Politicas Seguridad Informatica

POLITICAS DE SEGURIDAD Nomenclatura UDNET07-
INFORMATICA Fecha 28-05-2007

UNIVERSIDAD DISTRITAL FRANCISCO
Página 1 de 104
JOSE DE CALDAS
1. SEGURIDAD LÓGICA
1.1. SEGURIDAD DEL SOFTWARE
1.1.1. SISTEMAS DE CONTROL DE ACCESO
1.1.1.1. ADMINISTRACIÓN DE CONTRASEÑAS
1.1.1.1.1. CONSTRUCCIÓN DE CONTRASEÑAS Y CÓDIGOS DE
IDENTIFICACIÓN DE USUARIO
1. Longitud de la contraseña
Política: La Universidad Distrital debe tener en la longitud de las contraseñas un mínimo de seis
(6) caracteres y una longitud máxima de 255 caracteres.
2. Contraseñas difíciles de descifrar
Política: Los usuarios de la Universidad Distrital deben entender que todas las contraseñas
escogidas por el usuario para ingresar a los sistemas deben ser difíciles de descifrar.
En general, no se deben utilizar palabras de un diccionario, derivados del usuario-ID, series de

caracteres comunes tales como “123456”. Así mismo, no se deben emplear detalles personales
a menos que estén acompañadas por caracteres adicionales que no tengan ninguna relación.
Las contraseñas escogidas por el usuario tampoco deben formar parte de una palabra. Por
ejemplo, no se deben emplear nombres propios, sitios geográficos, acrónimos comunes y jerga
común.
3. Prohibición de utilizar contraseñas cíclicas
Política: Los usuarios de la Universidad Distrital no deben constituir contraseñas compuestas

por caracteres que no cambien o combinaciones con cierto número de caracteres que no
cambian predeciblemente. Es decir, que no se deben utilizar caracteres que típicamente cambian
tal como el mes, un departamento, un proyecto o algún otro factor que fácilmente puede
adivinarse (por ejemplo, “X34JAN” en Enero, “X34FEB” en Febrero y así sucesivamente.
4. Uso de contraseñas repetidas
Política: Los usuarios de la Universidad Distrital no deben construir contraseñas que sean
idénticas o muy similares a contraseñas utilizadas anteriormente.
5. Contraseñas con caracteres alfabéticos y no alfabéticos.
Política: Los usuarios de la Universidad Distrital deben saber que todas las contraseñas deben
tener al menos un carácter alfabético y uno no alfabético; se consideran caracteres no
alfabéticos los números y los signos de puntación, de igual manera se pueden utilizar caracteres
no impresos.
6. Contraseñas con letras mayúsculas y minúsculas
Política: Todas las contraseñas escogidas por el usuario de la Universidad Distrital deben tener
por lo menos un carácter alfabético en minúscula y otro en mayúscula. Esto ayudará para que
las contraseñas sean más difíciles de descifrar por personas no autorizadas.
7. Contraseñas generadas por el sistema
Red de datos – UDNet – Documento Interno de Trabajo Página 1

Página 2 de 104
JOSE DE CALDAS
Política: Si el usuario de la Universidad Distrital usa contraseñas generadas por el sistemas,

éstas se deben generar teniendo como base el tiempo del reloj u alguna otra parte del sistema
de procedencia impredecible que cambie frecuentemente.
8. Contraseñas generadas por el sistema fácilmente pronunciables
Política: Los usuarios de la Universidad Distrital debe entender que todas las contraseñas
generadas por el sistema deben ser fácilmente pronunciables, esto con el fin de que el usuario
pueda recordarlas más fácilmente y no necesite escribirlas.
9. Almacenamiento de las contraseñas generadas por el sistema
Política: Los usuarios de la Universidad Distrital sabrán que Cuando las contraseñas o números
de identificación personal (PIN’s) sean generados pro el sistema de computador, se deben emitir
inmediatamente después de su generación. Además, las contraseñas y PIN’s no emitidos nunca
de deben almacenar en los sistemas del computador.
10. Eliminación de los medios utilizados en la generación de las contraseñas
Política: Los usuarios de la Universidad Distrital sabrán que todos los medios de
almacenamiento utilizados en el proceso de construcción, asignación, distribución o encripción
de contraseñas o PIN’s se deben someter a un proceso de eliminación (zeroización) inmediatamente
después de ser usados.
Cuando las contraseñas o PIN’s son generados por el sistema, es necesario borrar todo residuo
de información que se haya usado en el proceso.
Adicionalmente, las áreas de la memoria del computador usadas en la generación de

contraseñas o PIN’s deben eliminarse inmediatamente después de usarlas.
11. Protección de los algoritmos que se utilizan en la generación de las contraseñas
Política: Los funcionarios de la Universidad Distrital entenderán que todo programa y archivo
que contenga fórmula, algoritmo u otras especificaciones que se utilicen para la generación de
las contraseñas por medio del sistema de computación debe estar controlado con las más altas
medidas de seguridad que éste proporcione.
12. Archivo histórico de contraseñas
Política: Los funcionarios de la Universidad Distrital entenderán todo equipo multi-usuario debe
tener un software local que mantenga un archivo histórico encriptado de las contraseñas
utilizadas por cada usuario, esto con el fin de prevenir que los usuarios vuelvan a utilizarlas.
Dicho archivo debe contener por lo menos las veinte (20) últimas contraseñas por cada usuario.
1.1.1.1.2. DISEÑO DE INTERFACES DE CONTRASEÑAS DE USUARIO DEL

SISTEMA
13. Visualización de contraseñas
Política: Los funcionarios de la Universidad Distrital entenderán que las contraseñas en pantalla
o impresas no se deben presentar, esto con el fin de evitar que personas no autorizadas las
puedan observar o recuperarlas.

Página 3 de 104
JOSE DE CALDAS
14. Cambio periódico obligatorio de la contraseña
Política: Los funcionarios de la Universidad Distrital entenderán que el sistema debe obligar
automáticamente a que todos los usuarios cambien sus contraseñas al menos una vez cada sesenta
(60) días.
15. Cambio obligatorio de la contraseña al acceder por primera vez al sistema
Política: Los funcionarios de la Universidad Distrital entenderán que las contraseñas

inicialmente emitidas por un administrador de sistema deben ser validas solamente para la
primera conexión del usuario, momento en el cual el usuario debe cambiar la contraseña antes
de realizar cualquier otro trabajo.
16. Limite de intentos consecutivos infructuosos para ingresar la contraseña
Política: Los funcionarios de la Universidad Distrital entenderán que después de cinco (5)
intentos consecutivos e infructuosos de ingreso de la contraseña el sistema debe: (a) Suspender
el acceso del usuario hasta que el administrador del sistema lo ponga a funcionar nuevamente y
(b) Incapacitarlo temporalmente por no menos de tres minutos.
17. Proceso de identificación personal ante el sistema
Política: Los funcionarios de la Universidad Distrital entenderán que en el momento en que el

usuario va a ingresar a la red y/o al sistema del computador, se debe solicitar una combinación
de la identificación (ID de usuario) y de una contraseña.
1.1.1.1.3. ALMACENAMIENTO, PROTECCIÓN Y RESPALDO DE LAS

CONTRASEÑAS
18. Contraseñas ilegibles en estaciones de trabajo externas
Política: La Universidad Distrital entenderán las contraseñas fijas nunca deben estar en forma
legible fuera de la entidad en estaciones de trabajo.
19. Protección de contraseñas enviadas a través de correo
Política: La universidad Distrital define que si las contraseñas se envían por correo regular o
sistemas físicos de distribución similares, éstas se deben enviar separadamente de los ID de de
usuario. Estos correos no deben tener ninguna marca indicando la naturaleza del contenido.
También se deben ocultar dentro de un sobre en papel oscuro que no revele fácilmente su
contenido.
20. Almacenamiento de contraseñas en formato legible
Política: La Universidad Distrital define que las contraseñas no se deben almacenar en forma legible
en archivos batch, manuscritos de log-in automáticos, software de macros, terminales,
computadores sin controles de acceso o en otros sitios donde personas no autorizadas puedan
descubrirlas.
21. Encripción de contraseñas
Política: La Universidad Distrital define que las contraseñas siempre deben ser encriptadas
cuando se almacenen por cualquier periodo de tiempo significativo o cuando sean transmitidas

Página 4 de 104
JOSE DE CALDAS
por las redes. Lo anterior evitará que sean descubiertas por interceptores de líneas telefónicas o
telegráficas, personal técnico que lea los sistemas de log’s u otras partes no autorizadas.
22. Incorporación de contraseñas dentro del software
Política: La Universidad Distrital precisa que las contraseñas no se deben incorporar dentro de
los programas de software, esto para que las contraseñas se puedan cambiar en el momento
que sea necesario.
23. Diseño de sistemas para evitar la recuperación de las contraseñas
Política: La Universidad Distrital precisa que los computadores y sistemas de comunicación

deben ser diseñados, probados y controlados de forma que se prevenga la recuperación de las
contraseñas almacenadas, ya sea que aparezcan encriptadas o no.
24. Confianza del usuario para operar el sistema en el proceso de autenticación
Política: La Universidad Distrital precisa que los desarrolladores de sistemas de aplicación

deben confiar en los controles de acceso y las contraseñas proporcionadas por el sistema para
su operación o por un paquete de control de acceso que lo enlace con el sistema operativo. Los
desarrolladores de sistemas no deben construir otros sistemas separados para coleccionar
contraseñas o códigos de identificación de usuario; igualmente, no deben construir o instalar
otros mecanismos para identificar o autenticar la identidad de los usuarios sin un permiso del
administrador de seguridad de información corporativa o quien desempeñe sus funciones.
25. Control de acceso al sistema con contraseña individuales para cada usuario
Política: La Universidad Distrital precisa que el sistema de control de acceso al computador y al

sistema de comunicación de debe realizar por medio de contraseñas únicas para cada usuario,
es decir que no se admite el acceso a archivos, base de datos, computadores y otros recursos
del sistema por medio de contraseñas compartidas.
26. Cambio de las contraseñas proporcionados por el fabricante (Contraseñas por defecto)
Política: La Universidad Distrital precisa que todas las contraseñas de fabrica proporcionadas
por el fabricante se deben cambiar antes que la entidad utilice cualquier sistema de computación o
de comunicaciones para sus negocios.
1.1.1.1.4. CONTRASEÑA RELACIONADA CON LAS RESPONSABILIDADES

DEL USUARIO
27. Utilización de contraseñas diferentes cuando se tiene acceso a varios sistemas
Política: La Universidad Distrital precisa que si un usuario tiene acceso a varios sistemas de
información, se deben emplear contraseñas diferentes para cada uno de los sistemas a los
cuales tiene acceso.
28. Permisos para usar la misma contraseña en diferentes sistemas
Política: La Universidad Distrital precisa que los usuarios deben abstenerse de utilizar el mismo
código o contraseña en múltiples sistemas de computación de la entidad, a menos que el
departamento de seguridad de información les haya informado por escrito que si lo hacen
indebidamente comprometen la seguridad.

Página 5 de 104
JOSE DE CALDAS
29. Cambio de contraseña cuando se sospecha que ha sido descubierta
Política: La Universidad Distrital precisa que todas las contraseñas se deben cambiar tan pronto
como se sospeche que han sido descubiertas o que podrían conocerlas personas no
autorizadas.
30. Cambios de la contraseña o códigos claves después del mantenimiento a un computador o

sistema de información
Política: La Universidad Distrital precisa que cuando un sistema del computador multi-usuario
emplea contraseñas o códigos clave fijos como su mecanismo de control de acceso principal,
éstos deben cambiar inmediatamente finalice el mantenimiento.
31. Escribir las contraseñas y dejarlas en donde otros pueden descubrirlas.
Política: La Universidad Distrital precisa que no se deben escribir las contraseñas y dejarlas en
lugares donde personas no autorizadas puedan descubrirlas.
32. Escribir contraseñas usando técnicas secretas
Política: La Universidad Distrital precisa que los usuarios no deben escribir sus contraseñas a
menos que: (a) ellos hayan realmente ocultado estas contraseñas en un número de teléfono o
con otros caracteres aparentemente no relacionados, o (b) que ellos hayan usado un sistema de
código para ocultar la contraseña.
33. Prohibición de contraseñas compartidas
Políticas: La Universidad Distrital precisa que no importa las circunstancias, las contraseñas
nunca deben ser compartidas o reveladas a nadie más que al usuario autorizado. Hacerlo
expone al usuario autorizado a responsabilizarse de acciones que otras personas hagan con la
contraseña. Si los usuarios necesitan compartir información permanentemente del computador, ellos
deben usar correo electrónico, directorios públicos, en los servidores de red del área local u otros
mecanismos.
34. Usuarios responsables de todas las actividades involucrando su código de identificación de

usuario
Política: La Universidad Distrital precisa que los usuarios son responsables de todas las
actividades llevadas a cabo con su código de identificación de usuario. Los códigos de
identificación de usuario no pueden ser utilizados por nadie más, sino por aquellos a quienes se
les ha espedido. Los usuarios no deben permitir que otros realicen ninguna actividad con sus
códigos de identificación de usuario. Así mismo, se les prohíbe a los usuarios que realicen
cualquier actividad con códigos de identificación de usuario que pertenezcan a otros usuarios
(exceptuando identificadores de usuario anónimo).
1.1.1.1.5. CONTRASEÑAS RELACIONADAS CON LAS

RESPONSABILIDADES DEL ADMINISTRADOR
35. Cambio forzoso de todas las contraseñas
Política: La Universidad Distrital precisa que siempre que un sistema ha sido atendido por partes
no autorizadas, los administradores del sistema deben cambiar inmediatamente cada contraseña

Página 6 de 104
JOSE DE CALDAS
en el sistema. Incluso si sospechan de un arreglo se requiere que todas las contraseñas se

cambien inmediatamente. En cualquiera de las circunstancias, una versión verdadera del manejo
del sistema y de todo el software relacionado con seguridad debe también volverse a cambiar.
Así mismo bajo ninguna de estas circunstancias, todos los cambios recientes al usuario y
privilegios del sistema deben revisarse para modificaciones no autorizadas.
36. Acreditación personal de identidad para obtener una contraseña.
Política: La Universidad Distrital precisa que las contraseñas nunca deben descubrirse por
medio de líneas telefónicas. Para obtener una nueva contraseña o para cambiarla, un usuario
debe presentarse en persona y acreditar la identificación adecuada.
37. Cuándo y cómo las contraseñas pueden ser descubiertas por los administradores de
seguridad
Política: La Universidad Distrital precisa que los administradores de seguridad solamente

pueden descubrir contraseñas si una nueva identificación de usuario es adscrita o si el usuario
en cuestión ha olvidado o refundido una contraseña. Los administradores de seguridad no deben
revelar una contraseña a menos que el usuario haya proporcionado primero dos muestras de
evidencia definitiva sustentando su identidad.
1.1.1.2. PROCESO DE LOG-IN
38. Requerimiento de identificación positiva para el uso del sistema
Política: La Universidad Distrital precisa que todos los usuarios deben estar identificados
positivamente antes de poder usar cualquier computador multi-usuario o recursos de sistemas de
comunicación.
39. Identificador de usuario y contraseña requerido para conectarse al computador de la red
Política: La Universidad Distrital precisa que todos los usuarios deben tener su identidad
verificada con un identificador de usuario y una contraseña o por otros medios que proporcionen
una seguridad igual o mayor antes de permitirles usar computadores de la entidad conectados a
la red.
40. Requerimientos de identificador de usuario único y de contraseña
Política: La Universidad Distrital precisa que todos los usuarios deben tener un identificador de
usuario único y una contraseña secreta. Este identificador de usuario y la contraseña secreta
serán requeridos para tener acceso a los computadores multi-usuario de la entidad y las redes
del computador.
41. Descubrimiento de Información de Log-in incorrecta
Política: La Universidad Distrital precisa que cuando se haga el log-in dentro del computador de
la entidad o a la información en sistemas de comunicaciones y es incorrecta alguna parte de la
recuenta del log-in, al usuario no se le debe retroalimentar indicando la fuente del problema en forma
especifica. En vez de esto, al usuario debe simplemente informársele que el proceso de lon-in
estuvo incorrecto.
42. Prohibición contra cualquier retroalimentación en respuesta a un log-in incorrecto

