MANUAL DE SEGURIDAD

INFORMATICA EN-CORE
 CAPITULO 1
GENERALIDADES:
OBJETIVOS Y ALCANCE

ARTÍCULO 1: En-core es una empresa de investigación tecnológica con sede

principal en la ciudad de Medellín, el objetivo principal del manual de seguridad de
la información es gestionar la integridad, disponibilidad y confidencialidad de los
datos aplicando los estándares necesarios para permitir alcanzar los logros de la
organización evitando inconvenientes en el manejo de datos.

ARTÍCULO 2: La seguridad de la información es el conjunto de medidas

administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a
prevenir, detectar y responder a acciones que pongan en riesgo la
confidencialidad, integridad y disponibilidad de la información que se procese,
intercambie, reproduzca y conserve a través de las tecnologías de información.

ARTÍCULO 3: Las políticas y reglamentos estarán alineados a las normas de

manejo de datos conforme a la legislación colombiana y las recomendaciones
internacionales en el manejo de la seguridad de la información.

ARTÍCULO 4: La información, documentos u otros datos que se procese,

intercambie, reproduzca y conserve a través de los medios técnicos de
computación es propiedad intelectual de En-Core. Por lo tanto se considerará
llevar a medidas judiciales el robo o salida de información sin permiso alguno de
las personas a cargo de los productos de información e investigación.
 CAPITULO II

POLÍTICAS Y PLANES DE SEGURIDAD

INFORMÁTICA Y DE CONTINGENCIA

SECCIÓN 1: GENERALIDADES DE LAS POLÍTICAS, PLAN DE ACCIÓN

Y PLAN DE CONTIGENCIA DE SEGURIDAD INFORMÁTICA EN EN-
CORE.

ARTÍCULO 5: Solo el personal a cargo del manejo del área de tecnología y

sistemas establecerá las regulaciones que rijan sobre la seguridad de la
información que sea procesada, intercambiada, reproducida o almacenada a
través de las tecnologías de información, determinando los tipos de información y
recursos para su protección. También se creará los mecanismos de control para
garantizar el cumplimiento de las regulaciones previstas en este manual.

ARTÍCULO 6: Siempre que se considere necesario se evaluará los elementos de

red y usuarios con el fin de mantener actualizada las políticas de la seguridad de
la información en EN-CORE en casos como:

 Cambios en físicos o de organización.

 Cambios o nuevos flujo de la información.
 Cambio o nuevos recursos de tecnologías de información disponibles.
 Nuevos usuarios.
 Nuevas herramientas para velar por la seguridad e integridad de la red.

ARTÍCULO 7: El plan de seguridad informática será la base para la dirección de

procedimientos y garantizar los conocimientos mediantes lecciones aprendida
donde se reflejan las políticas, estructura de gestión y el sistema de medidas, para
la Seguridad Informática, teniendo en cuenta los resultados obtenidos en los
análisis de riesgos y vulnerabilidad realizados.
ARTÍCULO 8: El Plan de Seguridad Informática su aplicación y cambios, serán
objeto de aprobación y control por parte de los directivos de EN-CORE.

ARTÍCULO 9: El Plan de Contingencia define los procedimientos a realizar ante

posibles amenazas a la seguridad de la información que impidan cumplir con la
disponibilidad, integridad y confidencialidad.

ARTÍCULO 10: El Plan de Contingencia, contendrá las medidas que permitan, en

caso de desastres, la evacuación, preservación y traslado, de los medios y
soportes destinados al procesamiento, intercambio y conservación de información
clasificada o sensible (Ver anexo: Análisis de riesgo).

ARTÍCULO 11: El Plan de Contingencia y su aplicación serán objeto de

aprobación y control por parte de las distintas instancias de EN-CORE.

SECCIÓN 2: SEGURIDAD FÍSICA A ÁREAS DE PRODUCCIÓN,

EXCLUSIVAS Y GESTIÓN DOCUMENTAL

ARTÍCULO 12: Se consideran áreas producción aquellas donde se procese,

intercambie, reproduzca y conserve información vital con cualquier recurso
tecnológico. En las áreas de producción se aplicarán contaran con las siguientes
características:

 Serán áreas cerradas donde se manejen equipos con protección de sobre

carga de tensión, riesgo de inundaciones o derrame de líquidos.
 En caso ventanas que se comuniquen con el exterior se debe velar por una
posición adecuada que evite que la información y recursos fiscos sean
dañados por acción de vientos o humedad.

ARTÍCULO 13: La entrada o permanencia en las áreas de producción estará en

correspondencia con el nivel de acceso a la información clasificada que se les
haya otorgado a las personas. En el caso del personal de servicios, mantenimiento
de equipos u otro que eventualmente precise permanecer en el área, lo hará
siempre en presencia de las personas responsables y con la identificación visible.

