella sur %an.
; Identificación3 cla,ificación < inf ormación'
2aloración
de
acti2o,
de
;ada de "endencia $a %o su"er#isión del ;omit? de (egur idad de la In) or mación de$e ela $or ar ! mantener un in#entar io de los acti#os de in) or mación 7ue "oseen F"rocesada ! "roducida. "or e la clasi) icación #alor ación u$icación ! acceso @as car acter-sticas del in#entar io donde se incor de la in) or mación las es"eci) ica el Comit1 de Seguridad de la Inf ormación3 corr es"ondiendo a la Oficina A,e,ora de Si,tema, $r indar 9err amientas 7ue "er mitan la administr ación del in#entar io "or cada de"endencia gar anti+ando la dis"oni $ilidad integr idad ! con) idencialidad de los datos 7ue lo com "onen. @a Red de Dato, UDNET en coor dinación con la Di2i,ión de R ec ur,o, #í,ico, ! la Sección de Almac1n tienen la r es"onsa $ilidad de mantener el in#entar io com "leto ! actuali+ado de los r ecur sos de 9ard8are ! so) t8ar e de la institución.
= Seguridad de la inf ormación en el R ecur,o :umano >odo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! el ni#el de las tareas 7ue desem "e e de$e tener asociado un "er ) il de uso de los recursos de in) or mación inclu!endo el 9ard8are ! so) t8ar e asociado. @a Oficina A,e,ora de Si,tema, en coor dinación con la Red de Dato, UDNET de$en mantener un dir ector io com "leto ! actuali+ado de tales "er ) iles. El Comit1 de Seguridad de "ara los di) er entes "er ) iles. El el
la Inf ormación deter mina cuales son los atr i$utos 7ue de$en de) inir se
Comit1 de Seguridad de la Inf ormación de$e ela $or ar mantener actuali+ar me %or ar ! di) undir
Política de Seguridad de
la Inf ormación
Página 1111 de
R es"onsa $ilidades Per sonales "ara manual de 3ni#er sidad Distr ital 6rancisco Jos? de ;aldasH. G
la
(egur idad
de
la
In) or mación
en
la
@a r es"onsa $ilidad de custodia de cual7uier ar c9i#o mantenido usado o "roducido "or el "er sonal 7ue se r etir a o cam $ia de cargo recae en el %e) e de de"artamento o su"er#isor del contrato en todo caso el "roceso de cam $io en la cadena de custodia de la in) or mación de$e 9acer "arte integr al del "r ocedimiento de ter minación de la r elación contr actual o de cam $io de car go.
).1 'es(onsabilidades del (ersonal de la # ni er si d ad >odo el "er sonal de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas cual7uier a sea su situación contr actual la de"endencia a la cual se encuentre adscr ito ! las tareas 7ue desem"eAe de$e ) ir mar un acuerdo 7ue contenga los t ?r minos ! condiciones 7ue r egulan el uso de recursos de >I ! las r eglas ! "er ) iles 7ue autor i+an el uso de la in) or mación institucional. @os "r ocedimientos "ara o$tener tales "er ) iles ! las car acter-sticas de cada uno de ellos de$en ser mantenidos ! actuali+ados "or cada de "endencia de acuerdo a los lineamientos dados "or la Oficina A,e,ora de ,i,tema, en cuanto a la in) or mación ! la Red de Dato, UDNET en cuanto a los dis"ositi#os 9ard8are ! los elementos so) t8ar e. El Estatuto /ener al ! el Estatuto Docente de$en contem "lar "rocesos ! sanciones disci"linar ias "ar a los casos en 7ue se "resente usos de in) or mación ! >I 7ue #iolen los t?r minos ! condiciones.
@a Oficina de R ecur,o, :umano, %unto con la Oficina A,e,ora de Si,tema, se encargarán de crear actuali+ar mantener ! e %ecutar un "lan de ca "acitación en segur idad de la in) or mación 7ue "ro"enda "or el cr ecimiento continuo de la conciencia indi#idual ! colecti#a en temas de segur idad de la in) or mación. @a Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET ! la Sección de &i(lioteca se encargarán de crear ! mantener un centro documental de acceso gener al con in) or mación r elacionada con temas de segur idad de la in) or mación t ales como r es"onsa $ilidad en la administr ación de ar c9i#os $uenas "r ácticas amena+as de segur idad entre otr os.