Página 7 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que cuando se haga el log-in a un computador de la entidad
o la información en el sistema de comunicación y es incorrecta alguna parte de la secuencia
de log-in, el usuario no debe dar ninguna retroalimentación indicando la fuente del problema. En
lugar de esto, el sistema debe terminar la sesión o esperar la información de log-in correcta para
entrarla.
43. Banderas (flags) de advertencia de seguridad en el sistema de acceso
Política: La Universidad Distrital precisa que todo proceso de log-in para computadores multi-
usuario debe incluir una advertencia especial. Esta advertencia debe indicar: (a) el sistema es
para ser usado solamente por usuarios autorizados y (b) el continuo uso del sistema por el
usuario indica que el/ella es un usuario autorizado.
44. Revelación de banderas de información en el sistema de Log-in
Política: La Universidad Distrital precisa que todas las banderas de lon-in en la red conectada al
sistema del computador de la entidad deben preguntar al usuario simplemente el log-in,
proporcionando los indicadores cuando éstos se necesiten. La información especifica acerca de
la organización, el sistema de operación del computador, la configuración de la red, u otros
asuntos internos no debe ser suministrada en la bandera del log-in hasta que el usuario haya
proporcionado en forma adecuada un identificador de usuario y una contraseña.
45. Enunciar la bandera del lon-in de la red
Política: La Universidad Distrital precisa que la siguiente advertencia debe usarse cuando los
usuarios se conectan a las redes internas del computador de la entidad. “Este sistema es
solamente para uso de usuarios autorizados. Quienes usen este sistema de computador sin
autorización, o excediendo su autoridad, están sujetos a que todas sus actividades llevadas a
cabo en ese sistema sean monitoreadas y grabadas por el personal del sistema. En el caso de
monitorear individuos usando en forma inapropiada este sistema, o en caso del mantenimiento
del sistema, las actividades de usuarios autorizados también pueden ser monitoreadas.
Cualquiera que use este sistema accede expresamente a aceptar este monitoreo y se les
advierte que si el monitoreo revela cualquier posible actividad criminal, el personal del sistema
puede proporcionar a los oficiales que ejercen la ley dicha evidencia”.
46. Observación sobre el último log-in con hora y fecha
Política: La Universidad Distrital precisa que en el momento del log-in, se debe dar a cada
usuario la información indicando la última hora y fecha del último log-in. Esto permitirá detectar
fácilmente el uso no autorizado del sistema.
47. Prohibición de sesiones simultáneas múltiples en línea
Política: La Universidad Distrital precisa que a menos que se tenga un permiso especial
concedido por el administrador del sistema, los sistemas del computador no deben permitir que
ningún usuario maneje simultáneamente sesiones múltiples cuando esté en línea.
48. Proceso automático de log-off
Política: La Universidad Distrital precisa que si no ha habido actividad en el terminal de un

computador, la estación de trabajo o microcomputadores (PC) durante diez (10) minutos, el
sistema automáticamente debe borrar la pantalla y suspender la sesión. El re-establecimiento de
la sesión debe hacerse solamente después de que el usuario haya proporcionado la contraseña.

Página 8 de 104
JOSE DE CALDAS
49. Abandonar los sistemas sensitivos sin ejecutar log-off
Política: La Universidad Distrital precisa que si el sistema del computador al cual los usuarios
están conectados contiene información sensible o valiosa, éstos no deben abandonar su
microcomputador (PC), estación de trabajo o terminal, sin hacer primero log-off.
50. Log-off de los computadores personales conectados a las redes
Política: La Universidad Distrital precisa que si los computadores personales (PCs) están
conectados a una red, cuando no estén en uso deben siempre estar en log-off.
1.1.2. CONTROL DE PRIVILEGIOS

1.1.2.1. USO DE LOS SISTEMAS
51. No se deben almacenar juegos ni usar los sistemas del computador de la entidad para estas
actividades
Política: La Universidad Distrital precisa que no deben almacenarse ni usarse juegos en ninguno
de los sistemas del computador de la entidad.
52. Uso personal del computador y sistemas de comunicación
Política: La Universidad Distrital precisa que el computador de la entidad y los sistemas de

comunicación deben usarse solamente para asuntos de negocios. Se permite su uso para fines
personal únicamente con permiso especial del administrador del departamento.
53. Permisos para uso personal ocasional de los sistemas de la entidad
Política: La Universidad Distrital precisa que los sistemas de información de la entidad deben usarse
solamente para trabajos relacionados con actividades de la misma. El uso personal ocasional
puede permitirse si: (a) no se consume más que una cantidad mínima de los recursos que podrían,
en otra forma, usarse para asuntos del negocio, (b) no interfiere con la productividad del
trabajador, y (c) no se apropia de ningún tipo de actividad comercial, se podría permitir el uso del
sistema por correo electrónico, por ejemplo, enviar un mensaje para programar un almuerzo.
54. Prohibición contra los usos no aprobados del sistema
Política: La Universidad Distrital precisa que los suscriptores de los servicios de computación y
comunicación de la entidad no deben usar estas facilidades para asuntos comerciales
personales venta de productos o bien para comprometerse en otras actividades comerciales que
no sean aquellas expresamente permitidas por la dirección de la entidad.
55. Prohibición del uso de Internet con fines personales.
Política: La Universidad Distrital precisa que el uso de los sistemas de información de la entidad
para tener acceso a Internet con fines personales no será tolerado y puede considerarse causa
para una acción disciplinaria e inclusive la destitución. Todos los usuarios de Internet deben
estar enterados que estas pruebas dar lugar a auditoria detallada del log que refleje ambas
transmisiones, en el límite y fuera del límite.
56. Uso personal de las facilidades de Internet de la entidad solamente en las horas libres

Página 9 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que la administración de la entidad estimula a los

empleados a que exploren en Internet, pero si esta exploración es para fines personales, debe
hacerse en sus horas libres y no en horas de trabajo de la entidad. Así mismo, noticias, grupos
de discusión, juegos y otras actividades que definitivamente no están dentro de sus obligaciones
laborales deben hacerse en las horas libres del empleado y no en las horas de trabajo.
57. Límite en el uso del tiempo libre y actividades prohibidas
Política: La Universidad Distrital precisa que el uso circunstancial del computador de la entidad y
de los sistemas de comunicación es permitido mientras que su uso sea restringido a las horas
libres de cada usuario. Este uso personal no debe incluir trabajo adicional o la búsqueda de otro
puesto, participación en actividades de juego por dinero o comprometerse en actividades
políticas o de caridad.
58. Conceder códigos de identificación de usuarios a extraños
Política: La Universidad Distrital precisa que no se puede conceder o dar cierto tipo de prerrogativas
con los códigos de identificación de usuarios a individuos que no sean empleados, contratistas o
consultores para usar los computadores de la entidad o de los sistemas de comunicación, a menos
que primero se obtenga la aprobación por escrito del departamento de seguridad de información.
59. Las prerrogativas de acceso a los sistemas de información se terminan cuando el trabajador
se retira de la entidad.
Política: La Universidad Distrital precisa que todas las prerrogativas para el uso de los sistemas
de información de la entidad deben terminar inmediatamente después de que el trabajador cesa
de prestar sus servicios a la entidad.
60. Responsabilidad por daño a información y a programas por negligencia
Política: La Universidad Distrital precisa que la entidad usa controles de acceso y otras medidas
de seguridad para proteger la veracidad, integridad y disponibilidad de la información manejada
por computadores y sistemas de información. Para mantener estos objetivos la administración
debe tener la autoridad para:
a. Restringir o derogar cualquiera de los privilegios del usuario,

b. Inspeccionar, copiar, remover o bien alterar algún dato, programa u otro sistema que
pueda socavar estos objetivos y
c. Tomar cualquier otra acción que estime necesaria para manejar y proteger sus sistemas
de información. Esta autoridad puede emplearse con o sin notificación a los usuarios. La
entidad desconoce cualquier responsabilidad por la pérdida o daño a la información o
software que resulte de sus esfuerzos para lograr estos objetivos de seguridad.
61. El acceso no autorizado por medio de los sistemas de información de la entidad
Política: La Universidad Distrital precisa que se prohíbe a los funcionarios que usen los sistemas
de información de la entidad para tener acceso no autorizado a cualquier otro sistema de información
o de cualquier forma dañar, alterar o desbaratar las operaciones de estos sistemas. Del mismo
modo se les prohíbe capturar o de otra forma obtener contraseñas, contraseñas encriptadas o
cualquier otro mecanismo de control de acceso que pueda permitirles un acceso no autorizado.

Página 10 de 104
JOSE DE CALDAS
1.1.2.2. ADMINISTRACIÓN DE CONTROL DE ACCESO A LA INFORMACIÓN
62. Controles de acceso al sistema del computador
Política: La Universidad Distrital precisa que toda la información del computador principal que
sea sensible, critica o valiosa debe tener controles de acceso al sistema para garantizar que no
sea inapropiadamente descubierta, modificada, borrada o no adaptable.
63. Regulación por el control de acceso a los sistemas del software
Política: La Universidad Distrital precisa que todo el software instalado en los sistemas multi- usuario
de la entidad debe regularse por el control de acceso apropiado a los sistemas software. Esto
significa que una sesión de un usuario inicialmente debe controlarse por los sistemas software
de control de acceso apropiado y si se tienen permisos determinados el control será transferido al
software separado instalado.
64. Separación de las políticas de acceso de información especifica
Política: La Universidad Distrital precisa que la administración debe establecer políticas

específicas escritas considerando las categorías de la gente a quienes se les otorgará permisos
para tener acceso a varios tipos de información. Estas políticas también deben especificar las
limitaciones en el uso de esta información por aquellas personas a quienes se les ha otorgado el
acceso.
65. Asignación de pertenencia de la información
Política: La Universidad Distrital precisa que la administración debe claramente especificar por
escrito la asignación de las responsabilidades de pertenencia para bases de datos, archivos
principales y otra información compartida. Estas declaraciones deben también indicar los
individuos a quienes se les ha dado autoridad para originar, modificar o borrar tipos específicos
de información encontrada en estos conjuntos.
66. Permisos para tener acceso a información delicada no leída
Política: La Universidad Distrital precisa que los funcionarios a quienes se les ha autorizado ver
información clasificada de un cierto delicado nivel se les deben permitir el acceso solamente a
información a ese nivel o a niveles menos delicados.
67. Permisos para tener acceso a información delicada no escrita
Política: La Universidad Distrital precisa que los funcionarios nunca deben tener autorización
para mover información clasificada de un cierto nivel delicado a un menor nivel a menos que sea
parte del proceso apropiado de desclasificación.
1.1.2.3. SEPARACIÓN DE USUARIOS
68. Separación de actividades y datos de usuario a usuario
Política: La Universidad Distrital precisa que la administración debe definir los privilegios del usuario
para que usuarios comunes no puedan logar acceso o de otra forma interferir con actividades
individuales o datos privados de otros usuarios.
Red de datos – UDNet – Documento Interno de Trabajo Página

1010
Página 11 de 104
JOSE DE CALDAS
69. Permisos para archivos por defecto para sistemas de la red
Política: La Universidad Distrital precisa que los permisos de control de acceso al archivo para
todos los sistemas de la red de la entidad deben fijarse por defecto para poder bloquear el
acceso a usuarios no autorizados.
70. Capacidades del usuario para el acceso de archivos y su implicación en cuanto al uso
Política: La Universidad Distrital precisa que los usuarios no deben leer, modificar, borrar o
copiar archivos que pertenezcan a otro sin obtener primero permiso del propietario del archivo. A
menos que el acceso general haya sido claramente proporcionado, la habilidad de leer,
modificar, borrar o copiar un archivo que pertenezca a otro usuario no implica que el usuario
tenga permiso para realizar estas actividades.
71. Códigos de identificación de usuarios que identifiquen únicamente a un usuario en particular
Política: La Universidad Distrital precisa que cada computador o sistema de comunicación debe
únicamente identificar uno y solamente un código de identificación por usuario. Códigos de
identificación de usuario para grupos o que sean compartidos no son permitidos.
72. Prohibición de identificadores de usuario genéricos basados en funciones del cargo
Política: La Universidad Distrital precisa que se prohíbe tener identificadores de usuario

genéricos basados en sus funciones de trabajo. En cambio, los identificadores de usuario deben
únicamente identificar individuos específicos.
73. Prohibición de la reutilización de códigos de identificación de usuario
Política: La Universidad Distrital precisa que cada código de identificación de usuario debe ser único
y solamente habilitarse con el código de usuario que le ha sido asignado. Después que un
funcionario se retira de la entidad no debe volverse a usarse ninguno de los códigos asignados
anteriormente.
1.1.2.4. PRIVILEGIOS ESPECIALES
74. Respaldo para usuarios con privilegios especiales
Política: La Universidad Distrital precisa que todos los sistemas del computador multi-usuario y
de la red deben emplear un tipo especial de identificador de usuario que ha definido ampliamente
los privilegios del sistema. A su vez, este identificador de usuario permite que los usuarios
autorizados cambien el estado de los sistemas de seguridad
75. Restricción de privilegios especiales del sistema
Política: La Universidad Distrital precisa que los privilegios especiales del sistema, tales como la
habilidad de examinar los archivos de otros usuarios, deben restringirse a aquellos que sean
directamente responsables del manejo y/o seguridad del sistema. Estos privilegios deben
otorgarse solamente a aquellas personas que han tenido y aprobado entrenamiento especial
como administrador de los sistemas.
76. Número limitado de identificadores de usuario privilegiados

1111
Página 12 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que el número de identificadores de usuario

privilegiados debe limitarse estrictamente a aquellos individuos que absolutamente deben tener
estos privilegios.
77. Identificadores de usuario para administrar todos los sistemas
Política: La Universidad Distrital precisa que los administradores de los sistemas multi-usuario
deben tener por lo menos dos identificadores de usuario. A uno de estos identificadores debe
proporcionársele el acceso privilegiado, el otro debe ser un identificador ordinario que lleve a
cabo el trabajo diario de un sistema común.
78. Reflejo de log-in sobre la actividad del identificador de usuario privilegiado
Política: La Universidad Distrital precisa que el crear, divulgar y el privilegio de poder cambiar
toda actividad realizada por los administradores de los sistemas y otros identificadores de
usuario privilegiados debe dar una seguridad de estar logged.
79. Privilegios del usuario por defecto y necesidad para aprobaciones explicitas
Política: La Universidad Distrital precisa que sin una aprobación por escrito de la dirección, los
administradores no deben otorgar a ningún usuario privilegios en el sistema.
80. Aprobaciones requeridas para la creación de identificadores de usuario y asignación

privilegiada
Política: La Universidad Distrital precisa que a usuarios específicos se les pueden otorgar
identificadores de usuario solamente cuando tienen aprobación por anticipado del supervisor
inmediato.
81. Restricción a terceros para tener privilegios
Política: La Universidad Distrital precisa que vendedores o terceras personas solamente deben
tener privilegios en el mantenimiento y cuando el administrador del sistema determine que en verdad
tienen la necesidad de realizar acciones legítimas. Estos privilegios solamente se otorgan durante
el periodo requerido para llevar a cabo las funciones aprobadas.
1.1.2.5. RESTRICCIONES DE OTROS PRIVILEGIOS
82. Tiempo condicional al control de acceso
Política: La Universidad Distrital precisa que todos los sistemas multi-usuario deben emplear
identificadores de usuario y contraseñas para controlar el acceso tanto a la información como a
los programas. Además de este control de acceso, las actividades del usuario deben restringirse
por la hora del día y el día de la semana.
83. Identificadores de usuario y revocación de privilegios automático
Política: La Universidad Distrital precisa que todos los identificadores de usuario deben
automáticamente revocar los privilegios asociados después de un periodo de treinta (30) días de
inactividad.
84. Defecto para negación de privilegios del control de acceso

1212
Página 13 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que si el sistema de control de acceso a un computador

o red no está funcionando apropiadamente, debe ser defecto por negación de privilegios al
último de los usuarios.
85. Gestión inapropiada y revocación de privilegios de acceso
Política: La Universidad Distrital precisa que la administración de la entidad se reserva el

derecho a revocar los privilegios de cualquier usuario en cualquier momento. No se permitirá la
gestión que interfiera con el funcionamiento normal y apropiado de los sistemas de información
de la entidad, que adversamente afecte la capacidad de otros en el uso de estos sistemas de
información, o que sea nocivo u ofensivo.
86. Prohibición para probar controles de información del sistema
Política: La Universidad Distrital precisa que los funcionarios no deben comprobar o intentar arreglar
controles internos a menos que anticipadamente y por escrito haya sido específicamente aprobados
por el administrador del departamento de seguridad informática.
87. Prohibición para explorar vulnerabilidades de los sistemas de seguridad
Política: La Universidad Distrital precisa que los usuarios no deben explorar vulnerabilidades o
deficiencias en la seguridad de los sistemas de información para dañar los sistemas o
información, para obtener recursos mayores a los que han sido autorizados, para tomar recursos
de otros usuarios o para tener acceso a otros sistemas a los cuales no se les ha otorgado una
autorización apropiada. Todas estas vulnerabilidades y deficiencias deben ser reportadas
inmediatamente al administrador del departamento de seguridad informática.
88. Recipiente de selección para distribución de poderosas herramientas de seguridad
Política: La Universidad Distrital precisa que el personal de la entidad debe investigar y validad
la necesidad del recipiente de tener tales herramientas, antes de distribuir identificación
vulnerable del software u otras herramientas que pueden usarse para comprometerla seguridad
de los sistemas de información.
89. Limitaciones de funcionalidad para poderosas herramientas de los sistemas de información
Política: La Universidad Distrital precisa que todas las herramientas de los sistemas de
información construidas o distribuidas por la entidad que puedan usarse para caauar un daño
significativo deben ser automáticamente restringidas para que sean solamente usadas en el (los)
propósito(s) determinado(s).
90. Privilegios para modificar la información comercial en el ambiente de producción
Política: La Universidad Distrital precisa que restringir el uso de los privilegios únicamente a los
funcionarios responsables de la administración para la modificación de la información comercial
de la entidad en el ambiente de producción.
91. Proceso controlado para la modificación de la información comercial en el ambiente de

producción
Política: La Universidad Distrital precisa establecer privilegios para que los usuarios del sistema
puedan modificar información en producción en formas predefinidas para preservar la integridad
de la información y ejecutándose en forma controlada.

