Infraestructura tecnológica de la organización

Andrés Danilo Vásquez Murcia

Instructor

Cesar Manuel Castillo Rodríguez

Políticas de Seguridad

Sena

Gestión y seguridad de bases de datos

Bogotá

Octubre de 2019
 INTRODUCCIÓN

Las políticas definidas en el presente documento son difundidas en cada una de

las Secretarías, donde cada una con su equipo de trabajo ha de estudiarlas de
forma detenida y aprobaran los puntos definidos.

Las políticas de seguridad permiten que en las organizaciones se definan las

formas de realizar los procesos y los lineamientos que apoyan la Labor de
protección de los datos y su disponibilidad al interior de la Alcaldía, de esta forma
cada definición están dirigido a todos los funcionarios y en algunos casos a
clientes externos.
 OBJETIVOS

OBJETIVO GENERAL

Este trabajo se elabora con el fin de proporcionar un reconocimiento formal para

tomar conciencia, aceptar y cumplir con las políticas de Seguridad de la
Información en la Alcaldía de San Antonio del Sena y va dirigida a los
Funcionarios Directos, Temporales y Visitantes.

OBJETIVOS ESPECÍFICOS

 Definir normas que sean comprensibles por todos los funcionarios y que
traiga como consecuencia una concienciación del valor de la información
y la importancia de la protección de los datos de la Alcaldía de San
Antonio del Sena.

 Con la socialización de esta política se busca evitar daños importantes y

generalizados a los archivos de aplicaciones de los usuarios, el
componente de hardware y software con el propósito de evitar la infección
de ordenadores y sistemas informáticos.

 Proveer requisitos para la realización de copias de seguridad del Sistema

Informático periódicamente, con el fin de asegurar que las aplicaciones
críticas, los datos y los archivos se conserven y se protejan de ser
perdidos y destruidos.
 POLÍTICA DE RESPALDO DE DATOS

Debido a los procesos críticos en la Alcaldía de San Antonio del Sena, procesos
que van desde la preparación de proyectos de acuerdos, resoluciones, decretos
y contratos en la Secretaria General, Coordinación y Auditoria del control de
precios al consumidor, rifas, juegos y espectáculos a cargo de la Secretaria de
Gobierno, El Recaudo de los dineros provenientes del impuesto, la custodia de
los títulos valores, garantías a favor del municipio y la rendición de cuentas de
todo el flujo financiero en la Secretaria de Hacienda, Y la elaboración de
proyectos en conjunto con Contratistas y Entidades expertas en la ejecución de
obras civiles bajo la responsabilidad de La Secretaria de Planeación de Obras
Públicas; la Implementación y actualización de la operación del Sistema Integral
de Información de Salud en cabeza de la Secretaria de Salud, entre otros
corresponden a los procesos de mayor demanda de transacciones y seguridad
de la información sensible que debe ser salvaguardada por medio de una política
clara para todo el personal de la Alcaldía.

Los datos en cualquier organización pueden ser destruidos o dañados por el mal
funcionamiento del sistema, medios accidentales o con total intencionalidad.
Siguiendo el principio que la Disponibilidad de la Información es vital para las
operaciones de los negocios, se implementan lineamientos para recuperar
fácilmente la información en caso de ser necesario.

Propósito

Definir los requisitos básicos para la realización de copias de seguridad del

sistema periódicamente, para asegurar que las aplicaciones y los datos se
conserven y se protejan contra la pérdida y destrucción de forma adecuada.

Alcance

Esta política se aplica a todos los empleados, contratistas, consultores,

empleados temporales y otros trabajadores de La Alcaldía de San Antonio del
Sena. Cuando existan políticas dentro de una Secretaría, esta política
proporcionará la instrucción mínima requerida. Las políticas de las unidades de
negocio deben ser complementarias a esta política y no deben anular los
requisitos establecidos en esta política. Cualquier conflicto entre la Política
General y política de la Unidad de Negocios (Secretarías) debe resolverse a
favor de la política de General para asegurar la protección de la confidencialidad,
integridad y disponibilidad de la información.
Política

1. Todos los datos de la aplicación / usuario deben haber documentado los

horarios de frecuencia específica, rotación y retención basados en la
criticidad, los requerimientos del negocio y los requisitos legales los datos
y de las aplicaciones.