).2 'es(onsabilidades de l o s est ud i ant es. Para "oder usar los recursos de >I de la 3ni#er sidad los estudiantes de$en leer ! ace"tar en cada matr-cula de semestre un acuerdo con los t?r minos ! condiciones. @a Oficina A,e,ora de Si,tema, de$e asegurar los mecanismos "ara la di) usión ! ace"tación de dic9as condiciones "or medio de r egistr os ! manuales en l-nea. El estatuto estudiantil de$e contem "lar "rocesos ! sanciones disc i"linar ias "ara los casos en 7ue se "resente usos de in) or mación ! >I 7ue #iolen los t?r minos ! condiciones.
).3 'es(onsabilidades *+t er nos Política de Seguridad de
la Inf ormación
de
#suarios Página 1111 de
>odos los usuar ios externos ! "er sonal de em"resas externas de$en estar autor i+ados "or un
Política de Seguridad de
la Inf ormación
Página 1212 de
miem $r o del "er sonal de la 3 ni#er sidad 7uien será r es"onsa $le del contr ol ! #igilancia del uso adecuado de la in) or mación ! los recursos de >I institucionales. @os "r ocedimientos "ara el r egistr o de tales usuar ios de$e ser creado ! mantenido "or la ) icina Asesor a de (istemas en con %unto con la Red de Datos 3D
! la ) icina de Recursos umanos. @os usuar ios externos de$en ace"tar "or escr ito los t ?r minos ! condiciones de uso de la in) or mación ! recursos de >I institucionales. @as cuentas de usuar ios externos de$en ser de "er ) iles es"ec -) icos ! tener caducidad no su "er ior a t r es ,3- meses re no#a $les de acuerdo a la natur ale+a del usuar io.
#suarios initados ).4 (/bli co .
sericios de
acceso
El acceso de usuar ios no r egistr ados solo de$e ser "er mitido al sitio 8e$ de in) or mación institucional. El acceso ! uso a cual7uier otro ti "o de recurso de in) or mación ! >I no es "er mitido a usuar ios in#itados o no r egistr ados.
> Seguridad #í ,ica < del entorno 0.1 Acceso (e de$e tener acceso contr olado ! r estr ingido a los cuartos de ser #idor es "r inc i"ales su $sidiar ios ! a los cuartos de comunicaciones. @a Red de Datos 3D en con %unto con la ) icina Asesor a de (istemas ela $or ar án ! mantendrán las normas contr oles ! r egistr os de acceso a dic9as ár eas.
0.2 Seguridad en l os e1 ui (o s @os se r #idor es 7ue contengan in) or mación ! ser #icios institucional de$en ser mantenidos en un am $iente seguro ! "r otegido "or los menos con:
B ;ontr oles de acceso ! segur idad ) -sica. B Detección de incendio ! sistemas de extinción de con) lagr aciones. B ;ontr oles de 9umedad ! tem "er atur a. B I a %o r iesgo de inundación. B (istemas el?ctr icos r egulados ! r es"aldados "or ) uentes de "otencia ininterr um "ida F3P(. >oda in) or mación institucional en ) or mato digital de$e ser mantenida en ser #idor es a"ro$ados "or la Oficina A,e,ora de Si,tema, o la Red de Dato, UDNET. El Comit1 de Inf orm6tica ! >elecomunicaciones de) ine el l-mite de r es"onsa $ilidades de las de"endencias.
@a Red de Datos 3D de$e asegurar 7ue la in) r aestr uctur a de ser#icios de >I este cu$iert a "or mantenimiento ! so"orte adecuados de 9ard8are ! so) t8ar e. Política de Seguridad de
la Inf ormación
Página 1&1& de
@as estaciones de tr a $a %o de$en estar correctamente aseguradas ! o"eradas "or "er sonal de la institución el cual de$e estar ca"acitado acerca del contenido de esta "ol-tica ! de las r es"onsa $ilidades "er sonales en el uso ! administr ación de la in) or mación institucional. @os medios 7ue alo %an co"ias de se gur idad de$en ser conser#ados de ) or ma correcta de acuerdo a las "ol-ticas ! estándares 7ue "ara tal e) ecto ela $or e ! mantenga el Comit1 de Seguridad en la Inf ormación' @as de"endencias tienen la res"onsa $ilidad de ado"tar ! cum "lir las normas de) inidas "ara la cr eación ! el mane %o de co"ias de segur idad.