1313
Página 14 de 104
JOSE DE CALDAS
92. Actualización de la información comercial en producción
Política: La Universidad Distrital precisa en definir privilegios del sistema para que el personal
que no pertenezca al usuario final responsable (auditores internos, administradores de seguridad
de información, programadores, operarios del computador, etc) no se les permita modificar
directamente los datos de información comercial en el ambiente de producción.
93. Privilegios del personal técnico y cambio de parámetros de control en los sistemas en
producción
Política: La Universidad Distrital precisa que los operadores del computador no deben tener
acceso a modificar los datos y programas en producción, al igual que la funcionalidad del
sistema.
1.1.2.6. ACTIVIDADES ADMINISTRATIVAS
94. Revisión periódicas y reevaluación de los privilegios de acceso del usuario
Política; La Universidad Distrital precisa que la administración debe evaluar el otorgamiento de

los privilegios del sistema a todos los usuarios como máximo cada seis (6) meses.
95. Entrega de los códigos de identificación de usuarios
Política: La Universidad Distrital precisa que los usuarios deben firmar un acuerdo con la entidad
sobre la confidencialidad con el manejo de la información y el acatamiento con las normas de
seguridad del sistema, antes de entregárseles los códigos de identificación de usuario para
ingresar a los sistemas de la entidad.
96. Parámetros y convenciones estándar a utilizar en los sistemas
Política: La Universidad Distrital precisa que para alcanzar un control de acceso seguro a través
de diferentes tipos de sistemas automatizados se debe utilizar estándares para los códigos de
identificación de usuario, nombres estándar para programas y archivos tanto en ambientes de
producción como en desarrollo, nombres de sistemas de información y otras convenciones
utilizadas en tecnología.
97. Administración para todos los computadores de la red
Política: La Universidad Distrital precisa que las configuraciones y parámetros instituidos para
todos los equipos adscritos a la red de la entidad deben cumplir con las políticas y normas sobre
el manejo administrativo, operativo y de control de la seguridad de información.
98. Herramientas de seguridad del sistema
Política: La Universidad Distrital precisa que todo sistema multi-usuario debe contener herramientas
automatizadas que ayuden al administrador de seguridad en la verificación del estado de
seguridad de los sistemas automatizados. Estas herramientas deben contener mecanismos que
sirvan para detectar, informar y corregir problemas de seguridad.
99. Reporte sobre cambios de tareas y responsabilidades

1414
Página 15 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que la dirección de la entidad debe informar oportunamente
sobre todos los cambios de tareas y responsabilidades operativas o administrativas de
los funcionarios a los administradores de los sistemas de seguridad para que actualicen, controlen
y administren los códigos de identificaciones de usuarios.
100.Mantenimiento de código de identificación del usuario Master y Base de Datos privilegiada
Política: La Universidad Distrital precisa que para revocar oportunamente los privilegios en los
registros de los códigos de identificación de usuario almacenados en los sistemas automáticos
deben actualizarse y respaldarse los archivos que los contienen.
101.Transferencia de las tareas una vez el funcionario deja su cargo
Política: La Universidad Distrital precisa que cuando un funcionario deja su cargo con la entidad
tanto los archivos magnéticos como los de papeles los debe recibir el jefe inmediato para
determinar a quién se los asigna delegando específicamente la responsabilidad sobre ellos.
102.Borrado de archivos después que el funcionario se retira
Política: La Universidad Distrital precisa que cuatro semanas después que un funcionario ha
dejado permanentemente la entidad todos los archivos guardados en los directorios del usuario
serán depurados.
1.1.3. ARCHIVOS DE LOGS

1.1.3.1. INFORMACIÓN A INCLUIR EN LOS ARCHIVOS DE LOGS
103.Logs en los sistemas de aplicación que contengan información sensitiva
Política: La Universidad Distrital precisa que todos los sistemas de aplicación en producción que
contengan información sensitiva de la entidad deben generar logs que indiquen cada adición,
modificación, borrado y divulgación de esta información.
104.Eventos relevantes de seguridad a almacenarse en los logs del sistema
Política: La Universidad Distrital precisa que todos los sistemas automáticos que operen y
administren información sensitiva, valiosa o critica para la entidad deben tener archivos logs
donde se tenga evidencia sobre todos los eventos relevantes que se sucedieron con la
información automatizada y con las seguridades necesarias relacionadas con la consulta,
modificación y borrado. Ejemplo sobre seguridades, intentos de adivinar la contraseña, intentos
para usar privilegios que no han sido autorizados, modificaciones al software de aplicación en el
ambiente de producción y modificaciones al software ambiental del sistema.
105.Utilización de los logs de los sistemas de información.
Política: La Universidad Distrital precisa que los archivos de logs que contienen eventos
relevantes de seguridad deben proporcionar suficiente información para apoyar el monitoreo, control
y auditorias sobre la efectividad y cumplimiento con las medidas de seguridad implementadas en la
entidad.
106.Periodos de retención de los logs
Política: La Universidad Distrital precisa que los logs que contienen los registros de los eventos
relevantes de los diferentes sistemas de información deben retenerse por periodos de tiempo

1515
Página 16 de 104
JOSE DE CALDAS
teniendo en cuenta la criticidad relativa de cada uno de ellos y la exigida en forma mandatoría.
Durante este periodo estos logs deben custodiarse en forma segura para que no puedan ser
modificados y para que puedan ser leídos únicamente por personas autorizadas. Estos logs son
importantes para corregir errores, hacer auditorias, recobrar seguridad violada y otras gestiones
relacionadas.
107.Logs con información relevante sobre los aspectos de seguridad
Política: La Universidad Distrital precisa que pare verificar y asegurar que los usuarios ejecuten
sus funciones correctamente en los sistemas automatizados de la entidad uno o más archivos
con los registros de las actividades criticas deben mantenerse custodiadas por un periodo
razonable de tiempo.
108.Retención de los logs de acceso de control privilegiados
Política: La Universidad Distrital precisa que los registros computarizados almacenados en los
logs que reflejan los privilegios de acceso a cada usuario de los sistemas y redes multi-usuario
de la entidad deben mantenerse custodiados por un periodo de tiempo razonable.
109.Reconstrucción de cambios de información de producción
Política: La Universidad Distrital precisa que todas las actividades ejecutadas por los usuarios
que afecten la información de producción deben poderse reconstruir utilizando los archivos de
logs. Para hacer seguimientos a acciones inadecuadas y ejercer control sobre la responsabilidad
de los usuarios.
110.Información que se sospecha como crimen informático o abuso del computador
Política: La Universidad Distrital precisa que para proporcionar evidencia en investigaciones y tomar
acciones administrativas y de carácter legar se debe obtener la información necesaria de los
archivos de seguridad “logs”, los estados del sistema actual y las copias de los archivos (backup) y
de todos los demás potencialmente involucrados cuando se sospecha que ha ocurrido un
crimen informático o abuso en el computador. La información debe custodiarse hasta el momento
en que estime conveniente o determine la alta dirección de la entidad.
111.Logs para la reanudación rápida de actividades de producción del sistema
Política: La Universidad Distrital precisa que las aplicaciones comerciales de carácter vital o
crítico para la entidad requieren tener archivos de log robustos. Todas las aplicaciones
comerciales críticas deben apoyarse en logs que permitan que las actividades del sistema
puedan ser reanudadas dentro de quince (15) minutos, después de presentarse una
contingencia.
112.Arquitectura de los sistemas para actividades que se apoyan en logs
Política: La Universidad Distrital precisa que los sistemas manejadores de base de datos
(DBMS) deben guardar los logs de las actividades del usuario y sus estadísticas que permitan
detectar y disparar alarmas que reflejen eventos sospechosos.
113.Sincronización del reloj para un log adecuado de eventos en la red
Política: La Universidad Distrital precisa que todos los computadores multi-usuario conectados a
la red interna de la entidad deben tener la hora exacta reflejada en el reloj interno.

1616
Página 17 de 104
JOSE DE CALDAS
114.Logs de todos los faxes que entran y salen de la entidad.
Política: La Universidad Distrital precisa que todas las transmisiones de faxes que entren o
salgan de la entidad deben registrarse en un log y guardarse por un periodo de tiempo
determinado. Las máquinas de fax que no generen automáticamente un log de los faxes deben tener
entonces un log manual.
1.1.3.2. MANEJO DE LOS ARCHIVOS DE LOGS
115.Resistencia de logs contra desactivaciones y modificaciones
Política: La Universidad Distrital precisa que los logs deben tener mecanismos de seguridad y
control administrativo resistentes a ataques capaces de detectar y grabar eventos significativos
en aspectos de seguridad automática. Estos ataques incluyen intentos de desactivar, modificar,
intentar o detectar las claves de acceso al software y/o a los mismos logs.
116.Personas autorizadas para consultar los logs.
Política: La Universidad Distrital precisa que todos los logs del sistema y las aplicaciones deben
mantenerse en forma que personas no autorizadas no puedan fácilmente accesarlos. Una
persona no está autorizada si no es miembro del personal de autoría interna o personal de
control de la seguridad. Los usuarios que no estén autorizados deben obtener permiso por
escrito del administrador de seguridad tecnológica.
117.Revisiones regulares a los logs del sistema
Política: La Universidad Distrital precisa que el administrador del sistema o el administrador de

seguridad tecnológica deben periódicamente revisar los diferentes registros de los logs con el fin
de verificar las diferentes violaciones a la seguridad o mal uso de la información en las maquinas
multi-usuario y en los sistemas de información presentando a la administración informes
mensuales de tal comportamiento.
118.Notificación a los usuarios acerca de las violaciones de seguridad registradas en los logs.
Política: La Universidad Distrital precisa que se les debe dar instrucciones y capacitación a los
usuarios sobre las acciones específicas que constituyen violaciones de seguridad. Los usuarios
deben también informarse que tales violaciones estarán controladas mediante controles automáticos
reportados en los logs.
1.2. DESARROLLO DE SOFTWARE Y CONTROL DE CAMBIOS

1.2.1. VIRUS INFORMÁTICOS
119.Los usuarios no deben intentar erradicar virus del computador
Política: La Universidad Distrital precisa que si los usuarios sospechan que hay infección por un
virus ellos deben parar de usar el computador, desconectarlo de todas las redes y llamar al
encargado solicitando la ayuda.
120.La eliminación de virus informáticos por parte de los usuarios finales requiere ayuda del
administrador del sistema

1717
Página 18 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que se prohíbe a los usuarios finales eliminar virus
informáticos de los sistemas de la entidad cuando estos sistemas están infectados en razón de
que pueden conducir más daños en la información o programas o permitir una reinfección sobre
estos. Se debe pedir ayuda de asistencia técnica al departamento de sistemas o al representante
de la seguridad de la información local.
121.Prohibición para bajar y cargar Software de Internet en los sistemas corporativos por parte
de terceras personas
Política: La Universidad Distrital precisa que los funcionarios de la entidad no deben permitir que
terceras personas puedan bajar (download) y/o cargar (upload) Software de Internet en los
sistemas de la entidad. Esta prohibición es necesaria porque dicho Software puede contener
virus, gusanos, caballos de Troya y otro software que pueden dañar la información y los
programas en producción.
122.Pruebas de virus antes de usar los programas en la entidad
Política: La Universidad Distrital precisa que para prevenir la infección por virus en los computadores
los funcionarios de la entidad no deben usar ningún software proporcionado externamente por una
persona u organización que no sea un proveedor conocido y confiable. La única excepción a esto
es cuando el software ha sido primero probado y aprobado por el departamento de tecnología
o un coordinador de seguridad de la información.
123.Verificación previa de virus en un computador stand alone
Política: La Universidad Distrital precisa que siempre que se reciba un software y/o archivos de
una entidad externa este material debe verificarse en una máquina conectada a una red stand
alone antes de usarse en los sistema de información de la entidad. Si un virus, gusano o caballo
de Troya está presente el daño será solamente para esta máquina.
124.Los disquetes proporcionados externamente deben poseer una etiqueta o sello que certifique
que previamente han sido examinados contra la presencia de virus
Política: La Universidad Distrital precisa que los disquetes proporcionados externamente no

pueden utilizarse en ningún computador personal (PC) o servidor de la red local (LAN) de la
entidad a menos que estos disquetes hayan sido primero examinados contra virus y en su
etiqueta se evidencie que no se encontró ninguno.
125.Proceso para examinar el software obtenido a través de Internet
Política: La Universidad Distrital precisa que antes de descomprimir el software obtenido a

través de Internet los usuarios deben cerrar todas las sesiones activas en los servidores y otras
conexiones en red, debe evaluarse la presencia de virus informáticos antes de ejecutarse. Si un
virus es detectado debe notificarse inmediatamente al administrador de seguridad de la
información y colocar un mensaje de alerta vía correo electrónico a todos los usuarios de la red
para que se abstengan de bajar este software infectado a través de Internet.
126.Programas de chequeo de integridad del sistema para computadores personales
Política: La Universidad Distrital precisa que para detectar oportunamente y prevenir la

expansión de virus informáticos todos los computadores personales y los servidores LAN de la
entidad se les debe correr un software de chequeo de integridad. Este software detecta los
cambios en la configuración de los archivos, en los archivos del sistema, en los archivos de

1818
Página 19 de 104
JOSE DE CALDAS
software de aplicación y en otros recursos del sistema. El software de chequeo de integridad

debe ser continuamente activado o ejecutarse diariamente.
127.Se requieren instalar programas de chequeo de virus en PCs y servidores LAN
Política: La Universidad Distrital precisa que el administrador de seguridad de la información

debe contar con programas automáticos para examinar virus e instalarlo y ejecutarlo
continuamente en todos los servidores de red de área local (LAN) u en los diferentes
computadores personales que se conectan a la red institucional.
128.Los archivos digitales deben descomprimirse antes de examinar si están contaminados por
virus
Política: La Universidad Distrital precisa que todos los archivos digitales (programas, base de
datos y documentos de texto entre otros) deben ser descomprimidos antes de proceder a hacer
una evaluación de virus informáticos. A los programas o archivos comprimidos no se les puede
detectar con facilidad la existencia de virus.
129.Protección contra escritura para el software residente en microcomputadores o estaciones

de trabajo
Política: La Universidad Distrital precisa que todo software residente en microcomputadores o

estaciones de trabajo debe estar protegido contra escritura de tal forma que se generará un error
cuando un virus en los microcomputadores ha modificado el software.
130.Copias de respaldo al software original para computadores y servidores
Política: La Universidad Distrital precisa que todo el software de los computadores y servidores
debe copiarse antes de iniciar su uso y estas copias deben almacenarse en un lugar seguro y
confiable. Estas copias master no deben usarse para actividades comerciales ordinarias sino que
deben reservarse para cuando se presenten infecciones de virus, daño en el disco duro y otros
problemas en los computadores y servidores.
131.Verificación del software antes de distribuirlo a los usuarios
Política: La Universidad Distrital precisa que antes de distribuir cualquier software a los usuarios
los funcionarios de la entidad deberán primero someterlo a pruebas exhaustivas incluso a
pruebas que identifiquen la presencia de virus en la computadora.
132.Programas que consumen excesivos recursos del sistema
Política: La Universidad Distrital precisa que los usuarios del sistema no deberán escribir o
ejecutar ningún programa o proceso automático que consuma demasiados recursos de máquina y
que puedan afectar el normal rendimiento de los trabajos de la entidad.
133.Los usuarios del sistema no deben incluir virus en el software
Política: La Universidad Distrital precisa que los usuarios del sistema no deberán escribir,
generar, compilar, copiar, propagar, ejecutar o intentar introducir intencionalmente cualquier
código a la computadora que haya sido diseñado para causar daño o impedir la normal actuación
de la memoria de la máquina, archivos de datos o programas, sistemas operativos o software
aplicativo. Estos programas nocivos son conocidos como virus.