2. La criticidad de datos / aplicaciones debe ser determinado, como mínimo,

por el propietario de la aplicación o los datos, con el aporte de un asesor
legal, para garantizar los requisitos mínimos legales de retención.

3. Todos los sistemas almacenamiento de aplicaciones y datos deben ser

respaldados con al menos una copia de seguridad “full3 offsite2”, por mes,
reteniendo cada copia de seguridad mensual durante 1 año.

4. Todas las copias de seguridad de datos de las aplicaciones deben estar

coordinadas con los horarios de procesamiento de la aplicación.

5. La retención de los datos debe cumplir con las siguientes normas

mínimas:

Cada cuanto se hará (On-site) en las (Off-site) Fuera de las

Secretarias (Área Oficinas
Física)
Diario 1 Semana 2 Semanas
Semanal 2 Semanas 3 Semanas
Mensual Ninguno 1 Año
Anual Ninguno 4 Años

6. El proceso para realizar la copia de seguridad debe ser monitoreado

diariamente y el estado documentado. Problemas o fracasos en el mismo
deben ser escalados inmediatamente al personal y gestión de apoyo
responsables.

7. Todos los sistemas de almacenamiento de aplicaciones y datos deben ser

revisados anualmente para verificar que las prioridades y procedimientos
de la copia de seguridad y recuperación se hayan completado.
 POLÍTICA PARA LA CREACIÓN Y DESTRUCCIÓN DE DOCUMENTOS

Propósito

 Proporcionar una política estándar para la creación y destrucción de

documentos que instruya a los funcionarios sobre los protocolos para
crear, guardar y la destruir los documentos.
 Cumplir con las obligaciones legales, regulatorias, o de cumplimiento.
 Un enfoque sistemático de destrucción evitará consecuencias
desfavorables por los tribunales de litigio.

Alcance

Esta política se aplica a todos los funcionarios, contratistas, consultores,

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
Secretarias. Cuando ya existan políticas de creación y destrucción de
documentos que las Unidades de Negocio, esta política proporcionará la
instrucción mínima requerida de dirección. Esta política,
y las políticas de las unidades de negocio, deben ser complementarias y
cualquier conflicto entre ellas debe resolverse a favor de proporcionar las
garantías necesarias para la protección, integridad y disponibilidad de la
confidencialidad de la información.
Política

Para la Creación de documentos

Las mejores prácticas recomendadas son:

1. Limitar a una copia maestra cada documento / presentación

2. Limitar el envío de correos electrónicos "CC" y "CCO" y reenvío al azar
3. Limitar el uso de archivos adjuntos.
4. Adoptar de un sistema de manejo de documentos sistemático que elimine
el problema de guardado y eliminación múltiple (con una solución de
confianza para realizar copias de seguridad que permita a los empleados
confiar en que la versión guardada es la "maestra" y se puede restaurar
rápidamente).

Para la Destrucción de Documentos / Medios

1. Triture los documentos de papel y medios de comunicación donde se

almacenan los documentos (CD, DVD, disquete, etc.).
2. Limpieza segura de almacenamiento en disco.
3. En el caso de que una estación de trabajo llegue al fin de su vida útil, sea
transferido o dañado, el disco de estaciones de trabajo debe ser limpiado
de los datos bajo parámetros de seguridad. Una práctica generalmente
aceptada para la limpieza segura de un disco es sobrescribir con ceros
una vez, luego unos y luego datos diferentes al azar. La desmagnetización
es también una práctica aceptada para la limpieza de los datos de una
unidad de disco o de un disco magnético. Una norma de referencia es el
Departamento de Comercio de Estados Unidos, el Instituto Nacional de
Normas y Tecnología, NIST 800-88.
4. Supresión y sobre escritura de archivos de documentos.
5. La destrucción física de unidades de disco duro, discos y otros medios de
comunicación es una práctica aceptable.
 POLÍTICA DE INTERNET Y USO DE LA DMZ