? Admini,tración de la, comunicacione, < o-eracione, .1 'e(orte e inestigación de incidentes de se g uri d ad El "er sonal de la 3ni#er sidad de$e re"ortar con diligencia "r ontitud ! r es"onsa $ilidad "r esuntas #iolaciones de segur idad a tra#?s de su %e) e de de"endencia a la ) icina Asesor a de (istemas o la Red de Datos 3D. En casos es"eciales dic9os re"ortes "odrán r eali+ar se dir ectamente a la Oficina A,e,ora de Si,tema, la cual de$e gar anti+ar las 9err amientas in) or máticas "ara 7ue ) or malmente se r ealicen t ales denuncias. El Comit1 de Seguridad de la Inf ormación de$e "re"arar mantener ! di) undir las normas "r ocesos ! gu-as "ara el re"orte e in#estigación de incidentes de segur idad.
En con) or midad con la le! la 3ni#er sidad "odrá inter ce "tar o r eali+ar seguimiento a las comunicaciones "or di) er entes mecanismos "re#ia autor i+ación del Comit1 de Inf orm6tica ! >elecomunicaciones ! en todo caso noti) icando "r e#iamente a los a) ectados "or esta decis ión. @a Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, 3D mantendr á "r ocedimientos escr itos "ara la o"eración de sistemas cu!a no dis"oni $ilidad su"onga un im "acto alto en el desarr ollo nor mal de acti#idades. A dic9os sistemas se de$e r eali+ar seguimiento continuo del desem"eAo "ara asegurar la con) ia $ilidad del ser#icio 7ue "r estan.
.2 !rotección contra soft3are malicioso 4ac5i n g . >odos los sistemas in) or máticos de$en ser "r otegidos teniendo en cuenta un en) o7ue multini#el 7ue in#olucr e contr oles 9umanos ) -sicos t?cnicos ! administr ati#os. El ;omit? de (egur idad de la In) or mación ela $or ar á ! mantendrá un con %unto de "ol-ticas normas estándares "r ocedimientos ! gu-as 7ue gar anticen la mitigación de r iesgos asociados a amena+as de so) t8ar e malicioso ! t?cnicas de 9ac:ing. En todo caso ! como contr ol m-nimo las estaciones de tr a $a %o de la 3ni#er sidad de$en estar "r otegidas "or so) t8ar e anti#ir us con ca "acidad de actuali+ación automática en cuanto a ) ir mas de Política de Seguridad de
la Inf ormación
Página 1,1, de
#irus. @os usuar ios de la estaciones no están autor i+ados a des9a $ilitar este contr ol. @a 3ni#er sidad a tra#?s de la Oficina A,e,ora de Si,tema, o la Red de Dato, 3D "odrá 9acer seguimiento al tr á) ico de la red cuando se tenga e#idencias de acti#idad inusual o detr imentos en el desem"eAo. @a de "endencia 7ue r ealice dic9o seguimiento de$erá in) or mar a la comunidad uni#er sitar ia a tra#?s de correo electr ónico o noticias en el "ort al institucional de la e %ecución de esta tar ea. @a Red de Dato, 3D ! la Oficina A,e,ora de Si,tema, de$en mantener actuali+ada una $ase de datos con alert as de segur idad re"ortadas "or or ganismos com"etentes ! actuar en con) or midad cuando una alert a "ueda tener un im "acto consider a $le en el desem"eAo de los sistemas in) or máticos.
.3
Co(ias de S eg uri d ad
>oda in) or mación 7ue "ertene+ca a la matr i+ de acti#os de in) or mación institucional o 7ue sea de inter ?s "ara un "roceso o"er ati#o o de misión cr-tica de$e ser r es"aldada "or co"ias de segur idad tomadas de acuerdo a los "r ocedimientos documentados "or el Comit1 de Seguridad de la Inf ormación. Dic9o "r ocedimiento de$e incluir las acti#idades de almacenamiento de las co"ias en sitios segur os. @as de"endencias de la 3ni#er sidad de$e r eali+ar "rue$as contr oladas "ara asegurar 7ue las co"ias de segur idad "ueden ser correctamente le-das ! r estaur adas. @os r egistr os de co"ias de segur idad de$en ser guardados en una $ase de datos creada "ara tal ) in. @a ) icina Asesor a de (istemas de$e "ro#eer las 9err amientas "ara 7ue las de "endencias "uedan administr a la in) or mación ! r egistr os de co"ias de segur idad. @a ) icina de ;ontr ol Inter no de $e e) ectuar auditor-as aleator ias 7ue "er mitan d eter minar el correcto ) uncionamiento de los "rocesos de co"ia de segur idad. @as co"ias de segur idad de in) or mación cr -tica de$e ser mantenida de acuerdo a cr onogr amas de) inidos ! "u$licados "or la Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET.