1919
Página 20 de 104
JOSE DE CALDAS
1.2.2. PROCESO DE DESARROLLO

1.2.2.1. TÉCNICAS Y HERRAMIENTAS DE DESARROLLO
134.Identificación de los requerimientos de seguridad antes del desarrollo o adquisición de un

sistema
Política: La Universidad Distrital precisa que antes de que un nuevo sistema se desarrolle o se
adquiera los directores de los departamentos usuarios de la entidad deberán haber especificado
los requerimientos de seguridad necesarios. Es conveniente tener en cuenta las alternativas
sugeridas por los diseñadores, vendedores y/o proveedores para que se obtenga un equilibrio
apropiado entre la seguridad y los objetivos de facilidad de uso, eficacia operacional, facilidad de
actualización, escalabilidad y costos aceptables entre otros.
135.Estándares para el desarrollo de sistemas en al entidad
Política: La Universidad Distrital precisa que el departamento de sistemas de la entidad deberá

asegurar que todo desarrollo de software y las actividades de mantenimiento del mismo cumplan
con las políticas, normas, procedimientos, controles y otras convenciones estándar aplicables
para el desarrollo de sistemas.
136.No ejecutar pruebas al software con información confidencial
Política: La Universidad Distrital precisa que no es permitido ejecutas pruebas al software

aplicativo con datos o información real del ambiente de producción cuando ésta sea específicamente
secreta o confidencial.
137.Documentar la ocurrencia de errores y las acciones a seguir para el software desarrollado
Política: La Universidad Distrital precisa que todo software que se desarrolle o personalice en la
entidad y que produzca resultados no esperados, siempre deberá producir mensajes de error y
las acciones a seguir por parte del usuario deberán documentarse.
138.Todo sistema de información automático deberá presentar mensajes de respuesta cuando

se ejecute una transacción
Política: La Universidad Distrital precisa que toda intervención que tenga un usuario con el
sistema deberá reportar un mensaje automático que indique si la transacción o evento se ejecutó
correctamente o presentó alguna falla.
139.Todo desarrollo de software debe tener requerimientos formales
Política: La Universidad Distrital precisa que se deberán definir previamente las especificaciones o
requerimientos formales para todo desarrollo de software. Estas especificaciones deberán ser parte
integral de un acuerdo entre los dueños de la información involucrada y los programadores del
software. El acuerdo deberá ser completado y aprobado antes de comenzar el desarrollo o
personalización del código del sistema.
140.Eliminación de las rutas de acceso no autorizadas en los ambiente de producción
Política: La Universidad Distrital precisa que antes de trasladar al ambiente de producción el

software desarrollado los programadores o personal técnico de informática deberán eliminar
todas las rutas de acceso especiales o privilegiadas para que solamente puedan ser obtenidas
de acuerdo con los procedimientos corporativos normales de seguridad. Todos los privilegios de

2020
Página 21 de 104
JOSE DE CALDAS
usuarios especiales que se concedieron para el desarrollo no deberán ser permitidos en el

ambiente de producción.
141.Utilización de técnicas y herramientas de desarrollo probadas y confiables
Políticas: La Universidad Distrital precisa que para todo desarrollo de software se deberán
utilizar técnicas y herramientas de desarrollo conocidas en el mercado local del que se tenga certeza
que su comportamiento es seguro y confiable.
142.Uso de lenguajes de programación de alto nivel
Política: La Universidad Distrital recomienda el uso de lenguajes de programación de últimas

generaciones para reducir el volumen de código a desarrollar, la dificultad del mantenimiento del
software, el tiempo exigido para desarrollar una aplicación y el número de fallas.
143.Reutilización del software desarrollado
Política: La Universidad Distrital precisa que todo proyecto de desarrollo de software deberá
tener como meta secundaria que el desarrollo sea modular y confiable además que pueda ser
utilizado en un ambiente de software compartido.
144.Utilización de convenciones estándar para nombrar los archivos en el ambiente de

producción
Política: La Universidad Distrital precisa que se deberá utilizar convenciones estándar para
nombrar los archivos del ambiente de producción que permitan diferenciarlos claramente de los
respectivos archivos utilizados en los ambientes de desarrollo, pruebas o con propósitos de
entrenamiento.
145.Rótulos o etiquetas especiales para transacciones no habilitadas en el ambiente de

producción
Política: La Universidad Distrital precisa que las transacciones usadas para fines de auditoria,
pruebas, entrenamiento u otros propósitos diferentes a los de producción deberán ser rotuladas o
marcadas respectivamente de acuerdo a su propósito. De otra parte deberán ser separadas de las
transacciones usadas en los ambientes de producción. Estos registros servirán de garantía a la
entidad para no actualizar inapropiadamente transacciones no habilitadas para ambientes de
producción.
146.Documentación estandarizada para toda la tecnología que se encuentra en el ambiente de

producción
Política: La Universidad Distrital precisa que cada usuario que desarrolle o implemente software
o hardware para ser usado por la entidad en las actividades propias del negocio deberá
documentar el sistema de acuerdo con el avance de la implementación. La documentación
deberá ser escrita para que el sistema pueda ser utilizado por personas no familiarizadas con él.
La documentación deberá cubrir usuarios finales operativos y técnicos.
147.La funcionalidad permitida en los sistemas desarrollados
Política: La Universidad Distrital precisa que con excepción de algunos casos puntuales de
emergencia solamente las funciones descritas en el documento aprobado de especificaciones de

2121
Página 22 de 104
JOSE DE CALDAS
la solución tecnológica pueden ser incluidas en el equipo de producción o en un sistema de

comunicación que se haya desarrollado.
148.La utilización del hardware y software de pruebas o de diagnostico
Política: La Universidad Distrital precisa que el hardware y software de diagnostico como el de

monitoreo de líneas de comunicación solo deberán ser usados por personal autorizado con
propósito de pruebas y desarrollo. El acceso a esta clase de software y hardware deberá
controlarse estrictamente por el jefe de la unidad funcional.
149.El uso de medios de almacenamiento para los sistemas de utilidades residentes en

ambientes de producción
Política: La Universidad Distrital precisa que los discos y otros medios de almacenamiento en
línea usados en sistemas de computación en producción no deberán contener compiladores,
ensambladores, editores de texto, procesadores de palabra u otra utilidad de propósito general
que puedan utilizarse para comprometer la seguridad del sistema.
150.Restringir y monitorear periódicamente el uso del software utilitario del sistema
Política: La Universidad Distrital precisa que el acceso al software utilitario del sistema deberá
ser restringido a un pequeño número de usuarios conocidos y autorizados. Siempre que estos
utilitarios sean ejecutados la actividad resultante deberá registrarse secuencialmente en un
archivo log y seguido de esto el administrador del equipo deberá revisarlo.
1.2.2.2. RELACIONES Y DESARROLLO DE PRIVILEGIOS
151.El acceso a la información en producción para probar sistemas
Política: La Universidad Distrital precisa que en los casos donde el acceso a la información en
producción es requerido para probar los sistemas de aplicaciones nuevos o modificados
únicamente se les concederá acceso de lectura y copia al personal de pruebas. Este acceso
será permitido únicamente durante la duración de las pruebas y los trabajos relacionados con el
desarrollo del aplicativo y deberán ser revocados al culminarse con éxito dichas actividades,
estas operaciones deberán ser supervisadas y controladas por el administrador de los datos y
programas.
152.Los ambientes de producción, desarrollo y pruebas
Política: La Universidad Distrital precisa que el nuevo software de aplicación en desarrollo o

personalización deberá guardarse estrictamente separado del que se encuentra en producción y
del respectivo de pruebas. Si las facilidades existentes lo permiten la separación de los
ambientes deberá hacerse en equipos de cómputo independientes. Si no se deberán separar los
directorios y librerías y hacer cumplir estrictamente los controles automáticos de acceso a los
usuarios.
153.Restricción del acceso a la información de los aplicativos en producción al personal del

desarrollo de software.
Política: La Universidad Distrital precisa que el acceso a la información de producción no deberá

permitirse al personal de desarrollo de software de aplicación excepto cuando se trate de información
de producción que este directamente relacionada con el software de la aplicación particular que se
esté trabajando; actividad que deberá ser supervisada por el jefe de la unidad

2222
Página 23 de 104
JOSE DE CALDAS
de producción, el catalogador, el administrador de la seguridad informática y el auditor de

sistemas.
154.El personal de desarrollo de sistemas no debe ser el responsable de las pruebas formales
del software
Política: La Universidad Distrital precisa que funcionarios que estén vinculados específicamente
con el desarrollo del software no deberán ser los responsables del resultado de las pruebas formales
no de la operación diaria de la solución tecnológica.
1.2.3. PROCESO DE CONTROL DE CAMBIOS
155.Todos los sistemas automáticos que se encuentren en producción deberán cumplir con el
procedimiento formal de control de cambios
Política: La Universidad Distrital precisa que para todos los equipos de cómputo y sistemas de
comunicación utilizados en procesos de producción en la entidad se deberá aplicar un procedimiento
formal de control de cambios que garantice que solo se realicen los cambios autorizados. Este
procedimiento de control de cambios deberá ser aplicado al software, hardware,
comunicaciones, interfaces y a los procedimientos.
156.Prohibición a los usuarios finales para la instalación de software en sus equipos o

computadores personales.
Política: La Universidad Distrital precisa que los usuarios finales no deberán instalar software en
sus computadores personales, servidores de red u otras máquinas sin que medie la autorización
del coordinador de seguridad de información.
157.Características o facilidades riesgosas del software en el momento de la instalación
Política: La Universidad Distrital precisa que las características que son innecesarias en el
ambiente informático de la entidad se deberán desactivar en el momento de la instalación del
software.
158.Documentación sobre los cambios hechos a los sistemas en producción
Política: La Universidad Distrital precisa que la documentación que refleja todos los cambios hechos
sobre los equipos de producción y los sistemas de comunicación en la entidad deberá prepararse
simultáneamente con el proceso de cambio. Esta documentación deberá contemplar las
propuestas de cambio, la aprobación de la dirección y la manera como el cambio fue
realizado.
159.Documentación de los procesos para el entrenamiento y operación de los sistemas en

producción.
Política: La Universidad Distrital precisa que los desarrollos y/o modificaciones hechas a los
sistemas de aplicación no deberán trasladarse al ambiente de producción si no se cuenta
primero con la documentación de entrenamiento y operación adecuados. La suficiencia de estos
materiales deberá ser determinada por los usuarios responsables de la dirección de la entidad.
160.Se prohíbe instalar programas externos en los computadores interconectados en red

2323
Página 24 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que los usuarios no podrán instalar ningún programa o
software desarrollado fuera de la entidad en sus propios microcomputadores, en sus estaciones
de trabajo, en servidores de la red o en computadores conectados a la red a menos que haya
sido aprobado por la dirección de la unidad de tecnología corporativa.
161. Se prohíbe la utilización de actualizaciones automáticas adelantadas para el software que

requiere aprobación
Política: La Universidad Distrital precisa que es prohibida en la entidad la actualización

automática de software a menos que el software involucrado se haya probado primero por el
equipo de trabajo autorizado por la dirección de tecnología y con la supervisión de la unidad de
auditoria.
162.Todo software que ha sido primero probado externamente por terceros también debe ser
probado por la entidad
Política: La Universidad Distrital precisa que programas ejecutables (código objeto de software)
provistos por entidades externas deberán probarse por la entidad antes de la instalación en el
ambiente de producción. La lista de instrucciones de programa (código fuente de software)
provisto por entidades externas deberá ser revisado y probado en cuanto a sus compilaciones y
los programas ejecutables por el equipo de trabajo asignado por la dirección de tecnología antes
de su instalación en producción. Cada prueba y examen deberá ser consistentes con los
estándares de la entidad y deberá tener la documentación estándar mínima requerida.
163.La incorporación o modificación del software en el ambiente de producción
Política: La Universidad Distrital precisa que todos los sistemas (sistemas grandes, sistemas
cliente/servidor, redes y computadores personales entre otros) deberán ser provistos de
software licenciado. Junto a la detección automática de copias de software no autorizadas, el
sistema administrativo de licencias central deberá ser configurado para detectar nuevos
desarrollos o modificaciones por parte de los usuarios finales.
164.El traslado del software del ambiente de desarrollo al de producción
Política: La Universidad Distrital precisa que el personal de desarrollo de aplicaciones de la

entidad no deberá estar habilitado para trasladar cualquier tipo de software al ambiente de
producción.
165.Todo software adquirido a través de un proveedor deberá someterse al proceso de control

de cambios de la entidad
Política: La Universidad Distrital precisa que antes de comenzar a instalarse nuevas o diferentes
versiones del sistema operativo y el relacionado con el software de los sistemas en producción
este deberá ser validado primero por el proceso de control de cambios establecido en la entidad.
166.Antes de trasladar el sistema a producción se deberá verificar la compilación y la

concordancia con los requerimientos de usuario
Política: La Universidad Distrital precisa que los módulos ejecutables nunca deberán ser
trasladados directamente de las librerías de pruebas a las librerías de producción sin que
previamente sean probados, revisados y recompilados. Las actividades de revisión y
recompilación deberán ser ejecutadas por un nivel técnico no asociado con las pruebas del

2424
Página 25 de 104
JOSE DE CALDAS
proceso. Estos procesos ayudarán a descubrir y erradicar errores teniendo en cuenta los
requerimientos de los usuarios.
167.Requerimientos formales para el proceso de control de cambio del software en producción
Política: La Universidad Distrital precisa que un proceso formal de control de cambio deberá tenerse
y aplicarse para asegurar que todo el software de aplicación que está en desarrollo sea trasladado
adecuadamente al ambiente de producción previa autorización y aprobación por escrito tanto
de la dirección de sistemas como de la dirección de los usuarios responsables.
168.Control y seguridades de los sistemas de información antes de su traslado al ambiente de

producción
Política: La Universidad Distrital precisa que Aantes de comenzar a usar un nuevo aplicativo en
producción o con cambios sustanciales deberá recibirse una aprobación escrita de la dirección
del departamento de seguridad de información para los nuevos controles y seguridades a ser
implementados.
169.Aprobación para las aplicaciones multi-usuario en producción
Política: La Universidad Distrital precisa que la dirección especifica del usuario final con la
aceptación por parte de la auditoria de sistemas deben seguir los procedimientos administrativos,
operativos u de control establecidos antes de que un programa o aplicativo sea colocado en
ambiente multi-usuario.
170.Desarrollo de aplicaciones de usuario final e implementación en el ambiente de producción
Política: La Universidad Distrital precisa que todo software que maneje información sensible,
critica o valiosa desarrollado para los usuarios finales deberá tener controles debidamente
aprobados por la dirección de seguridad de información antes de comenzar a usarse en el
ambiente de producción.
171.Todo cambio a los sistemas operativos en el ambiente de producción deberá requerir

aprobación especial
Política: La Universidad Distrital precisa que las extensiones, modificaciones o reemplazos al

sistema operativo del ambiente de producción únicamente se deberán hacer previa aprobación
escrita del administrador del departamento de seguridad de información. Es conveniente
documentar cada cambio y actualizar las copias de respaldo con el propósito de disminuir los
costos de mantenimiento y prevenir situaciones de riesgo.
172.Revisiones periódicas a los sistemas operativos del ambiente de producción
Política: La Universidad Distrital precisa que las revisiones periódicas a los sistemas operativos
del ambiente de producción deberán ejecutarse para asegurar que únicamente los cambios
autorizados han sido realizados y no otros.
173.Se prohíbe el engaño a los controles de acceso al sistema a través de las puertas traseras
Política: La Universidad Distrital precisa que programadores y otro personal técnicamente

especializado no deberán permitir la existencia en el código de los programas de las puertas traseras
de trampa que engañan los mecanismos de control de acceso autorizados tanto en sistemas
operativos como en los paquetes de control de acceso.