Propósito

El propósito de esta política es definir las normas que deben cumplir los todos
los equipos de propiedad y / o operados por la Alcaldía de San Antonio del Sena
ubicados fuera de los cortafuegos del Internet corporativo de La Alcaldía. Estos
estándares están diseñados para minimizar el potencial de exposición de las
Secretarías ante la pérdida de datos sensibles o confidenciales, propiedad
intelectual, daño a la imagen pública, etc., que pueden derivarse de un uso no
autorizado de los recursos.

Alcance

Todos los equipos o dispositivos desplegados en una zona desmilitarizada

(DMZ), propiedad y / o operados por funcionarios de la Alcaldía de San Antonio
(incluyendo hosts, routers, switches, etc.) y / o registrados en cualquier dominio
del Sistema de Nombres de Dominio (DNS, por sus siglas en inglés) propiedad
de la Alcaldía, deberá seguir esta política.

Política

1. Hardware, sistemas operativos, servicios y aplicaciones deben tener una

revisión de seguridad como parte de la fase de revisión previa al
despliegue. Además, esta revisión debe repetirse de forma anual.

2. El análisis de vulnerabilidades se debe realizar cada tres meses.

Cualquier vulnerabilidad crítica de seguridad debe ser corregida dentro de
los 3 meses de identificación.

3. La configuración del sistema operativo debe hacerse de acuerdo con las

normas de seguridad de instalación y configuración de hosting y de router.

4. Los servicios y aplicaciones que no están acorde a los requerimientos de

la Alcaldía de San Antonio del Sena deben ser desactivados.

5. Las relaciones de confianza entre los sistemas sólo pueden ser

introducidas de acuerdo con los requerimientos del negocio, deben ser
documentadas, y deben ser aprobados.
 6. Los servicios inseguros o protocolos deben ser reemplazados por sus
equivalentes más seguras siempre que existan.

7. Los sistemas que necesiten ser para accedidos desde la Internet pública
deben ser colocados en un segmento de DMZ, el cual es dirigido usando
direcciones IP registradas públicamente. Administración / desktop / shell
remoto se deben realizar con más seguridad, canales autenticados
seguros (por ejemplo, las conexiones de red cifrados usando SSH o
IPSEC) o acceso a la consola independiente de las redes DMZ. Cuando
una metodología para las conexiones de canal seguras no está
disponible, las contraseñas de un solo uso deben ser utilizados para todos
los niveles de acceso.

8. Cualquier información clasificada confidencial o superior no se debe

almacenar en los dispositivos ubicados en la zona de distensión (DMZ
siglas en inglés). Los datos solo pueden existir en forma necesaria cuando
estén en tránsito hacia su ubicación de almacenamiento final.

Responsables

Todas las personas definidas en el marco de esta política cumplirán plenamente

esta política. Los infractores estarán sujetos a medidas disciplinarias que pueden
resultar en la terminación de su empleo. Todas las acciones se ajustarán a las
leyes laborales aplicables.
 POLÍTICA DE RECUPERACIÓN DE DESASTRES

Propósito

Definir los requisitos mínimos para llevar a cabo la recuperación de desastres

para asegurar que las aplicaciones y los datos más importantes de la empresa
sean preservados y protegidos contra la pérdida y destrucción de datos de forma
adecuada.