@a creación de co"ias de segur idad de ar c9i#os usados custodiados o "r oducidos "or usuar ios indi#iduales es r es"onsa $ilidad exclusi#a de dic9os usuar ios. @os usuar ios de$en entregar al r es"ecti#o %e) e de de"endencia las co"ias de segur idad "ara su r egistr o ! custodia.
.4 Ad mi ni st ra ci ó n de Configuraciones de 'ed @a con) igur ación de enrutadores s8itc9es ) ir e8all sistemas de detección de intr usos ! otr os dis"ositi#os de segur idad de red de$e ser documentada r es"aldada "or co"ia de segur idad ! mantenida "or la Red de Datos 3D.
Política de Seguridad de
la Inf ormación
Página 1'1' de
>odo e7ui "o de >I de$e ser r e#isado r egistr ado ! a"ro$ado "or la Red de Datos 3D antes de conectarse a cual7uier nodo de la Red de comunicaciones ! datos institucional. Dic9a de "endencia de$e desconectar a7uellos dis"ositi#os 7ue no est?n a"ro$ados ! re"ortar tal conexión como un incidente de segur idad a ser in#estigado.
.6 I nt er cambi o * +t er nas.
de
I n f or maci ó n
con
Organi7aciones
@as "eticiones de in) or mación "or "arte de entes externos de contr ol de$en ser a"ro$adas "or la Vicerr ector-a Administr ati#a ! 6inancier a ! dir igida "or dic9os entes a los r es"onsa $les de su custodia.
>oda la in) or mación institucional de$e ser mane %ada de acuerdo a la legislación. F Sección 12 de a s t e P ol ít ica
.) I nt er net ni co *l ect ró
Correo
@as normas de uso de Inter net ! de los ser#icios de correo electr ónico serán ela $or adas mantenidas ! actuali+adas "or el Comit1 de Seguridad de la Inf ormación ! en todo caso este comit? de$e #elar "or el cum "limiento del código de ?tica institucional ! el mane %o r es"onsa $le de los recursos de tecnolog-as de la in) or mación.
.0
I nst al aci ón de
S o f t 3ar e
>odas las instalaciones de so) t8ar e 7ue se r ealicen so$re sistemas de la 3ni#er sidad de$en se r a"ro$adas "or la Oficina A,e,ora de Si,tema, o la Red de Dato, UDNET3 de acuerdo a los "r ocedimientos ela $or ados "ara tal )in "or dic9as de "endencias. El Comit1 de Inf orm6tica < Telec omunicacione, de) inir á el ám $ito en el cual actuará cada de "endencia.
de$en desinstalar cual7uier so) t8ar e ilegal ! r egistr ar este 9ec9o como un incidente de segur idad 7ue de$e ser in#estigado.
;orres"onde a la Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET mantener una $ase de datos actuali+ada 7ue contenga un in#entar io del so) t8ar e autor i+ado "ara su uso e instalación en los sistemas in) or máticos institucionales.
@ Control de Acce ,o 8.1
Categor"as de Acc eso
Política de Seguridad de
la Inf ormación
Página 1*1* de
El acceso a los recursos de tecnolog-as de in) or mación institucionales de$en estar r estr ingidos seg4n los "er ) iles de usuar io de) inidos "or el Comit1 de Seguridad de la Inf ormación.