2525
Página 26 de 104
JOSE DE CALDAS
174.Procedimientos de recuperación cuando se presenten problemas con el software de

seguridad
Política: La Universidad Distrital precisa que todos los problemas de seguridad de software, los
procedimientos de control para comandos de máquina y los proporcionados por los proveedores
del sistema operativo deberán ser resueltos prontamente por el equipo oficial responsable de
atención de emergencias computacionales (CERTs).
175.Todo cambio por terceros al software en producción deberá requerir aprobación especial
Política: La Universidad Distrital precisa que se deberá obtener primero un permiso por escrito
del director de sistemas para que el proveedor del software de aplicación efectué modificaciones
a este sistema. Cuando las modificaciones han sido aprobadas, el software modificado deberá
documentarse, probarse y en general ajustarse a los procedimientos de control de cambios
establecidos por la entidad antes de ser trasladado al ambiente de producción.
176.Los mantenimientos al software deberán realizarse únicamente sobre el código fuente
Política: La Universidad Distrital precisa que todos los cambios permanentes al software en
producción deberán hacerse con el código fuente en lugar del objeto u otro código ejecutable.
177.Procedimientos para volver a una versión anterior del software en producción
Política: La Universidad Distrital precisa que los procedimientos para el regreso a una versión
anterior “back off” deberán ser desarrollados para todos los cambios de software que se
encuentren en producción (del sistema operativo). Ellos permiten a las actividades de procesamiento
de datos un rápido y conveniente regreso a la anterior versión del software o estado de datos
par que las operaciones del negocio puedan continuar.
178.Todo software que se incorpore a producción debe tener su propio plan de contingencia
Política: La Universidad Distrital precisa que siempre que se pase al ambiente de producción un
nuevo software o uno significativamente modificado se requieren procedimientos contingentes
especiales para evitar considerables pérdidas en la entidad. La administración deberá preparar
un plan de contingencia de conversión que refleje las diferentes formas o maneras de asegurar
la continuidad del servicio a los usuarios que potencialmente se puedan ver afectados.
179.Análisis sobre el impacto potencial de la seguridad cuando se lleve información sensible a

producción
Política: La Universidad Distrital precisa que siempre que información sensible de la entidad sea
colocada en computadores y que éstas estén conectadas a redes deberá primero hacerse un
análisis sobre el impacto potencial de la seguridad relacionada así como también cuando la
misma vaya a ser usada de diferentes maneras donde se puedan presentar espionaje industrial,
sabotaje, fraude e interrupciones del servicio. Dicho análisis deberá involucrar también
consideraciones sobre la información de calidad del producto, la confidencialidad del cliente y la
imagen pública.
180.Instrucciones de seguridad para nuevas aplicaciones o para aquellas que han sido
modificadas

2626
Página 27 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que antes de ponerse en producción una nueva
aplicación bien sea que se trate de una nueva o una que significativamente haya sido modificada
se deberán implementar las seguridades necesarias teniendo en cuenta los estándares de
procedimientos normales que tenga la entidad.
1.2.4. PARTICIPACIÓN DE GRUPOS DE TERCEROS
181.instrucciones formales dadas por el proveedor sobre la integridad
Política: La Universidad Distrital precisa que si la obtención del software por parte de terceros
esta siendo considerada, la gerencia de tecnología deberá obtener instrucciones de integridad
por escrito suministradas por el proveedor. Estas instrucciones deberán proveer un
aseguramiento de que el software en cuestión no contiene indocumentadas técnicas, no contiene
mecanismos ocultos que pueden ser usados para comprometer la seguridad del software y no
requiere de la modificación o debilitamiento de controles del software del sistema aplicativo y
operativo bajo el cual se ejecuta.
182.Todo el software en custodia deberá ser verificado por una tercera parte independiente
Política: La Universidad Distrital precisa que cada actualización que se haga a la versión
software crítico de la entidad debe actualizar de igual manera el depositado en custodia a un tercero.
El software y su documentación deberán ser verificados y certificada su actualización. Este
proceso de verificación deberá confirmar que todo el software involucrado y su
documentación pertinente han sido recibidos por un agente custodio.
183.Se instalará en los equipos únicamente el software ejecutable
Política: La Universidad Distrital precisa que para prevenir copias de software no autorizadas y
el empleo de la propiedad intelectual, todo el software desarrollado por la entidad para ser usado
por sus clientes y otros terceros deberá ser distribuido únicamente el código objeto.
184.Todo acuerdo con terceros para utilizar el software de la entidad debe ser formal
Política: La Universidad Distrital precisa que para prevenir el uso no autorizado del software
desarrollado por la entidad por parte de los clientes y otros terceros este deberá distribuirse solo
después de que los destinatarios hayan firmado un acuerdo que declare que ellos no
desensamblaran, modificarán ni usarán indebidamente los programas entregados.
185.El administrador de la seguridad de la información deberá controlar la divulgación inadvertida

de la documentación confidencial.
Política: La Universidad Distrital precisa que antes de comenzar a entregar actualizaciones a

terceros toda la documentación que describe los sistemas de la entidad o sus procedimientos
técnicos deberán ser revisados por el administrador de la seguridad de información con el fin de
asegurar que la información confidencial no esta siendo divulgada en forma inadvertida.
1.2.5. OPERACIÓN DEL COMPUTADOR
186.Restricciones de acceso a los membretes corporativos, cheques y papelería de valor sin

diligenciar
Política: La Universidad Distrital precisa que para reducir el riesgo de falsificación y otras
manipulaciones no autorizadas el acceso a los membretes de la entidad, a los cheques en

2727
Página 28 de 104
JOSE DE CALDAS
blanco o sin diligenciar y a otras formas de papelería de seguridad únicamente deberán estar
disponibles a funcionarios que demuestren la necesidad de utilizar cada forma.
187.Se prohíbe fumar, comer y beber en el centro de cómputo e instalaciones con equipos
tecnológicos.
Política: La Universidad Distrital precisa que todos los empleados y visitantes no deberán fumar,
comer o beber en el centro de cómputo o instalaciones con equipos tecnológicos. Al hacerlo estarían
exponiendo los equipos a daños eléctricos, así como a riesgos de contaminación sobre los
dispositivos de almacenamiento de datos.
1.3. SEGURIDAD DE LOS DATOS

1.3.1. DERECHOS DE PROPIEDAD INTELECTUAL
1.3.1.1. ASIGNACIÓN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL
188.La información se considera el recurso más importante de la entidad
Política: La Universidad Distrital precisa que es absolutamente esencial que la entidad proteja la
información para garantizar su exactitud, oportunidad y confiabilidad. La información deberá ser
manejada adecuadamente y ser accesible solo a las personas autorizadas de acuerdo con las
normas, políticas y procedimientos corporativos relacionados con los sistemas de información.
189.Los funcionarios deberán conceder a la entidad la exclusividad sobre los derechos de

propiedad intelectual de sus desarrollos
Política: La Universidad Distrital precisa que todos los derechos de propiedad intelectual de los
productos desarrollados o modificados por los empleados de la institución durante el tiempo que
dure su relación laboral son de propiedad exclusiva de la entidad.
190.Todos los derechos de propiedad sobre el software y la documentación desarrollada para

uso corporativo son exclusivos de la entidad
Política: La Universidad Distrital precisa que sin excepción alguna todo el software y su
documentación generada y desarrollada por funcionarios, consultores, proveedores o
contratistas para el beneficio y uso corporativo es propiedad exclusiva de la entidad. La dirección
de sistemas deberá asegurarse que todos los funcionarios, consultores, proveedores o
contratistas proporcionen a la entidad una declaración escrita en constancia de aceptación de
esta política antes de iniciar el proceso de desarrollo de software o de la documentación
generada.
191.Todos los derechos de propiedad legal sobre archivos fuentes de aplicación y mensajes son
exclusivos de la entidad
Política: La Universidad Distrital precisa que la entidad tiene propiedad legal sobre el contenido
de todos los archivos almacenados en los equipos de cómputo y sistemas en red así como de
todos los mensajes que viajan a través de estos sistemas. La entidad se reserva el derecho de
permitir el acceso a esta información a terceras personas.
192.Reintegro de los recursos suministrados por la entidad para el desarrollo de trabajos
Política: La Universidad Distrital precisa que los empleados temporales, contratistas y

consultores no recibirán sus honorarios o pago final por el trabajo realizado a menos que hayan

2828
Página 29 de 104
JOSE DE CALDAS
devuelto formalmente a la entidad todo el hardware, software, información y otros materiales que
le fueron entregados para la realización de su trabajo.
193.Se deberá dar el crédito pertinente a las fuentes de obtención de información
Política: La Universidad Distrital precisa que los funcionarios de la entidad siempre deberán dar
el crédito pertinente a las fuentes de obtención de información utilizadas con propósitos corporativos.
194.Publicación de información en sistemas automáticos de dominio público corporativo
Política: La Universidad Distrital precisa que todos los empleados que coloquen información en
áreas públicas de la entidad tales como sistemas de correo electrónico, sistemas tablero de
boletines electrónicos (BBSs), etc. Deberán conceder a la entidad el derecho de editar, revisar,
copiar, publicar y distribuir tal información. Si un tercero posee también derechos de propiedad
intelectual o derechos adicionales sobre esta información el usuario deberá indicarlo en el
momento en que la información se publica. La ausencia de este aviso implica que los usuarios
no conocen ningún otro derecho sobre esta información.
1.3.1.2. PROTECCIÓN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL
195.Todo software institucional y su documentación deberá tener un aviso sobre los derechos de
autor y propiedad literaria
Política: La Universidad Distrital precisa que todo el software y la documentación que posea la
entidad deberán incluir avisos de los derechos de autor y propiedad literaria.
196.Estamentos autorizados para dar el visto bueno de replicar copias de información de

propiedad corporativa
Política: La Universidad Distrital precisa que es prohibido hacer copias múltiples de cualquier
tipo de información institucional sin la autorización previa del estamento corporativo facultado.
197.Revisiones periódicas a los contratos de licenciamiento de software
Política: La Universidad Distrital precisa que los contratos de licenciamiento de software deberán
ser revisados periódicamente por la unidad usuaria responsable en la entidad en el cumplimiento
de los compromisos asumidos por las partes.
198.Toda adquisición de software deberá tener su licencia por escrito a nombre de la entidad
Política: La Universidad Distrital precisa que siempre que la entidad haya adquirido un software
integral el proveedor deberá proporcionar por escrito la licencia del software.
199.Todo proveedor corporativo debe estar inscrito en un registro de control institucional
Política: La Universidad Distrital precisa que todos los productos de hardware y software
adquiridos por al entidad deberán ser registrados por proveedor. Para asegurar que el soporte y
los descuentos en actualizaciones de versiones sean obtenidas con facilidad.
200.Adquirir las licencias de software necesarias para desarrollar las actividades corporativas

2929
Página 30 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que la dirección de sistemas deberá adquirir licencias
de software de uso generalizado adicionales para lo casos en que los funcionarios las soliciten.
201.No es permitido hacer copias del software sin autorización escrita del proveedor
Política: La Universidad Distrital precisa que ningún software corporativo deberá copiarse a
menos que sea previamente autorizado por el proveedor en el contrato de compra, o las copias
que se realicen sean para propósitos de apoyar el plan de contingencia corporativo.
202.Eliminar el software y la información magnética que no sean de propiedad de la entidad
Política: La Universidad Distrital precisa que el software y la información que no son de

propiedad de la entidad, es decir, que no cuente con las respectivas licencias de propiedad
intelectual registrada y no tenga autorización específica para su almacenamiento y/o uso, no
deberá almacenarse en los equipos, sistemas o redes de la entidad. Los administradores del sistema
eliminarán este software e información.
203.Se prohíbe copiar, transferir o divulgar software
Política: La Universidad Distrital precisa que los usuarios finales no deberán copiar software
proporcionado por la entidad en ningún medio de almacenamiento magnético o transferir
software de un equipo a otro a través de algún sistema de comunicación o divulgar software sin
autorización escrita del director de sistemas.
204.Es responsabilidad de la dirección de la entidad no autorizar copias no permitidas de

software
Política: La Universidad Distrital precisa que la entidad deberá apoyar la estricta adherencia y
cumplimiento a los contratos con los proveedores de software y los derechos de autor y
propiedad intelectual. La entidad sólo permitirá la reproducción de material legalmente licenciado
en la magnitud considera como de “uso justo” o con el permiso del autor o dueño.
205.Se prohíbe el uso de herramientas para romper la seguridad de los sistemas
Política: La Universidad Distrital precisa que los funcionarios de la entidad no deberán adquirir,
poseer, comercializar o usar herramientas de hardware o software que pudieran emplearse para
evaluar o comprometer la seguridad de los sistemas de información sin la debida autorización del
departamento de seguridad de información. Si la entidad considera utilizar este tipo de
herramientas tecnológicas para la evaluación de la seguridad de los sistemas estas deberán
ejecutarse en el ambiente de pruebas.
206.Manejo de la información confidencial de propiedad de terceros
Política: La Universidad Distrital precisa que toda información confidencial o de propiedad de un

tercero que se ha confiado a la entidad deberá ser protegida como si se tratara de información
confidencial corporativa.
207.Usar la información de la entidad únicamente con propósitos internos
Política: La Universidad Distrital precisa que la información de la entidad tal como bancos de
datos, envíos de listas de correo electrónico, software corporativo, documentación de los
sistemas, etc., solo deberán usarse para propósitos específicamente por la dirección.