Alcance

Esta política se aplica a todos los empleados, contratistas, consultores,

empleados temporales y otros trabajadores de la Alcaldía de San Antonio del
Sena y todas sus Unidades de Negocio. Cuando haya políticas que ya existan
dentro de una unidad de negocio, esta política proporciona la instrucción mínima
requerida de dirección. Las políticas de las Secretarías deben ser
complementarias a esta política y no anular los requisitos establecidos en esta
política.

Política

1. Todas las aplicaciones de los planes de recuperación de desastres deben

incluir lo siguiente:

 Nombre del propietario de la aplicación e información de contacto

 Propietario técnico e información del contacto _
 Los objetivos de tiempo de recuperación
 Los objetivos de punto de recuperación
 Frecuencia de sincronización de un archivo o imagen _
 Si corresponde, el tipo de protección (replicación basada en archivo o en
bloque)
 Los requisitos de disco duro
 Lista de equipo completo que incluye:

a) Procedencia y modelo del servidor

b) Capacidad y uso del disco duro
c) Ajustes de configuración (dirección IP, etc.)
d) Tipo de servidor (web, app, db, etc)
e) Arquitectura (física o virtual, 32 o 64 bits, etc)
f) Lista de software, incluidas las versiones

 Manual de instrucciones para la recuperación (Reconstruir desde cero).

 Instrucciones de recuperación del sistema de recuperación de desastres
aplicable.
 Priorización de todos los servidores del sistema.
 Lista de dependencias, incluyendo otras aplicaciones, red, LDAP, etc.

 El propietario de las aplicaciones y el gerente de TI de la Alcaldía de San

Antonio del Sena son conjuntamente responsables de identificar las
aplicaciones que deben protegerse y comunicarse con el coordinador de
recuperación de desastres apropiado.

 Cualquier sistema de recuperación de desastres que se propuesto debe

cumplir con los siguientes estándares globales para la recuperación de
desastres, con el fin de considerarse para su uso:

a) Debe ser un sistema autónomo. No puede compartir el almacenamiento

de datos con otros sistemas de producción, de desarrollo o de prueba
b) Debe apoyar la tecnología utilizada en los sistemas de producción
c) No debe estar en la misma ubicación que los sistemas protegidos
d) Debe ser capaz de proteger los datos durante la transferencia o
sincronización (es decir, la encriptación)
e) El hardware debe ser suficiente como para apoyar a los sistemas que se
están protegidos (disco duro, memoria RAM, procesador, etc.)
f) Credenciales de acceso independientes de los sistemas cubiertos.

 Todos los planes de recuperación de desastres deben ser almacenados

digitalmente y encriptados en un centro de almacenamiento "fuera de
sitio", lo cual quiere decir que la Alcaldía de San Antonio del Sena debe
contar con servicios externos para el Almacenamiento en la Nube como
lo son Empresas Especializadas para el Almacenamiento en la nube
como Terremark, Google, Amazon etc.
 POLÍTICA DE PRIVACIDAD DE LOS DATOS

Propósito

Definir la política de la Alcaldía de San Antonio del Sena para el uso aceptable
de los recursos y la privacidad de datos de TI.

Alcance

Esta política aplica para todas las Secretarías y dependencias de estas.

Política

 Todos los sistemas de TI son activos de la Compañía. Estos sistemas

incluyen equipos de cómputo, software, medios de almacenamiento, y
cuentas de red que proporcionan correo electrónico, correo de voz,
Internet, y servicios FTP. Estos sistemas deben ser utilizados para fines
comerciales en el servicio a la Alcaldía y a los clientes (usuarios externos)
en el curso de operaciones comerciales normales.

 Los empleados son responsables por ejercer el buen juicio en cuanto a la

razonabilidad de uso personal. Se anima a cada agencia a tener una
política detallada que proporcione orientación adicional para la utilización
aceptable de los recursos de tecnología para sus empleados.

 Todos los medios de comunicación de software propiedad de la empresa

deben ser almacenados en un lugar seguro con acceso limitado. El
software propiedad de la empresa no debe estar instalado en un
ordenador personal en el hogar de los empleados.