Política de Seguridad de
la Inf ormación
Página 1515 de
8.2
Control de Claes 9ombres de # suar i o
El acceso a in) or mación r estr ingida de$e estar contr olado. (e r ecomienda el uso automati+ados de autenticación 7ue mane %en cr edenciales o ) ir mas digitales.
de sistemas
;orres"onde a la Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET ela $or ar mantener ! "u$licar los documentos de se r vicio s de red que ofrece l a in st it ución a su "er sonal estudiantes docentes ! t er cer os. @a Oficina A,e,ora de Si,tema, en con %unto con la Red de Dato, UDNET de$en ela $or ar mantener ! "u$licar "r ocedimientos de administr ación de cuentas de usuar io "ara el uso de ser #icios de r ed. El acceso a sistemas de cóm"uto ! los datos 7ue "er sonal encargado de tales sistemas.
contienen es r es"onsa $ilidad exclusi#a del
@a 3ni#er sidad de$e "ro"ender "or mantener al m-nimo la cantidad de cuentas de usuar io 7ue el "er sonal los estudiantes docentes ! terceros de$en "oseer "ara acceder a los ser#icios de r ed. El contr ol de las contraseAas de red ! uso de e7ui "os es r es"onsa $ilidad de la UDNET. Dic9as contraseAas de$en ser codi) icadas ! almacenadas de ) or ma segur a.
Red de Dato,
@as cla#es de administr ador de los sistemas de$en ser conser#adas "or la dir ección de la Red de Dato, UDNET ! de$en ser cam $iadas en inter#alos r egular es de tiem "o ! en todo caso cuando el "er sonal adscr ito al cargo cam $ie. (e exce"t4a de lo anter ior las cla#es de administr ador de ser #idor es ! e7ui "os de escr itor io adscr itos a la Oficina A,e,ora de Si,tema, las cuales de$en ser conser#adas "or la Je) atur a de la Oficina A,e,ora de Si,tema, ! de$en ser cam $iadas en inter#alos r egular es de tiem "o ! en todo caso cuando el "er sonal adscr ito al cargo cam $ie.
@a Red de Dato, UDNET en coor dinación con la Oficina A,e,ora de Si,tema, de$en ela $or ar mantener ! actuali+ar el "r ocedimiento ! las gu-as "ara la correcta de) inición uso ! com "le %idad d e cla#es de usuar io. ;omo r e7uisito "ara la ter minación de r elación contr actual o la $or al del "er sonal de la 3ni#er sidad la Red de Dato, UDNET de$e ex"edir un certi) icado de cancelación de las cuentas de usuar io asignadas "ara el uso de recursos de tecnolog-as de la in) or mación de la institución.
8.3
Com(utación : ói l
@a 3ni#er sidad reconoce el alto grado de ex"osición 7ue "resenta la in) or mación ! los datos almacenados en dis"ositi#os "ort átiles Fcom"utadores "ort átiles note$oos PDA celular es etc. ;orres"onde a la ) icina de Recursos umanos en con %unto con la ) icina Asesor a de (istemas ela $or ar mantener e im "lementar "lanes de ca "acitación 7ue "ro"endan "or la ) or mación ! mantenimiento de la conciencia en cuestión de segur idad de la in) or mación. @as redes inalám $r icas "otencialmente intr oducen nue#os r iesgos de segur idad 7ue de$en ser Política de Seguridad de
la Inf ormación
Página 11 de
identi) icados #alor ados ! tratados de acuerdo a los lineamientos de la !ol"tica de Seguridad en r ed es i nal ;mbri cas 7ue de$e ela $or ar el Comit1 de Seguridad de la Inf ormación''
8.4 Auditoria S eg ui mi ent o >odo uso 7ue se 9aga de los recursos de tecnolog-as de la in) or mación en la 3ni#er sidad de$en ser seguidos ! auditados de acuerdo con los lineamientos del Código de tica ! del Código de U,o de R ecur,o, de Tecnologí a, de la Inf ormación3 el cual de$e ser ela $or ado "or el Comit1 de Seguridad de la Inf ormación.
8.6 Acceso 'emot o El acceso remoto a ser#icios de red o) r ecidos "or la 3 ni#er sidad de$e estar su %eto a medidas de contr ol de) inidas "or la Red de Dato, UDNET las cuales de$en incluir acuerdos escr itos de segur idad de la in) or mación.
)B Adui,ición3 De,arrollo < Mantenimiento de Si,tema, SoftDare Para a"o!ar los "rocesos o"er ati#os ! estr at?gicos la 3ni#er sidad de$e 9acer uso intensi#o de las >ecnolog-as de la In) or mación ! las ;omunicaciones. @os sistemas de so) t8ar e utili+ados "ueden ser ad7uir idos a tra#?s de terceras "artes o desarr ollados "or "er sonal "r o"io.