En caso de visitantes deberán registrarse en la entrada de EN-CORE para permitir

registrar su entrada o salida dentro de la empresa.
ARTÍCULO 14: El control e seguridad física incluye también la protección de
puntos de datos mediante asociación de direcciones MAC al puerto. Sin embargo
se podrá permitir el acceso de otros dispositivos mediante la solicitud al
departamento de tecnología y sistemas de EN-CORE, la política de acceso físico
a la red sea inalámbrico o cableado se guiara por la tendencia BYOD (Bring Your
Own Device).

ARTÍCULO 15: Se consideran áreas exclusivas aquellas donde los dispositivos de

almacenamiento y procesamiento de la información están ubicados, esta área
incluye el cuarto de datos donde encuentren los servidores, y otros elementos de
la red. Las características de las áreas serán las siguientes:

 Protección a descargar eléctricas o sobre voltajes así como el manejo de

energía mediante UPS para evitar el riesgo de pérdida de información ante
apagones o problemas de la red eléctrica.
 Suelo falso para evitar problemas de estática en los elementos.
 Control físico de acceso mediante la seguridad de puertas de ingreso.
 Control de la temperatura de los elementos mediante acondicionamiento de
refrigeración.

ARTÍCULO 16: La entrada o permanencia de las personas en las áreas

exclusivas debe ser controlada, requiriéndose la autorización expresa de la
persona facultada para ello. En el caso del personal de servicio, mantenimiento
de equipos u otro que eventualmente precise permanecer en el área lo hará
siempre en presencia de las personas responsables.

ARTÍCULO 17: Todos los documentos físicos que contengan información

clasificada serán controlados y conservados en la oficina de control de la
información clasificada o en el área responsabilizada, según lo establecido para su
protección y conservación. En lo posible se requerirá la gestión documental para
la digitalización de documentos y la conservación de soportes vitales que
requieran soporte físico según la ley.
SECCIÓN 3: SEGURIDAD DE RECURSOS Y APLICACIONES

ARTÍCULO 18: Los requerimientos para la seguridad técnica o lógica serán de

implementación a nivel de software y hardware y estarán en correspondencia
directa con las políticas y modelos de seguridad que para la información se
determinados por los directivos de EN-CORE.

ARTÍCULO 19: Los recursos tecnológicos (tablets, smartphones, computadores u

otros dispositivos) en que se procese, intercambie, reproduzca y conserve
información clasificada o sensible, se les implementarán mecanismos para
identificar y autenticar los usuarios.

ARTÍCULO 20: Siempre que sea factible, se implementarán mecanismos de

control (software de gestión de usuarios) que permitan contar con una traza o
registro de los principales eventos que se ejecuten y puedan ser de interés para la
detección o esclarecimiento ante violaciones de la Seguridad Informática.

ARTÍCULO 21: Solo las aplicaciones aprobadas por el departamento de

tecnología y sistemas serán instaladas o utilizadas en cada dispositivo destinado
al procesamiento de información clasificada o sensible, reunirán los requisitos
siguientes:

 Registro de control de aplicación, licencias y funcionalidad.

 Cuadro de niveles manejo de la información que permita la aplicación del

control, acorde a los niveles de acceso otorgado a los sujetos informáticos;

 Capacidad de registrar todas las operaciones principales, realizadas en el

tratamiento de bases de datos que contengan información clasificada o
sensible.

ARTÍCULO 22: Se adoptarán de medidas de protección contra ataques o

alteraciones no autorizadas, a los mecanismos de seguridad técnica que se
apliquen, tanto a nivel de sistema operativo como de aplicaciones.

ARTÍCULO 23: La copias de respaldo de la información se realizaran diariamente

luego cada día de trabajo, con el fin de recuperarlas o restaurarlas en los casos de
pérdida, destrucción o modificación males intencionados o fortuitos, de acuerdo a
la clasificación o importancia de la información que protegen.
ARTÍCULO 24: Los recursos tecnológicos tendrán un registro de hoja de vida que
permita la trazabilidad dentro de la empresa así como los aplicativos requeridos
por cada usuario.

SECCIÓN 4: MANEJO Y VIGILANCIA DE SERVICIOS

ARTÍCULO 25: La reparación o mantenimiento de los equipos destinados al

procesamiento de información clasificada se realizará una vez borrada
físicamente la información. La nueva instalación del equipo se restaura según la
hoja de vida del recurso tecnológico y los permisos del usuario a los procesos.

ARTÍCULO 26: Se prohíbe la utilización, distribución o comercialización de

herramientas de Seguridad Informática que no cuenten con la aprobación del
personal encargado en EN-CORE. El escaneo y manejo de red solo debe ser
manejado por el personal asignado e incluso la persona dedicada dicha tarea,
cualquier software que se use en la organización puede generar una gran ventana
de vulnerabilidad y riesgo.