 Los equipos informáticos comprados fuera de los métodos aprobados de

la corporación, se consideran hardware de "uso personal". Este hardware
no será apoyado o mantenido por la empresa. Además, el hardware
adquirido de esta manera no se debe unir a las redes de la empresa, y los
datos de la empresa no deben ser transferidos a este dispositivo.

A continuación, se identifican los usos inaceptables de los recursos de TI de la

Alcaldía.
  Los sistemas de la red, correo electrónico o correo de voz de la compañía
no se pueden utilizar para solicitar o promover cualquier negocio
comercial personal, causas políticas, o cualquier otro fin que se determina
ilegal por la Compañía.
 Un individuo no puede leer ni acceder a mensajes que no se dirigen a
ellos sin la aprobación del autor del mensaje.

 La duplicación no autorizada de material con derechos de autor,

incluyendo, pero no limitado a, la digitalización y distribución de
fotografías de revistas, libros u otras fuentes con derechos de autor, o
música con derechos de autor.

 El correo electrónico no puede ser reenviado automáticamente.

 El uso no autorizado, o reenvío, de la información del mensaje. La

introducción de programas maliciosos en la red, o efectuar otras
interrupciones de la comunicación en red.

 Violación de la seguridad o eludir la autenticación de usuario o la

seguridad de cualquier host, red o cuenta.

POLÍTICA DE ENCRIPTACIÓN DE LOS DATOS

Propósito

El propósito de esta política es afirmar que los sistemas de la Alcaldía de San

Antonio del Sena sólo utilizarán sistemas de encriptación que hayan recibido
revisión pública sustancial y sean consideradas como seguros.

Alcance

Esta política se aplica a todos los empleados, contratistas, consultores,

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
unidades de negocio (Secretarías).

Política

Solamente los algoritmos que hayan resistido el escrutinio y pruebas por la

comunidad criptográfica se pueden utilizar como base para la tecnología de
encriptado dentro de los sistemas de información de la Compañía. Los algoritmos
estándares que son aceptables en el momento de la escritura de esta política
son:

 Criptosistemas simétricos de claves:

o Triple DES (3DES)

o AES (siglas en inglés) Encriptado Avanzado Estándar
o RC2, RC4, RC5 y (Encriptado de Rivest)
o IDEA (siglas en inglés) Algoritmo de encriptado de datos internacional

 Criptosistemas asimétricas de claves:

o Diffie-Hellman
o El Gamal
o Curva Elíptica
o RSA (Rivest-Shamir-Adleman)

 Firma Digital Estándar:

o RSA
o DSA – DSA

 Algoritmo de control seguro

o SHA-1 - Secure Hash Algorithm

o MD5 - Message Digest

 Los sistemas simétricos de clave deben utilizar longitudes de clave de al

menos 128 bits.

Responsables

Todas las personas definidas en el marco de esta política cumplirán plenamente

con la política. Los infractores estarán sujetos a medidas disciplinarias que
pueden resultar en la terminación de su empleo. Todas las acciones se ajustarán
a las leyes laborales aplicables.
 POLÍTICA DE DISPOSITIVOS MÓVILES

Propósito

Busca definir reglas para la utilización de dispositivos móviles dentro de las

Instalaciones de la Alcaldía de San Antonio del Sena.

Alcance

Esta política se aplica a todos los empleados, contratistas, consultores,

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
unidades de negocio (Secretarías), a quienes se les asigne un dispositivo móvil
propiedad de la empresa. Todos los dispositivos móviles propiedad de la
empresa están cubiertos por esta política incluyendo teléfonos celulares, PDAs,
teléfonos inteligentes y tabletas.

Política

Todos los dispositivos móviles proporcionados por la Alcaldía de San Antonio del
Sena se van a utilizar principalmente para asuntos oficiales del Grupo y de una
manera segura y rentable siendo consistentes con las políticas de la Alcaldía de
San Antonio del Sena existentes.