3030
Página 31 de 104
JOSE DE CALDAS
208.Se prohíbe la transferencia de información corporativa a terceros sin la autorización de la

dirección
Política: La Universidad Distrital precisa que el software de la entidad, su documentación y otros

tipos de información interna no deben ser vendidos o trasladados a sitios que no son de la
entidad sin la autorización de la dirección.
209.Para el intercambio de software y/o datos con terceros se requiere de acuerdos por escrito
Política: La Universidad Distrital precisa que los intercambios de software y/o datos entre la
entidad y cualquier tercero no se deberán realizar sin un acuerdo por escrito. Tal acuerdo debe
especificar los términos del intercambio, así como las formas que el software y/o datos serán
manejados y protegidos.
210.Informes anuales sobre los nuevos sistemas desarrollados o adquiridos
Política: La Universidad Distrital precisa que el departamento de seguridad de información debe

preparar anualmente una lista del software y sistemas que se han desarrollado internamente y
que proporcionan a la entidad una ventaja competitiva.
1.3.2. PRIVACIDAD DE LOS DATOS

1.3.2.1. RESTRICCIONES DE LOS DERECHOS DE LA PRIVACIDAD
211.El derecho para examinar los datos guardados en los sistemas de la entidad
Política: La Universidad Distrital precisa que todos los mensajes enviados a través de los
computadores y sistemas de comunicaciones de la entidad son de propiedad de la entidad. Para
mantener un adecuado manejo de esta propiedad, la dirección se reserva el derecho de
examinar todos los datos guardados o transmitidos en sus sistemas. Como los computadores y
los sistemas de comunicación de la entidad deben ser usados únicamente para los propósitos
del negocio los empleados podrían no tener la expectativa de la privacidad asociada con la
información que ellos guardan y envían a través de estos sistemas.
212.Revelar la información que exija la ley o la que ordene la dirección de la entidad
Política: La Universidad Distrital precisa que los usuarios institucionales deben permitir que toda
la información que este en su poder dentro de la entidad pueda ser divulgada por instrucciones
de ley o a discreción de la entidad.
1.3.2.2. COLECCIÓN DE TIPOS ESPECÍFICOS DE DATOS PRIVADOS
213.Solicitud a los empleados potenciales información personal
Política: La Universidad Distrital precisa que recopiar información personal sobre un aspirante a
ser empleado en la entidad y que sirva de base para tomar la decisión sobre el empleo ofrecido.
Esta Política se dirige a datos sobre el estado matrimonial, planes sobre la familia, actividades
en tiempo libre, afiliaciones políticas, actuación en trabajos anteriores, patrones anteriores,
historial crediticio, educación y otros detalles personales.
214.Información del personal para el funcionamiento de la entidad

3131
Página 32 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que la entidad deberá recoger, almacenar y difundir solo
la información personal que sea necesaria para su funcionamiento.
215.No es permitido en la entidad acopiar información sobre comportamientos muy personales e

íntimos de sus funcionarios
Política: La Universidad Distrital precisa que la entidad no debe recolectar información sobre las
creencias y afinidades ideológicas y de comportamiento netamente personal de sus funcionarios,
independientemente a los deberes, responsabilidades y compromisos con la entidad.
216.La necesidad de recolectar cualquier tipo de información privada deberá ser justificada
Política: La Universidad Distrital precisa que siempre que la entidad necesite recolectar
información privada sobre empleados, clientes u otras personas deberá existir una justificación
real documentada y aprobada por la dirección.
217.Prohibición a la recolección de datos privados a través de procedimientos no establecidos
Política: La Universidad Distrital precisa que la entidad nunca debe recolectar datos privados de
terceros sin haber obtenido primero su consentimiento.
218.Copiar información autorizada de terceros prohibiendo su distribución o venta
Política: La Universidad Distrital precisa que la recolección de información personal sobre los
clientes potenciales y otros con quien la entidad tiene negocios habituales o potenciales y su
acceso a esta deberá ser controlada estrictamente sobre el fundamento de la necesidad de
conocer el cliente y solo debe usarse la información para los propósitos comerciales internos y
no para su distribución o venta.
219.No es permitido recolectar información en forma automática sobre el desempeño del trabajo
de los funcionarios sin su autorización
Política: La Universidad Distrital precisa que la dirección no debe usar equipos de cómputo para
recolectar información automáticamente sobre el desempeño de sus empleados a menos que
éstos estén de acuerdo.
220.La entidad se reserva el derecho de examinar la información almacenada en los sistemas

corporativos
Política: La Universidad Distrital precisa que en cualquier momento y sin previo aviso la
dirección de la entidad se reserva el derecho de examinar el correo electrónico, los directorios de
archivos personales, el disco duro, archivos y otra información guardada en los sistemas de
información de la entidad. Este examen se realizará para asegurar la conformidad con las
políticas internas, el apoyo a la ejecución de investigaciones internas y ayudará al control de la
administración de los sistemas de información corporativos.
221.La entidad podrá supervisar las comunicaciones de un funcionario
Política: La Universidad Distrital precisa que la entidad no supervisará o interceptará las

comunicaciones de un funcionario sin antes obtener su permiso. Una excepción a esta política se
hará en los casos donde es probable que el aviso anticipado provoque un cambio en la conducta
del funcionario.

3232
Página 33 de 104
JOSE DE CALDAS
222.La entidad no deberá generalizar el derecho de supervisar las comunicaciones de sus

funcionarios
Política: La Universidad Distrital precisa que la entidad no deberá emplear en forma

generalizada el monitoreo o supervisión de las comunicaciones de sus empleados. Sin embargo,
se reserva el derecho de supervisar, acceder, recuperar, leer y/o descubrir comunicaciones del
empleado cuando:
a. Exista una legítima necesidad comercial y no pueda ser satisfecha a través de otros
medios.
b. El funcionario involucrado no esta disponible y el tiempo es crítico para una actividad
comercial.
c. Exista una causa razonable para sospechar de una actividad delictiva o violación a las
políticas.
d. La supervisión es requerida por la ley, regulación o el acuerdo con una tercera parte.
223.La dirección no deberá vigilar la conducta extra-laboral de sus funcionarios
Política: La Universidad Distrital precisa que la dirección de la entidad no deberá espiar las vidas
de sus funcionarios ni su conducta fuera del trabajo a menos que las actividades extra-laborales
sean nocivas para su normal desempeño o afecten el buen nombre de la entidad de una manera
significativa.
224.La entidad no deberá notificar a los usuarios la existencia de sistemas automáticos de

monitoreo
Política: La Universidad Distrital precisa que no deben usarse herramientas automáticas para
supervisar o monitorear las actividades de los usuarios del sistema sin que éstos sean notificaos
con la debida anticipación. La única excepción permisible a esta Política involucra
investigaciones de actividades delictivas sospechosas.
225.Todos los usuarios investigados deberán ser reportados al director del área y registrados en
una bitácora especial
Política: La Universidad Distrital precisa que siempre que un usuario del sistema o de la red sea
monitoreado o supervisado con propósitos investigativos o disciplinarios el director del área
implicada deberá ser informado inmediatamente de esta actividad. Esta información deberá ser
registrada para futuras revisiones o acciones administrativas, disciplinarias o legales en una
bitácora especial.
226.Los directores recibirán los registros de utilización de Internet para su análisis
Política: La Universidad Distrital precisa que periódicamente se deberán revisar los registros de
los sitios (web) visitados, los archivos transmitidos y la información que fue intercambiada a
través de Internet. Los directores de departamento recibirán reportes de dicha información para
tomar las medidas pertinentes.
227.Se prohíbe grabar conversaciones telefónicas no autorizadas
Política: La Universidad Distrital precisa que la entidad no deberá intervenir o grabar conversaciones
telefónicas que no estén expresamente autorizadas.

3333
Página 34 de 104
JOSE DE CALDAS
228.Notificación formal a los diferentes usuarios de los sistemas de información automáticos

sobre la supervisión electrónica
Política: La Universidad Distrital precisa que los empleados, contratistas y consultores deberán
ser notificados durante la entrevista inicial para su cargo que su trabajo puede ser
electrónicamente supervisado. Esta notificación deberá hacerse por escrito e incluir el tipo de
información que se extraerá y cómo se usará en relación con las normas existentes en
producción y las expectativas para cada individuo involucrado.
1.3.2.3. DIVULGACIÓN DE DATOS PRIVADOS

1.3.2.3.1. DIVULGACIÓN DE DATOS PRIVADOS DE EMPLEADOS
229.No se permitirán archivos confidenciales que contengan información de los empleados
Política: La Universidad Distrital precisa que a excepción de investigaciones delictivas no se

permitirá ningún sistema de registro de información de los funcionarios cuya existencia sea
guardada confidencialmente.
230.El acceso de los empleados a su archivo de hoja de vida
Política: La Universidad Distrital precisa que mediante solicitud escrita cada empleado deberá
tener acceso a su propia hoja de vida.
231.Prohibido revelar información privada de los empleados sin previa autorización
Política: La Universidad Distrital precisa que la revelación de información privada sobre los
empleados a terceras personas no deberá permitirse a menos que sea requerida por la ley o con
consentimiento explicito del empleado.
232.Restricción de revelar información particular de los empleados
Política: La Universidad Distrital precisa que la entidad no revelará nombres, títulos, números de
teléfono, localización u otra información particular de sus empleados a menos que sea requerida
para propósitos del negocio. Se harán excepciones cuando dicha revelación sea exigida por ley
o cuando las personas involucradas hayan consentido previamente tal revelación de la
información.
233.Restricción de revelar la razón de terminación del contrato de trabajo con los empleados
Política: La Universidad Distrital precisa que para conservar la privacidad de la información del
personal sobre la razón de la terminación de contratos de trabajo con los empleados esta no
deberá revelarse a terceros. Las dos excepciones permitidas son la aprobación previa del Rector o
si dicha revelación es requerida por la ley.
234.Restricción de revelar los cambios de cargo de los empleados
Política: La Universidad Distrital precisa que los detalles del cambio del cargo de un empleado
son estrictamente confidenciales y no deberá revelarse a nadie excepto a personas que tienen
una buena razón para saberlo. El detalle del cambio de posición incluye las razones para
terminaciones, jubilaciones, resignaciones, hojas de ausencia, los resultados de una
investigación, restablecimiento o cambios de rol a posiciones de consultor/contratista.
235.Concesión a los empleados para revelar sus propios archivos de datos privados

3434
Página 35 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que deberá darse a los empleados el permiso para
revelar los archivos que reflejan su propia información privada a terceras partes. Además, deberá
permitírsele a los empleados información suficiente los resultados de una investigación,
traslados, restablecimiento o cambios de rol a posiciones de consultor/contratista.
236.Confidencialidad de la información en investigaciones internas
Política: La Universidad Distrital precisa que hasta que se avance en la acusación o sean
tomadas acciones disciplinarias todas las investigaciones que se declaran delictivas o de
conducta abusiva deberán guardarse confidencialidad para preservar la reputación de la parte
sospechosa.
237.Revelación obligatoria de la información de la salud y protección de la salud y protección de

los funcionarios
Política: La Universidad Distrital precisa que la dirección deberá revelar totalmente a los
empleados involucrados los resultados de pruebas de substancias tóxicas y otra información que
esta relacionada con la salud y protección de los empleados.
238.Revisión de logs que reflejan las actividades de los usuarios en el sistema
Política: La Universidad Distrital precisa que las actividades realizadas en el computador

reflejadas en los logs de usuario no deberán ser divulgados o entregados a terceros a menos
que:
a. Sea solicitado por orden legal o de entidades de control.

b. Solicitud escrita por parte de los directamente afectados y el visto bueno corporativo.
239.Eliminación de información de los logs
Política: La Universidad Distrital precisa que se deben ejecutar tareas de mantenimiento

individuales de borrado de información contenida en cada uno de los logs de auditoria y se debe
garantizar el respaldo de esta información.
240.Supervisión de mensajes de correo electrónico
Política: La Universidad Distrital precisa que los mensajes enviados a través de sistemas de
correo electrónico internos no están sujetos al derecho de privacidad por lo tanto pueden ser
leídos por los directivos de la entidad y/o administradores del sistema.
241.Derechos de la entidad sobre la lectura por parte de terceros de mensajes de correo

electrónico
Política: La Universidad Distrital precisa que la entidad permitirá el acceso a los mensajes
enviados por medio del correo electrónico a terceras personas solo si el remitente o el
destinatario han establecido el permiso.
242.Reglamentación para los funcionarios sobre los derechos privacidad
Política: La Universidad Distrital precisa que sin la debida autorización por parte de un nivel
jerárquico de la entidad los funcionarios no deberán suministrar información a ninguna empresa
externa.

3535
Página 36 de 104
JOSE DE CALDAS
243.Requerimientos autorizados de información por acciones cuestionables del sistema
Política: La Universidad Distrital precisa que cuando se duda sobre cualquier acción realizada a
través de un computador, se deberá informar a quienes la acción perjudicará mediante comunicación
escrita la cual deberá incluir una descripción de las acciones que se proponen o sugieren adoptar
para solucionar el impacto del error o evento. Las soluciones a implementar solo pueden ser
ejecutadas previa autorización del afectado mediante comunicación escrita, de lo contrario se
deberá abstener de su ejecución.
244.Conocimiento del objeto de la solicitud de información confidencial
Política: La Universidad Distrital precisa que la entidad deberá informar al usuario como se
usará la información confidencial antes de ser suministrada a terceros.
1.3.2.4. MANEJO DE DATOS PRIVADOS
245.Copias de archivos que tengan información confidencial
Política: La Universidad Distrital precisa que los funcionarios pueden observar o realizar copias
de la información que les aparece en los archivos personales.
246.Condiciones bajo las que se permite a los funcionarios examinar sus archivos
Política: La Universidad Distrital precisa que todos los funcionarios que deseen examinar los
archivos personales deberán solicitarlo por escrito al director de recursos humanos. Las
revisiones del archivo solo deberán realizarse en los horarios fijos y en presencia de un
representante de recursos humanos.
247.Derecho del empleado de actualización de su archivo personal
Política: La Universidad Distrital precisa que si los empleados objetan la exactitud, relevancia o
integridad de la información que aparece en su archivo personal deberán realizar sus
observaciones que contengan no más de 200 palabras.
248.Esfuerzos para asegurar la integridad de los archivos personales
Política: La Universidad Distrital precisa que la Rectoría deberá hacer esfuerzos razonables para
asegurar que toda la información del personal sea exacta, oportuna, pertinente y completa.
249.Seguridades con la información en los archivos personales para restringir su uso
Política: La Universidad Distrital precisa que la Rectoría deberá realizar esfuerzos razonables
para asegurar la información contenida en los archivos personales solo sea usada por las
personas autorizadas para tal fin previniendo el uso inapropiado de la misma.
250.Uso de de la información del personal para nuevos propósitos
Política: La Universidad Distrital precisa que la información personal sobre los funcionarios,
consultores o contratistas que se haya recogido para un propósito específico no puede ser usada
para propósitos diferentes sin el previo consentimiento de los directamente involucrados.
251.Revisión del impacto del proyecto en la privacidad de las personas

3636
Página 37 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que todo proyecto de desarrollo o mejora de los
sistemas que pudiera afectar la privacidad de los individuos debe ser revisado con anterioridad
por un comité independiente. Este comité debe:
a. Determinar si los individuos serán puestos “en riesgos” o “en desventaja” como resultado
del proyecto.
b. Cuando sea necesario recomendar las medidas correctivas y
c. Si es necesario recomendar la cancelación del proyecto.
1.3.3. CONFIDENCIALIDAD DE LOS DATOS

1.3.3.1. POLÍTICAS GENERALES PARA LA CONFIDENCIALIDAD DE LOS DATOS
252.Acuerdo de confidencialidad para todos los funcionarios de la entidad
Política: La Universidad Distrital precisa que todos los empleados, consultores, contratistas y
personal temporal deben firmar un acuerdo de confidencialidad de la información al iniciar su
trabajo con la entidad.
253.Falta de restricciones sobre la diseminación de la información en la entidad
Política: La Universidad Distrital precisa que toda la información interna de la compañía debe ser
protegida contra revelaciones a terceros. Solo puede darse acceso a la información de la
compañía a terceros personas cuando sea demostrable la necesidad o se sepa que existe y
cuando esta se de a conocer debe haber sido autorizado expresamente por la rectoría.
254.Notificación de una posible pérdida o revelación de información confidencial
Política: La Universidad Distrital precisa que si se pierde información secreta, confidencial o

privada o es revelada a personas no autorizadas o se sospecha de haberse perdido o revelado a
personas no autorizadas sus dueños y el director del departamento de seguridad de la
información deben ser notificados inmediatamente.
255.Revelación de los controles del sistema de información a terceras personas
Política: La Universidad Distrital precisa que los funcionarios no deben revelar a ninguna
persona fuera de la compañía ni los controles del sistema de información que son usados ni la forma
en que están implementados. Las excepciones serán hechas únicamente si se obtiene primero un
permiso del director del departamento de seguridad de la información.
256.Revelación de información acerca de las vulnerabilidades de los sistemas de información
Política: La Universidad Distrital precisa que la información específica de las vulnerabilidades de

los sistemas de información tales como los detalles de una reciente entrada ilegal al sistema no
se entregará a personas no autorizadas.
257.Divulgación de las vulnerabilidades del sistema o violaciones al mismo
Política: La Universidad Distrital precisa que los funcionarios no deben revelar públicamente
información acerca de los individuos, organizaciones o sistemas específicos que han sido
dañados por fraudes informáticos y abusos de computadores. Así mismo, los métodos
específicos usados para detectar las vulnerabilidades del sistema no se deben revelar públicamente.