Las únicas herramientas autorizadas para supervisar los servicios de red serán las
designadas por el PSI autorizado. Se utilizan exclusivamente SATAN y NETLOG.
La gestión de la integridad se realizara únicamente con el software COP, por lo
tanto no se permiten otro tipo de software para el manejo de la integridad de la red

SECCIÓN 5: FUNCIONES Y RESPONSABLES DE LA SEGURIDAD

INFORMATICA.

ARTÍCULO 27: EN-CORE designará a una persona con la experiencia y

confiabilidad suficiente para ser Responsable de la Seguridad Informática.
Cuando las características propias de la entidad y el volumen y dispersión de las
tecnologías de información instaladas, así lo aconsejen, se podrá designar más
de un responsable para la atención de la Seguridad Informática en las diferentes
áreas de trabajo.

ARTÍCULO 28: Son funciones del Responsable de Seguridad Informática en

cada entidad las siguientes:
  Ser responsable de la aplicación y mantenimiento de los planes de
seguridad informática y de contingencia.

 Comunicar a la dirección de EN-CORE cuando en ella no se posean los

productos de seguridad informática actualizados y certificados, de acuerdo
a las normas recogidas en el presente Reglamento, y a las condiciones de
trabajo del área.

 Apoyar el trabajo del área de tecnología y sistemas y la área administrativa,

en cuanto al estudio y aplicación del sistema de seguridad a los sistemas
informáticos, con el fin de determinar las causas y condiciones que
propician violaciones en el uso y conservación de estos sistemas y en
la información que se procese en ellos;

 Proponer y controlar la capacitación del personal vinculado a esta actividad,

con el objetivo de contribuir al conocimiento y cumplimiento de las medidas
establecidas en el Plan de Seguridad Informática (Ver anexo: gestión de
usuarios).

ARTÍCULO 29: Toda red de computadoras deberá contar para su operación con la
existencia de un Administrador de red que tendrá entre sus funciones básicas:

 Vigilar la aplicación de mecanismos que implementen las políticas de

seguridad definidas en la red;

 Velar porque la misma sea utilizada para los fines que fue creada;

 Activar los mecanismos técnicos y organizativos de respuesta ante los

distintos tipos de acciones nocivas que se identifiquen.

SECCIÓN 6: TRABAJO EN REDES

ARTÍCULO 30: Se prohíbe la conexión de dispositivos a elementos de la red en el

área exclusiva, solo puede ser utilizado por el personal a cargo de dicha área.

ARTÍCULO 31: Son de obligatoria implementación los mecanismos de seguridad

de los cuales están provistas las redes de datos; así como de aquellos que
permitan filtrar o depurar la información que se intercambie, de acuerdo a los
intereses predeterminados por cada una de ellas.
 CAPITULO III

PRESTACIÓN DE SERVICIOS DE SEGURIDAD

INFORMATICA A TERCEROS.

ARTÍCULO 32: Solo estarán autorizadas a brindar servicios de Seguridad

Informática a terceros aquellas entidades que cuenten con el correspondiente
contrato vigente con EN-CORE según la naturaleza de la empresa de ofrecer
servicios tecnológicos de investigación.
 ANEXO: ANÁLISIS DE RIESGO

RIESGO
IMPORTANCIA
NOMBRE RIESGO (R) EVALUADO DETALLE
(W)
(RXW)
Esta es la razón de ser de
la empresa porque allí
están almacenados los
BASE DE DATOS 10 10 100
detalles de los clientes y
los productos de la
empresa.
Es un Equipo costoso por
SERVIDOR WEB 8 10 80 el tema de los servicios
que están montados.
El swicth es un equipo
activo que se puede
SWICTH 3 5 15
cambiar, resetear y volver
a configurar.
Son los equipos lo cual los
empleados procesan
PC 7 3 21 información se puede
modificar y cambiar
piezas fácilmente.
Recurso para la
elaboración de trabajos lo
IMPRESORA 2 1 2
cual si se daña se cambia
con facilidad.
 VER ANEXO: GESTIÓN DE USUARIOS
NOMBRE SERVICIO GRUPO DE USUARIOS TIPO DE ACCESO PRIVILEGIOS
Empleados y
Base de Datos Local Solo Lectura
Administración
Clientes, Producto y
Base de Datos Local Solo Lectura
Presupuesto
Acceso a Internet Usuario Local Solo Lectura
Técnicos de
Servidor Pagina Web Local Lectura y Escritura.
Mantenimiento
Acceso a Servidor, Router y Administradores de
Local y Remoto Lectura y Escritura
Switch red
Acceso a Equipos Técnicos de Sistemas Local Todos