Los dispositivos móviles que accedan a aplicaciones de Alcaldía de San Antonio

del Sena, requerirán de configuración de un sistema de gestión de dispositivos
móviles (MDM).
Responsables

Los empleados de la Alcaldía de San Antonio del Sena a los que se les asigne
un dispositivo móvil son responsables de:

• Asegurarse de que el dispositivo móvil se utilice principalmente para los

negocios de las Secretarías.

• Dispositivo de manipulación y “jailbreaking” están prohibidos.

• Asegurar la atención adecuada y segura del uso del dispositivo móvil,

incluyendo la seguridad del dispositivo en todo momento.
• Notificar a un supervisor inmediatamente si un dispositivo móvil ha sido perdido,
robado o dañado.

POLÍTICA DE SEGURIDAD DE REDES

Propósito

Esta política proporciona orientación y un marco para los administradores y los

gerentes de red para diseñar y tomar decisiones operativas relativas al acceso a
la infraestructura de red de datos de la compañía.

Alcance

Esta política va dirigida a todos los funcionarios directos e indirectos, contratistas

de la Alcaldía de San Antonio delo Sena.

Política

Esta política define 5 niveles de confianza. El nivel más bajo se designa "Nivel
0" y es considerado como "no fiable". El nivel más alto es el "Nivel 4" y se
considera que es "de confianza". Los niveles intermedios "Parcialmente-
confianza".

A continuación, la tabla que clasifica las redes y su nivel de confianza:

Nivel Confianza Nombre Usuarios Sistemas

0 Ninguno Internet Todos Público
1 Parcial Público Todos Público
2 Parcial Extranet Funcionarios Interno
3 Parcial Intranet Funcionarios Interno/Confidencial
4 Total Interno Funcionarios Interno/Confidencial

 Las redes de diferentes niveles de confianza no se pueden conectar

directamente entre sí. Los dispositivos de filtrado de paquetes (es decir,
firewall) se deben utilizar para controlar la interconexión de estas redes.
  La política por defecto en los filtros de paquetes será de negar todo el
tráfico entre redes.

 Las desviaciones de la política de "negación predeterminada" para las

conexiones entre dispositivos a través de las redes de los diferentes
niveles, incluidas las conexiones físicas y virtuales, requieren
aprobaciones de excepción por la alta gerencia y personal de seguridad
de la información. Las reglas de control de acceso para estas conexiones
deben especificar la red y direcciones de aplicación / servicio de los
sistemas que se conecten.

 Los equipos regionales de la red administrarán y mantendrán la

distribución y asignación de direcciones de red de acuerdo con el
esquema de asignación de direccionamiento IP global. Las direcciones
empleadas fuera de las redes asignadas y aprobadas no serán permitidas
en la red de la Compañía.

POLÍTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA

INFORMACIÓN Y CONTRASEÑAS

Propósito

Tiene como propósito esta política diseñar mecanismos para la creación y

protección de contraseñas.

Alcance

Aplica para todas las secretarias de la Alcaldía de San Antonio del Sena.
Política

El uso de contraseñas seguras es un aspecto importante de la seguridad

informática. Las siguientes políticas de contraseñas deben ser seguidas por
todos los funcionarios de las Secretarias en la Alcaldía de San Antonio de San
Antonio del Sena:

• Las contraseñas deben tener al menos 8 caracteres de longitud a menos que

existan limitaciones en el sistema operativo o dispositivo utilizado.
• Las contraseñas de usuario no deben contener el nombre del usuario o
Identificación.

• Cuentas genéricas y contraseñas de grupo no se permiten; esto para que la

responsabilidad individual se pueda mantener en todo momento.

• Las cuentas del sistema para los servicios o aplicaciones según sea necesario
deben ser seguras.

• El tiempo mínimo antes de cambiar la contraseña es de un mínimo de 7 días.