3737
Página 38 de 104
JOSE DE CALDAS
258.Custodia y administración del software utilizado para probar el software de seguridad
Política: La Universidad Distrital precisa que todo software que comprometa la seguridad del
sistema (tal como virus de computador, caballos de Troya y otras rutinas) se custodiará y
administrará únicamente por personal autorizado. Así mismo, los análisis técnicos de dichas
rutinas de software únicamente se revelarán a personas autorizadas.
259.Presentación de una imagen segura y de perfil bajo (low-profile)
Política: La Universidad Distrital precisa que la entidad en todo momento se presentará segura
ante los clientes y terceras partes. La existencia y naturaleza de los activos importantes de la entidad
únicamente debe ser accesible a personas autorizadas.
260.Control de acceso a la información
Política: La Universidad Distrital precisa que el sistema de control de acceso se debe diseñar de
tal forma que si la seguridad de alguno de sus componentes se ve comprometida la seguridad
integral del sistema no lo sea.
261.Elegir clasificación de los medios de almacenamiento de datos en computador
Política: La Universidad Distrital precisa que si la información que está grabada en medio de
almacenamiento clasificado como de alta sensibilidad es movida a un medio con una
clasificación inferior estos medios se deben mejorar y reclasificar como medios de alta
sensibilidad.
1.3.3.2. CATEGORÍAS DE CLASIFICACIÓN DE DATOS
262.Esquema de clasificación de datos en cuatro categorías
Política: La Universidad Distrital precisa que los datos se deben clasificar en cuatro categorías
de sensibilidad según los requerimientos de manejo así: SECRETO, CONFIDENCIAL, PRIVADO
y SIN CLASIFICAR.
Estas clasificaciones se definen como se indica a continuación:
SECRETO: Aplica a la información de la mas alta sensibilidad del negocio que por ninguna razón
debe salir de la entidad, es decir que su uso es estrictamente dentro de la entidad. Su
divulgación no autorizada podría incidir sería y adversamente en la entidad, sus actividades y/o
socios.
CONFIDENCIAL: Aplica a la información menos sensible del negocio que es destinada al uso dentro
de la entidad. Su divulgación no autorizada podría incidir adversamente en la entidad.
PRIVADO: Aplica a la información personal tanto de la historia de la empresa como de sus

empleados destinada al uso dentro de la entidad. Su divulgación no autorizada podría incidir
seria y adversamente en la entidad y/o sus empleados.
SIN CLASIFICAR: Esta clasificación aplica a toda la información restante que no se adapta
claramente en ninguna de las anteriores clasificaciones siempre y cuando su divulgación no
autorizada este en contra de la política y no incida seria y adversamente en la entidad y sus
empleados.

3838
Página 39 de 104
JOSE DE CALDAS
263.Uso de prefijos que describan las categorías de clasificación de datos
Política: La Universidad Distrital precisa que los prefijos como “Financiero”, “Administrativo” y
“Jurídico” entre otros se deben usar como parte de la categoría de clasificación de datos
aprobada. Estos prefijos se utilizan como indicadores generales para identificar la naturaleza de
la información y las personas autorizadas a acceder la información.
1.3.3.3. MARCACIÓN DE LOS DATOS CLASIFICADOS
264.Marcado de información de acuerdo con los estándares de clasificación
Política: La Universidad Distrital precisa que toda información secreta, confidencialidad y privada
debe etiquetarse (marcarse) según normas emitidas por el departamento de seguridad
informática. La información que no se encuentra dentro de alguna de las categorías no necesita
ser marcada como “sin clasificar”. Estas marcas deben mantenerse para cualquier tecnología
usada ya sea en captura, almacenamiento o procesamiento de la información.
265.Responsabilidad para asignar las etiquetas en los sistemas de clasificación de datos
Política: La Universidad Distrital precisa que los funcionarios que crean o actualizan la
información son los responsables de escoger la clasificación apropiada de la información y
etiquetarla. Esta etiqueta debe ser consistente con las decisiones tomadas por los dueños de la
información. La etiqueta debe también ser consistente con los estándares de clasificación de
datos de la entidad.
266.Responsabilidad para marcar la información suministrada externamente
Política: La Universidad Distrital precisa que con excepción de la correspondencia general de

negocio y los registros del software, toda la información suministrada externamente que no es
claramente del dominio público debe ser clasificada y etiquetada. El funcionario que recibe esta
información es el responsable de asignar una clasificación apropiada. Cuando se asigne una
etiqueta de clasificación de la entidad este funcionario debe conservar las notas de propiedad,
créditos del autor, directrices para la interpretación, así como también la información sobre la
distribución restringida.
267.Requerimientos de marcación externa para los medios magnéticos
Política: La Universidad Distrital precisa que todas las cintas, disquetes y otros medios de
almacenamiento de computador que contengan información secreta, confidencial o privada se
deben marcar externamente con la respectiva clasificación de sensibilidad.
268.Ubicación de la marca de sensibilidad sobre los documentos
Política: La Universidad Distrital precisa que toda impresión, escritura a mano, documentos
manuscritos o similares de información secreta, confidencial o privada deben tener una marca de
sensibilidad apropiada puesta en la esquina superior derecha de cada página.
269.Marcación de sensibilidad para los documentos empastados o encuadernados
Política: La Universidad Distrital precisa que todas las impresiones, escrituras a mano u otras
manifestaciones tangibles de información secreta, confidencial o privada deben tener una marca
apropiada de sensibilidad sobre la portada anterior, la pagina de título y la portada trasera.

3939
Página 40 de 104
JOSE DE CALDAS
270.Marcación y presentación de información sensible a usuarios de computador
Política: La Universidad Distrital precisa que si la información es secreta, confidencial o privada

siempre que se muestre en la pantalla o de cualquier manera se presente al usuario del
computador debe mostrar la clasificación de sensibilidad de la información.
271.Uso de etiquetas durante el ciclo de vida de la información sensible
Política: La Universidad Distrital precisa que desde que la información se crea hasta que se destruye
o reclasifica se debe identificar con una marca de sensibilidad ya sea secreta, confidencial
o privada.
272.Etiquetas para archivos de información con diversas sensibilidades
Política: La Universidad Distrital precisa que cuando se combina información de varias

clasificaciones de sensibilidad el archivo resultante se debe clasificar en el nivel mas restringido
que se haya encontrado.
1.3.3.4. IMPLEMENTACIÓN DEL SISTEMA DE CLASIFICACIÓN

1.3.3.4.1. COPIAS E IMPRESIONES
273. Permisos requeridos cuando se elaboran copias de información sensible
Política: La Universidad Distrital precisa que la elaboración de copias adicionales o la impresión

de copias extras de la información secreta, confidencial o privada no se debe realizar sin el
permiso anticipado del propietario de la información.
274.Seguimiento a las copias de información sensible
Política: La Universidad Distrital precisa que cada vez que se hacen copias adicionales de
información sensible se debe llevar un registro en un log donde se indique el número de copias y
cantidad de receptores de éstas. Se debe informar a cada uno de los receptores sobre la
distribución o copia adicional que se realice después que se ha obtenido el permiso del
propietario de la información.
275.Destrucción de productos intermedios que contienen información sensible
Política: La Universidad Distrital precisa que si una fotocopiadora o impresora se atasca o sufre
desperfectos cuando los funcionarios están sacando las copias de información secreta, ellos no
deben abandonar la máquina hasta que todas las copias de la información sean removidas o
destruidas.
276.Destrucción del material de desecho de información sensible
Política: La Universidad Distrital precisa que todas las copias de desecho de información secreta
que se generan en el copiado, impresión o cualquier otra forma similar se deben destruir de
acuerdo con los procedimientos aprobados.
277.Presencia de funcionarios autorizados en el proceso de impresión de la información sensible
Política: La Universidad Distrital precisa que las impresoras no se deben descuidar cuando la
información sensible está siendo impresa o pronto se imprimirá. Cuando el proceso de impresión

4040
Página 41 de 104
JOSE DE CALDAS
se realiza sin la debida atención de algún funcionario autorizado deben existir controles de
acceso físico para impedir que personas no autorizadas estén alrededor de la impresora y
visualicen el material que esta siendo impreso.
278.Responsabilidad y numeración de páginas para la información sensible
Política: La Universidad Distrital precisa que todo papel con información sensible de la entidad debe
indicar la primera y la última página (por ejemplo, “página X de Y”).
1.3.3.4.2. ENVIÓ Y MANIPULACIÓN MANUAL DE LA INFORMACIÓN
279.Acuerdos con terceros para no divulgar la información sensible
Política: La Universidad Distrital precisa que con anterioridad a enviar cualquier información
secreta, confidencial o privada a terceros para copiar, imprimir, formatear o cualquier otro
manejo, los terceros deben firmar con la entidad acuerdo de no divulgación.
280.Envió de información privada y confidencial por el correo interno o externo
Política: La Universidad Distrital precisa que la información privada y confidencial enviada por el
correo interno o externo se debe remitir en un sobre opaco sellado y marcado con el mensaje:
“Para ser abierta únicamente por el destinatario”.
281.Requerimientos de dos sobres para enviar la información sensible por correo
Política: La Universidad Distrital precisa que la información privada o confidencial enviada

mediante correo interno o externo o por mensajería se debe guardar en dos sobres (envueltos
doblemente). El sobre de afuera no debe indicar la clasificación de la información y el sobre
opaco de adentro debe marcarse “Privado”, “Confidencial” o “Secreto” según corresponda.
282.Métodos permitidos para trasmitir documentos con información secreta
Política: La Universidad Distrital precisa que el documento con información secreta se debe
enviar por correo certificado o por mensajería de confianza. Se prohíben otros métodos tales
como correo regular.
283.Papel especial para prevenir el copiado de documentos sensibles
Política: La Universidad Distrital precisa que la información privada, confidencial o secreta de la

entidad que es liberada a terceras partes en forma de documento escrito, debe ser distribuida
exclusivamente en papel especial que no pueda ser copiado usando fotocopiadoras normales.
Toda excepción requiere la aprobación previa del vicerrector.
284.Envió de información sensible por medios computarizados
Política: La Universidad Distrital precisa que la información privada, confidencial o secreta generada
por sistemas de computación debe entregarse personalmente a los destinatarios. Esta información
nunca debe enviarse a un escritorio no atendido o dejada en una oficina abierta o desocupada, como
alternativa la información puede ser dejada únicamente a los destinatarios a través de armarios
cerrados u otros métodos de seguridad física.
285.Acuse de recibo cuando se envía información secreta

4141
Página 42 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que todos los envíos de información secreta se deben
realizar de tal forma que el receptor indique formalmente que la información ha sido recibida
(acuse de recibo).
286.Acuse de recibo escrito para la información secreta
Política: La Universidad Distrital precisa que los receptores de información secreta deben enviar
acuse de recibo formalmente y por escrito en el mismo momento en que se recibe. Se prohíbe la
distribución de información secreta con intermediarios.
287.Libro de log o registro que refleje el movimiento de documentos secretos
Política: La Universidad Distrital precisa que cuando información secreta es involucrada un log debe
mantener el reflejo de las copias hechas, la localización de las copias, los nombres de los receptores,
la dirección de los receptores y de cualquier persona que vea las copias. Estos logs se deben
clasificar como información secreta y se debe guardar tanto tiempo como la información se
mantenga clasificada como secreta.
288.Número de secuencia para documentos secretos
Política: La Universidad Distrital precisa que todas las copias de documentos secretos deben ser
numeradas individualmente con un número secuencial para que las personas responsables
puedan localizar rápidamente los documentos e identificar algún faltante de la misma.
289.La información sensible debe permanecer en lugares con acceso restringido
Política: La Universidad Distrital precisa que los funcionarios que custodian la información
sensible de la entidad deben asegurar que esos materiales no están disponibles para personas
no autorizadas. La información sensible debe ser rotulada como “Confidencial” o “Secreta”.
1.3.3.4.3. TRANSACCIONES POR FAX Y TELÉFONO
290.Cuidados previos y operación para atender el envió de información sensible por fax
Política: La Universidad Distrital precisa que cuando la información secreta se envía por fax el
receptor debe haber sido notificado del momento en el cual se hará la transmisión y además
estar de acuerdo en que una persona autorizada estará presente en la máquina de destino
cuando el material sea enviado. Excepto cuando el área que se encuentra alrededor del fax está
restringida físicamente de tal forma que no puedan entrar personas que no estén autorizadas
para ver el terminal.
291.Requerimientos de presencia humana para el envió de información sensible por fax
Política: La Universidad Distrital precisa que los Documentos sensibles no se deben enviar por
fax a menos que una de las siguientes condiciones prevalezca en ambas partes, el sitio de
origen y en el de destino:
a. Un miembro del personal autorizado está listo para manipular apropiadamente los
documentos, o
b. Una clave que protege la máquina de fax es usada para restringir la liberación no
autorizada de los documentos.
292.Envió de información sensible por fax por medio de terceros no confiables

4242
Página 43 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que la información sensible de la entidad no se debe

enviar por fax con intermediarios no confiables (personal de hoteles, personal de almacenes que
arriendan fax, etc).
293.Confirmación de recepción de la portada o página inicial antes de enviar información

sensible por fax
Política: La Universidad Distrital precisa que cuando se envíe información sensible por fax se
debe enviar primero una portada o página inicial la cual debe ser reconocida por el receptor. Después
se puede enviar la información sensible por medio de otra llamada realizada inmediatamente el
reconocimiento.
294.Situaciones permitidas para enviar información sensible por fax
Política: La Universidad Distrital precisa que la información sensible puede ser enviada por fax
sobre líneas no encriptadas solo cuando:
a. El tiempo es lo esencial y primordial.
b. No hay alternativa, ni los métodos de transmisión de alta seguridad están disponibles.
Para asegurar que la información sensible no se divulgue a otros se requiere de una

comunicación telefónica con el receptor antes de realizar la transmisión.
295.Seguridad física en el destino de la información sensible que se envía por fax
Política: La Universidad Distrital precisa que la información confidencial o secreta no se debe

enviar a una máquina de fax desatendida a menos que la máquina destino esté en un cuarto cerrado
y las llaves estén únicamente en manos de personal autorizado para recibir la información.
296.Requerimientos de encripción para enviar información secreta por fax
Política: La Universidad Distrital precisa que la información secreta NO debe enviarse por fax a
menos que viaje encriptada o se utilicen métodos aprobados por el departamento de seguridad
informática de la entidad.
297.Requerimientos de clave para enviar información secreta por fax
Política: La Universidad Distrital precisa que la información secreta no se debe enviar por fax a
menos que se envíe exitosamente una contraseña con anterioridad a la iniciación de la
transmisión.
298.La hoja de portada del fax debe contener aviso de restricción de difusión
Política: La Universidad Distrital precisa que todo fax que se envíe debe incluir una hoja de
portada previamente aprobada por el departamento de sistemas de información.
299.Las firmas obligatorias deben ser enviadas por medios tradicionales de papel
Política: La Universidad Distrital precisa que todas las firmas de un contrato, orden de compra y
otros documentos igualmente importantes obligatoriamente se deben enviar en papel original.
Legalmente las cortes pueden no reconocen las formas que se comprometen cuando son
enviadas por fax.