@a ) icina Ases or a de (istemas de$e elegir ela $or ar mantener ! di) undir el do de : é to $esarr oll o de S is t emas Soft3are en la #niersidad $i st ri t al % r anci sco &osé de C al d as 7ue inclu!a linea mientos "rocesos $uenas "r ácticas "lantillas ! demás arte) actos 7ue sir#an "ara r egular los desarr ollos de so) t8ar e inter nos en un am $iente de mitigación del riesgo ! asegur amiento de la calidad. G
H
>odo "ro!ecto de desarr ollo de so) t8ar e inter no de$e contar con un documento de I d ent ifi caci ón
)) Admini,tración de Continuidad del Negocio @a Administr ación de ;ontinuidad del
Política de Seguridad de
la Inf ormación
Página 11 de
)* Cum-limiento >odo uso ! seguimiento de uso a los recursos de >I en la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas de$e estar de acuerdo a las normas ! estatutos inter nos as- como a la legislación nacional en la mater ia incluido "ero no r estr ingido a:
Con,titución Política de Colom(ia !e< ;*>)@@@ @e! de comercio electr ónico. NTC *>BB)+*BB=' (istema de /estión de (egur idad de la In) or mación. IS
OIEC )>>@@+*BB; In) or mation t ec9nolog! (ecur it! t ec9ni7ues ;ode o) "r actice )or in) or mation
secur it! management Pro
Acuerdo B*> de diciem(re *. de )@@.' Estatuto Estudiantil de la 3ni#er sidad Distr ital 6r ancisco
Estatuto Docente de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas ;ódigo de ?tica de la 3ni#er sidad Distr ital 6rancisco Jos? de ;aldas MECI )BBB+*BB; @ineamientos gener ales "ara la im "lementación del =odelo Estándar de ;ontr ol NTC$P)BBB+*BB5 ecnica ;olom $iana de la /estion Pu$lica
PI$A C Plan Institucional de /estión Am $iental
). R ef erencia, J)F ISO *>BB)+*BB;' (istemas de gestión de (egur idad en la In) or maciónC R e7uer imientos .
G*F ISOIEC )...;)+*BB5' >ecnolog-a de la in) or mación C >?cnicas de segur idad C /estión de segur idad en tecnolog-a de in) or mación ! comunicaciones C Parte 1: ;once"tos ! modelos "ara la gestión de segur idad en la t ecnolog-a de la in) or mación ! comunicaciones .
G.F ISOIEC TR )...;.+)@@? . @inea mientos "ara la /estión de (egur idad >I C Parte &: >?cnicas "ar a la gestión de la segur idad >I .
G5F ISOIEC )...;5+*BBB' @ineamientos "ara la /estión de la (egur idad >I C Parte ,: (elección de sal#aguar das.
G;F ISO )5BB)+*BB5' (istemas de gestión am $iental C R e7uer imientos con lineamiento "ara su uso G=F ISOIEC TR )?B55+*BB5.>ecnolog-a de la in) or mación C >?cnicas de segur idad C /estión de incidentes en la segur idad de la in) or mación .
Política de Seguridad de
la Inf ormación
Página 2020 de
G>F ISOIEC )@B))+*BB*' @ineamientos "ara la auditor-a de sistemas de auditor-a !Ko gestión am $iental
G?F ISOIEC $uía =*+)@@=' R e7uer imientos gener ales "ara los or ganismos 7ue o"eran la e#aluación ! certi) icaciónKr egistr o de sistemas de calidad.
G@F ISOIEC $uía >.+*BB*' /estión de r iesgo C Voca $ular io C @inea mientos "ara el uso en estándares .
G)BF NIST SP ?BB.B' /u-a de /estión de R iesgo "ara los (istemas de >ecnolog-a de la In) or mación. G))F ISO @BB)+*BBB' (istemas de gestión de calidad C R e7uer imientos .
)5 14.1
T1rmino, <
Definicione,
I n f or maci ón
>oda ) or ma de conocimiento o$ %eti#o con re"resentación ) -sica o lógica ex "l-cita.