• El número de intentos incorrectos permitidos antes de la contraseña se

suspenda es 4.

• Deshabilitar el ajuste de suspender la contraseña en los dispositivos móviles.

Al décimo intento el dispositivo móvil se limpia.

POLÍTICA DE ACCESO REMOTO A LA RED

Propósito

Esta política establece los requisitos para la conexión a la red del grupo de
entidades (empresas, proveedores, usuarios) de sistemas o hosts que no son
parte de la red de datos de la compañía. Esta actividad se conoce generalmente
como acceso remoto.

La posibilidad de acceder a los sistemas de datos de la compañía desde

cualquier lugar en el mundo aumenta en gran medida la productividad de los
usuarios móviles. En algunos casos, esto es el único medio disponible para hacer
una conexión de red.

Alcance

Esta política se aplica a todos los funcionarios, contratistas, consultores, los

temporales y otros trabajadores de la Alcaldía de San Antonio del Sena y sus
Secretarias (unidades de negocio).
Política

 El acceso remoto a todos los sistemas de datos de la Alcaldía de San

Antonio del Sena, sólo se permite en las actividades de administración
aprobadas.

 El acceso remoto a todos los sistemas de datos de la Alcaldía de San

Antonio del Sena, deben adherirse a estrictos controles de contraseña y
protección.

 Se requiere autenticación de usuario para obtener acceso a las redes

corporativas y el sistema. Cada usuario que está autorizado a utilizar el
acceso remoto tendrá una cuenta de inicio de sesión único. Queda
prohibido el intercambio de cuentas de acceso.

 Equipos o sistemas que se utilizan para las conexiones de acceso remoto

no deben también estar conectados a otras redes durante la sesión de
acceso remoto, con la excepción de las redes personales que están bajo
el control completo del usuario. En circunstancias en las que esto ocurre,
el sistema remoto debe estar asegurado por un cortafuegos (Firewall).

 Todos los equipos que se utilizan para las conexiones de acceso remoto
deben cumplir con las normas de la empresa para la detección de virus.

POLÍTICA DE SOFTWARE COMO UN SERVICIO

Propósito

Esta política proporciona la autoridad para revisar y aprobar de cualquier uso o

propuesta de uso de capacidades de " Software como un Servicio " (SaaS1: por
sus siglas en inglés). También proporciona un conjunto mínimo de requisitos y
riesgos que deben ser abordados en esas revisiones.

Cuando se contratan servicios de terceros para contar con Acceso a CRM

(Customer Relationships Management), ERP (Enterprise Resource Planning) o
cualquier otro aplicativo que no esté físicamente en las Instalaciones de la
Alcaldía, sino en servidores de terceros en otras partes del mundo, esto implica
que información del negocio, estará en el poder de este tercero y se deben tomar
medidas para evitar divulgación de información sensible.
Alcance

Aplica para cualquier Secretaria (unidad de negocio) que utiliza software de

terceros para procesar su trabajo.

Política

En el área de IT, se debe verificar que los proveedores de soluciones

tecnológicas tipo SAAS cumplan con los siguientes lineamientos:

 Cumplimiento de la normativa aplicable.

 Acceso y confiabilidad de la red.
 Disposiciones del contrato y la fijación de precios.
 Seguridad de los datos y la ubicación física de los datos.
 Integración con los servicios existentes o planeados al interior de la
Alcaldía, aplicaciones y capacidades de la empresa.
 Administración y gobierno de acceso a datos.
 Cumplimiento del contrato del cliente en el uso de estos servicios, según
corresponda.
 Cumplimiento de las políticas de la Alcaldía de San Antonio del Sena.
 Fiabilidad del servicio, compromiso SLA, mantenimiento de la integridad
de los datos y propiedad y control de datos.
 Revisión de las capacidades de seguridad, certificaciones y prácticas del
proveedor.
 Revisión de las prácticas y procesos de desarrollo de aplicaciones de los
proveedores. Uso de procesos y herramientas de desarrollo de
aplicaciones seguras.
 Capacidades de los proveedores para realizar copias de seguridad y
recuperación de desastres.

Responsables

Todas las personas definidas en el marco de esta política se cumplirán

plenamente con la política. Los infractores estarán sujetos a medidas
disciplinarias que pueden resultar en la terminación de su empleo. Todas las
acciones se ajustarán a las leyes laborales aplicables.

El Jefe de Información de la Alcaldía de San Antonio del Sena es responsable

del mantenimiento y la distribución de esta política y de proporcionar orientación
a la Administración Ejecutiva sobre los requisitos de conformidad de esta política.
La Administración Ejecutiva es responsable de la ejecución y cumplimiento de
esta política dentro de sus respectivas Unidades de Negocio.

POLÍTICA DE SEGURIDAD DE REDES INALAMBRICAS

Propósito

La conexión de nodos por medio de ondas electromagnéticas que permiten que

las personas estén conectadas al Router sin necesidad de un cable UTP, es más
conocido como las Redes Inalámbricas y dentro de la Alcaldía se requiere que
este tipo de red sea monitoreado y que cuente con software especializado que
verifique la entrada y salida de paquetes, debido a que en reuniones o acceso a
clientes o usuarios será necesario dar un acceso restringido para consultar datos
como impuestos, planes y demás procesos importantes para brindar un
excelente servicio al público.

Alcance

Aplica para todos los funcionarios, clientes o proveedores que, debido a su

trabajo, requieren utilizar la red inalámbrica para presentaciones o consultas de
vital importancia que no comprometerán la seguridad de la red LAN interna.

Política

El control de la Red Lan Interna y la Red Wlan es diferente, debido a que los
procesos del día a día deben necesariamente por medio de la Red Lan, pero
aquellos procesos que no sean tan robustos, consultas, reportes y procesos
livianos deben controlarse por medio de la Red Wifi Lan, así que las políticas
aquí descritas no se mezclan en los dos tipos de redes, solo aplica para la Red
Inalámbrica.

 Las redes inalámbricas deben emplear el uso de al menos uno de los

siguientes mecanismos de autenticación.

o Implementar protocolo de autenticación extensible (EAP) y IEEE 802.1X

para proporcionar control de acceso autenticado en el punto de acceso
inalámbrico (AP).
o Donde se implementen huéspedes inalámbricos se requiere autenticación
de usuario y autorización de acceso.
  Las redes inalámbricas deben emplear el uso de los siguientes
mecanismos de encriptación.

o AES - Estándar de encriptación avanzado

o WPA2-empresarial con EAP-TTLS - Wi-Fi protegido
o acceso2

 La encriptación es obligatoria para cualquier acceso a la red WLAN

corporativa.
 Redes de huéspedes inalámbricos no pueden tener acceso a la red de la
Alcaldía de San Antonio del Sena.

 Los Puntos de Acceso (AP) deben estar asegurados físicamente para

evitar el robo.

 Sólo se puede usar dispositivos inalámbricos, puntos de acceso, y las

redes aprobados por la administración. El uso y la instalación de los
dispositivos inalámbricos o sistemas no autorizados están prohibido. La
instalación o el uso de estos dispositivos "clandestinos" están sujetos a
una acción disciplinaria.

 Las redes WLAN son susceptibles a ataques de negación de servicios;

los dispositivos que requieren alta disponibilidad no deben confiar en
redes WLAN como el único método de conexión.

 Todo el acceso a redes WLAN debe estar registrado y regularmente

auditado para determinar que se cumplan todos los requisitos de la
política y que los usuarios no autorizados sean detectados.

Responsables

Todas las personas (Funcionarios, Contratistas, Proveedores o Clientes) que por

sus operaciones deben estar conectados a la Red inalámbrica, deben cumplir
esta política.