14.2 Actio de I n f or maci ón Datos o in) or mación "r o"iedad de la 3ni#er sidad 7ue se almacena en cual7uier ti "o de medio ! 7ue es considerada "or la misma como sensiti#a o cr -tica "ara el cum "limiento de los o$ %eti#os misionales. De) inir in) or mación sensiti#a o cr-tica...
14.3 Sistema de I n f o r maci ón ;on %unto ordenado de elementos cu!as "r o"iedades se r elacionan e inter accionan "er mitiendo la r eco"ilación "r ocesamiento mantenimiento tr ansmis ión ! di) usión de in) or mación utili+ando di) er entes medios ! mecanismos tanto automati+ados como manuales.
14.4 !ro(ietario de Actios de I n f o r maci ón En el contexto de la norma <>; 25001 un "r o"ietar io de acti#os de in) or mación es cual7uier "er sona o entidad a la cual se le asigna la res"onsa $ilidad ) or mal de custodiar ! asegurar un acti#o de in) or mación o un con %unto de ellos.
14.6
=ecnolog"a de la I n f or maci ón
;on %unto de 9ard8are ! so) t8ar e o"erados "or la entidad o "or un tercero en su nom$re 7ue com"onen la "lata) or ma necesar ia "ara "rocesar ! administr ar la in) or mación 7ue r e7uier e la entidad "ara lle#ar a ca$o sus ) unciones.
14.) *aluación de 'i esg o s E#aluación de las amena+as ! #ulner a $ilidades r elati#as a la in) or mación ! a las instalaciones de "r ocesamiento de la misma la "r o$a $ilidad de 7ue ocurran ! su "otencial im "acto. Política de Seguridad de
la Inf ormación
Página 2121 de
14.0 Ad mi ni st ra ci ón de 'i esg o s Proceso de identi) icación contr ol ! reducción o eliminación a un costo ace "ta $le de los r iesgos de segur idad 7ue "odr-an a) ectar a la in) or mación. Dic9o "roceso es c-clico ! de$e lle#ar se a ca$o en ) or ma "er iódica.
14.
Comité de Seguridad de la I n f or maci ón
El ;omit? de (egur idad de la In) or mación es un cuer"o integr ado "or di) er entes re"resentantes de la 3ni#er sidad destinado a gar anti+ar el a"o!o mani) iesto de las dir ecti#as a las iniciati#as de segur idad. (u ) unción "r inc i"al es de) inir estructurar recomendar 9acer seguimiento ! me %or ar el (istema de /estión de (egur idad de la In) or mación F(/(I de la institución. De"ende dir ectamente de la Vicerr ector-a Administr ati#a ! 6inancier a ! com "lementa el tr a $a %o d el Comit1 de Inf orm6tica < Telecomunicacione, sir#iendo como consultor t?cnico en temas r elacionados con la segur idad de la in) or mación.
14.8 'es(onsable de Seguridad I n f o r m;t ic a ;oor dinador gener al del ;omit? de (egur idad de la In) or mación. (u ) unción "r inci "al es su "er #isa r el cum "limiento de la "resente Pol-tica ! los lineamientos del (/(I.
14.1> I n f or m;t i ca
Gru(o
res(onsable
de
Seguridad
/ru"os de a"o!o creado en de "endencias de la 3ni#er sidad 7ue mane %an in) or mación sensi $le o cr-tica ! 7ue se encargan de #elar "or la o"eración del (/(I. Están con) or mados "or ) uncionar ios o contr atistas de la de"endencia 7ue tengan ) or mación en temas de segur idad de la in) or mación.
14.11
I nci d ent e de
Seguridad I n f o r m;t ic a
3n incidente de segur idad in) or mática es un e#ento ad#erso en un sistema de com"utadoras o red de com"utadoras 7ue com"romete la con) idencialidad integr idad dis"oni $ilidad legalidad o con) ia $ilidad de la in) or mación. Puede ser causado mediante la ex"lotación de alguna #ulner a $ilidad o un intento o amena+a de rom"er los mecanismos de segur idad existentes.
14.12
Cadena de cust od ia
En el ám $ito de la segur idad de la in) or mación @a cadena de custodia es la a "licación de una ser ie de normas ! "r ocedimientos tendientes a asegurar de"ositar ! "roteger cada acti#o de in) or mación "ar a e#itar la "?r dida de integr idad dis "oni $ilidad o con) idencialidad.
Política de Seguridad de
la Inf ormación
Página 2020 de