4343
Página 44 de 104
JOSE DE CALDAS
300.Difusión de información secreta y el uso de los altavoces
Política: La Universidad Distrital precisa que la información no se debe discutir por altavoz
telefónico a menos que los participantes confirmen que alrededor no hay personas no
autorizadas que podrían escuchar la conversación.
301.Uso de vocabulario prudente en las conversaciones telefónicas que involucre información

sensible
Política: La Universidad Distrital precisa que debido a que las líneas telefónicas pueden ser
interceptadas por personas no autorizadas los funcionarios deben tomar medidas para evitar
hablar de información sensible por teléfono. En caso de ser absolutamente necesario los
funcionarios deben ser cautos en los términos y abstenerse de mencionar detalles sensibles más
allá de aquellos necesarios para realizar el trabajo.
302.Uso de teléfonos inalámbricos o celulares análogos en conversaciones secretas
Política: La Universidad Distrital precisa que asuntos que involucren información secreta de la
entidad nunca se deben discutir en teléfonos inalámbricos o celulares análogos a menos que el
departamento de seguridad informática apruebe alguna línea de comunicación encriptada.
1.3.3.4.4. MOVIMIENTO DE INFORMACIÓN CONFIDENCIAL
303.Diseminación de información secreta
Política: La Universidad Distrital precisa que la información secreta únicamente se debe revelar
después que se ha obtenido la autorización explicita por parte del propietario. Si un individuo ha
obtenido acceso a la información secreta no implica que éste este autorizado para revelarla a
otras personas.
304.Traslado de información secreta transporte público
Política: La Universidad Distrital precisa que a menos que exista una aprobación específica de la
administración los funcionarios deben evitar llevar información secreta de la entidad en
transporte público.
305.Exposición de información sensible en lugares públicos
Política: La Universidad Distrital precisa que la información secreta, confidencial o privada de la

entidad no se debe leer, discutir o exponer en restaurantes, transporte público o en cualquier otro
lugar público.
306.Almacenamiento de información secreta en computadores portátiles
Política: La Universidad Distrital precisa que los funcionarios no deben abandonar o dejar sin
atención los computadores portátiles a su cargo que contengan información secreta de la entidad
a menos que la información esté encriptada. Se conocen como computadores portátiles los
laptop, notebook, palmtop y handbook entre otros.
307.Controles para computadores portátiles con información sensible
Política: La Universidad Distrital precisa que todos los computadores portátiles (laptop,
notebook, palmtop y handbook entre otros) de la compañía que contengan información sensible

4444
Página 45 de 104
JOSE DE CALDAS
deben emplear encripción en el disco duro para sus archivos y protección para el arranque del
sistema.
308.Premisas para la remoción de información sensible de la entidad
Política: La Universidad Distrital precisa que la información sensible de la entidad no debe ser
removida a menos que haya sido aprobada por el propietario de la información. Esta política
incluye computadores, servidores, disquetes, documentos escritos, memos en papel y similares.
Una excepción se hace para backups externos autorizados.
309.Premisas de log para remover la información sensible de la entidad
Política: La Universidad Distrital precisa que siempre que la información sensible de la entidad
vaya a ser removida se debe dejar un registro de la fecha, información involucrada y personas
que poseen dicha información.
310.Premisas para la manipulación de copias de información sensible fuera de la entidad
Política: La Universidad Distrital precisa que las copias de información sensible que no se
encuentre en la entidad y no se esté usando se deben llevar en un maletín o caja cerrada con
llave. Dicha información no se debe dejar en vehículos, salones, oficinas u otras ubicaciones aún
si el lugar se encuentra cerrado.
311.Medios magnéticos requeridos para enviar información a terceros
Política: La Universidad Distrital precisa que todos los medios magnéticos de computador que
se envían a terceras personas se deben formatear antes de grabar la información que va a ser
transferida.
312.Certificación de destrucción antes que el medio de almacenamiento sea devuelto
Política: La Universidad Distrital precisa que cuando una entidad externa requiere que los
medios magnéticos (cintas, discos, CD-ROMs, etc) en los que se envió la información sean
devueltos la gerencia de la entidad debe enviar a la entidad externa una comunicación escrita
asegurando que la información suministrada ha sido destruida.
313.Confidencialidad de la documentación relacionada con el computador de la entidad
Política: La Universidad Distrital precisa que toda la documentación relacionada con el

computador es confidencial por lo tanto los empleados, consultores o contratistas no deben
tomar esta información al retirarse de la entidad.
314.Envío de información secreta por correo electrónico
Política: La Universidad Distrital precisa que si la información secreta puede leerse directamente
no se debe enviar por correo electrónico a menos que lo autorice la oficina de seguridad informática.
Si se cuenta con un método de encripción aprobado y adicionalmente se encripta la información al
enviar y se desencripta únicamente en el destino entonces la información secreta se puede enviar
por el sistema de correo electrónico.
1.3.3.4.5. ALMACENAMIENTO Y DISPOSICIÓN

4545
Página 46 de 104
JOSE DE CALDAS
315.Sistemas de información inadecuados por manejo de información sensible en el tiempo

(time-sensitive)
Política: La Universidad Distrital precisa que para evitar que la información sensible en un rango
de tiempo pueda ser conocida por personas no autorizadas no se debe manejar por correo
electrónico, correo de voz, llamadas telefónicas u otros sistemas computarizados hasta que se
vuelva pública.
316.Limpieza de escritorios y áreas de trabajo
Política: La Universidad Distrital precisa que fuera de las horas de trabajo todos los funcionarios
deben dejar limpios sus propios escritorios y áreas de trabajo de tal forma que todos los datos
sensibles o valiosos queden asegurados adecuadamente.
317.Política tradicional de escritorio limpio
Política: La Universidad Distrital precisa que durante horas no laborales los empleados de áreas
que manejan información sensible deben dejar bajo llave toda la información. A menos que la
información la esté usando personal autorizado, los escritorios deben estar absolutamente
cerrados y limpios durante horas no laborales.
318.Aseguramiento de información sensible en lugares desatendidos
Política: La Universidad Distrital precisa que la información sensible que no se esté usando
siempre debe protegerse para que no sea divulgada sin autorización. Cuando la información se
encuentre en una sala desatendida se debe guardar bajo llave en lugares de almacenamiento
apropiados. Si la persona que custodia la información necesita retirarse por menos de treinta minutos
la información se debe dejar sobre un escritorio o en algún otro sitio visible, siempre y cuando todas
las puertas y ventanas de la sala desatendida estén cerradas y/o bajo llave.
319.Almacenamiento de información sensible en computadores personales
Política: La Universidad Distrital precisa que si la información sensible está almacenada en la unidad
de disco duro u otros componentes internos de un computador personal ésta debe estar protegida
por un control de acceso de contraseña o estar encriptada. Cuando la información sensible se graba
en disquetes cintas magnéticas, tarjetas inteligentes u otros medios de almacenamiento éstos se
deben clasificar en el nivel más alto de sensibilidad. A menos que dicha información esté
encriptada estos medios se deben guardas en muebles cerrados cuando la información no se
encuentre en uso.
320.Almacenamiento de información sensible cuando no esta en uso
Política: La Universidad Distrital precisa que cuando la información sensible no se está

utilizando se debe guardar en archivadores, escritorios, cajas fuertes u otros muebles. En estas
mismas condiciones todos los medios de almacenamiento magnético (disquetes, cintas, CD-
ROMs, etc) que contienen información sensible se debe guardar en medios similares a los
citados anteriormente.
321.Especificar la fecha para reclasificar la información
Política: La Universidad Distrital precisa que como parte de la información de clasificación de la

información secreta, confidencial o privada se debe indicar la fecha en que deja de ser sensible.

4646
Página 47 de 104
JOSE DE CALDAS
Esta Política también aplica para esas circunstancias donde la información se degrada a una
clasificación menos sensible.
322.Acelerar la reclasificación de la información sensible
Política: La Universidad Distrital precisa que en cualquier momento el propietario de la

información puede reclasificar el nivel de sensibilidad inicialmente aplicado a la información. Para
lograr esto el propietario debe:
a. Cambiar la etiqueta de clasificación que aparece sobre el documento original.

b. Notificar a los receptores de la información, y
c. Notificar a los funcionarios que custodian esta información.
323.Extensión de la fecha de reclasificación de la información
Política: La Universidad Distrital precisa que en cualquier momento y con anterioridad a la

programación de reclasificación a un nivel inferior el propietario de la información puede extender
el periodo para que ésta permanezca en un nivel seguro de clasificación. Para lograr esto el
propietario debe:
a. Cambiar la fecha de reclasificación o degradación que aparece sobre el documento

original.
b. Notificar a todos los receptores de la información.
c. Evaluar el costo-beneficio de buscar receptores adicionales. Y
d. Notificar a los funcionarios que custodian la información.
324.Programación automática para reclasificar la información a un nivel inferior de clasificación
Política: La Universidad Distrital precisa que la clasificación de sensibilidad de todos los documentos
de la entidad se debe reclasificar con la periodicidad descrita en la siguiente tabla. Existen
excepciones cuando hay documentos que hacen parte de listas especiales y cuando el propietario
de la información ha dado otras instrucciones para reclasificar o degradar la
información.
Clasificación Existente Nueva Clasificación Después de X Años

Secreto Confidencial 10
Confidencial Privado 5
Privado Público 20
325.Revisión periódica o anual para reclasificar la información sensible
Política: La Universidad Distrital precisa que para determinar si la información sensible se puede
reclasificar en un nivel inferior al menos una vez al año (o con una periodicidad determinada), los
propietarios de la información deben revisar las clasificaciones de sensibilidad asignada a la
información de la cual ellos son responsables.
326.Reclasificación de la información sensible tan pronto como sea posible
Política: La Universidad Distrital precisa que desde el punto de vistan de sensibilidad se puede
reclasificar en un nivel inferior tan pronto como sea posible como sea posible ya que mantener la
información clasificada en altos niveles de seguridad genera altos costos en seguridad.
327.Periodo de retención requerido para toda la información sensible

4747
Página 48 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que a toda la información secreta se le debe asignar un
periodo de retención sin importar el medio en el cual se encuentre almacenada (documentos,
archivos de computador, etc).
328.Destrucción de información sensible antes de ser divulgada públicamente
Política: La Universidad Distrital precisa que antes de enviar medios de almacenamiento

magnético a vendedores o terceros la información sensible se debe destruir u ocultar según métodos
aprobados por el departamento de seguridad informática.
329.El uso de discos duros para el almacenamiento de información sensible
Política: La Universidad Distrital precisa que los funcionarios no deben almacenar información
privada, confidencial o secreta en los discos duros del microcomputador o estación de trabajo a
menos que el administrador de seguridad informática haya determinado las medidas de
seguridad adecuadas que se emplearán para su protección.
330.Mezcla de información sensible u no sensible en el mismo disco
Política: La Universidad Distrital precisa que los funcionarios no deben almacenar información
confidencial, secreta o privada junto con información no sensible en medios de almacenamiento
como disquetes u otros medios de almacenamiento removibles.
331.Destrucción de información sensible almacenada en medios de computación
Política: La Universidad Distrital precisa que cuando se requiera eliminar información secreta,
confidencial o privada los medios magnéticos que almacenan dicha información se deben formatear,
defragmentar o destruir en cualquier otra forma aprobada por el departamento de seguridad
informática de la entidad.
332.Reescritura con un patrón definido para borrar información sensible
Política: La Universidad Distrital precisa que cuando la información sensible de la entidad es

borrada de un disco duro, cinta u otro medio de almacenamiento magnético esto se debe
complementar con una operación de repetición de sobreescritura la cual impide que mas tarde
los datos sean recuperados.
333.Métodos aprobados para eliminar una copia de la información sensible
Política: La Universidad Distrital precisa que las copias de información secreta, confidencial o
privada que se encuentra en medios como papel, microfilm, microfichas u otros similares se debe
picar o incinerar.
334.Instrucciones de destrucción de información para el personal de seguridad
Política: La Universidad Distrital precisa que los desechos de información sensible que se
separan para una destrucción especial no se deben clasificar en categorías para destruir y no
destruir. Todos los materiales de desecho de información sensible se deben destruir de acuerdo
con los procedimientos aprobados sin importar las consecuencias de reciclamiento.
335.La destrucción de información sensible debe seguir procedimientos específicos

4848
Página 49 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que toda la información sensible o de valor para la
entidad que no se ha necesitado por largos periodos de tiempo se debe destruir en forma segura
usando procedimientos aprobados por el departamento de seguridad informática.
336.Personas autorizadas para destruir la información sensible de la entidad
Política: La Universidad Distrital precisa que para el proceso de destrucción de información

sensible sea más seguro lo debe realizar personal de la entidad o contratando un servicio de
destrucción.
337.Uso de cajas o lockers metálicos para retener información sensible que va a ser destruida
Política: La Universidad Distrital precisa que toda la información secreta, confidencial y privada
que no se ha usado o no se ha necesitado por mucho tiempo (no importa en que medio se encuentre
– discos, documentos, etc) se debe guardar en cajas metálicas con llave hasta cuando personal
autorizado de la entidad o de la empresa de servicio contratada la recoja.
338.Aprobación de la Vicerrectora para destruir registros de información
Política: La Universidad Distrital precisa que los funcionarios no deben destruir o disponer de la
información que es potencialmente importante para la entidad sin tener una aprobación
específica. El individuo que realice una destrucción no autorizada de los registros o información
de la entidad estará sujeto a acciones disciplinarias incluyendo la terminación del contrato y
procesos legares. Los registros y la información de debe conservar sí:
a. Son necesarios en el futuro,

b. Las leyes o los estatutos requieren su conservación y
c. En caso de que puedan ser necesitados como pruebas en investigaciones de actos
ilícitos, no autorizados o abusos.
339.Prohibición para destrucción de registros a menos que se esté autorizado en una lista o en
una planilla de programación.
Política: La Universidad Distrital precisa que los funcionarios no deben destruir los archivos de la
entidad a menos que estos registros:
a. Aparezcan en una lista de registros autorizados para su destrucción y

b. Puedan ser destruidos de acuerdo con las instrucciones que aparezcan en la lista o
programación de retención y disposición de registros.
La destrucción se define como un acción que previene la recuperación de la información desde

el medio de almacenamiento donde se encuentra grabada (incluye encripción, borrado y
disponibilidad del hardware necesario para la recuperación de la información).
340.Destrucción de materiales usados en la manipulación de información sensible
Política: La Universidad Distrital precisa que todos los materiales usados en la manipulación de
la información sensible que puedan ser analizados para recuperar la información se deben
destruir de una manera similar a la utilizada para destruir información sensible. Esta Política
cubre cintas de máquina de escribir, papeles carbón, papel para mimeógrafos o esténciles,
negativos de fotografía, fotocopias desechas o impresiones abortadas o no necesitadas, etc.
1.3.3.5. PERMISOS DE ACCESO A DATOS CONFIDENCIALES

4949
Página 50 de 104
JOSE DE CALDAS
341.Autorización previa de acceso a información sensible y valiosa
Política: La Universidad Distrital precisa que el acceso a la información sensible o valiosa se

debe permitir únicamente cuando se tenga una autorización formal de la administración.
342.Otorgar permisos individuales de acceso a la información secreta (no a grupos de personas)
Política: La Universidad Distrital precisa que el acceso a la información secreta se debe otorgar
únicamente a personas específicas y no a un grupo de ellas.
343.Otorgar privilegios de sistema de acuerdo con la jerarquía de la autoridad
Política: La Universidad Distrital precisa que los privilegios del sistema de computación y
comunicación se deben otorgar únicamente por una jerarquía clara de delegación de autoridad.
344.Acuerdos de confidencialidad y divulgación de información sensible
Política: La Universidad Distrital precisa que toda divulgación de información secreta,

confidencial o privada a terceros se debe realizar por medio de un acuerdo de confidencialidad
debidamente firmado el cual incluye restricciones sobre el uso y la propagación de la
información.
345.Instrucciones específicas de manipulación de información sensible
Política: La Universidad Distrital precisa que toda divulgación de información secreta,

confidencial o privada a terceras personas debe estar acompañada por un contrato que describa
explícitamente qué información es restringida y cómo puede o no ser usada.
346.La información que se publica debe tener una fuente oficial y única
Política: La Universidad Distrital precisa que la información generada por la entidad y divulgada
al público debe estar acompañada por el nombre del funcionario asignado para tal fin actuando
como única fuente oficial y de contacto. Todas las actualizaciones y correcciones a esta
información que se libera al público deben fluir mediante esta fuente oficial.
347.Requerimiento de aprobación previa para publicar la información de la entidad
Política: La Universidad Distrital precisa que para revelar cualquier información interna de la
entidad a los medios de comunicación o a terceros se debe obtener un permiso por escrito de un
alto dirigente de la entidad.
348.Periodo de espera para analizar la divulgación o el requerimiento de información externa
Política: La Universidad Distrital precisa que si un ente externo solicita información interna a la
entidad se debe realizar el siguiente procedimiento, el propietario de la información y el
departamento de seguridad informática deben evaluar los méritos en un lapso de cinco días
hábiles si no hay una objeción por parte de este grupo de evaluación la información puede ser
liberada.
349.Procedimientos establecidos para revisar la información que se divulga al público

5050
Página 51 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que toda la información pública debe ser revisada
primero por la administración con un proceso establecido y documentado.
350.Condiciones para aceptar información sensible de terceras partes
Política: La Universidad Distrital precisa que si un empleado, consultor, o contratista recibe

información secreta o confidencial de una tercera parte en nombre de la entidad, su divulgación
se debe autorizar con la firma del tercero en un documento aprobado por la oficina jurídica de la
entidad.
351.Acuerdos de confidencialidad firmados por una tercera parte sin la debida aprobación
Política: La Universidad Distrital precisa que los funcionarios no deben firmar acuerdos de
confidencialidad que provienen de una tercera parte sin la autorización de la oficina jurídica de la
entidad la cual ha sido designada para manejar los derechos de propiedad intelectual.
352.Acceso a información sensible por empleados o consultores temporales
Política: La Universidad Distrital precisa que el acceso a información sensible de la entidad debe
permitirse únicamente a empleados a término indefinido a menos que una de las siguientes
condiciones prevalezca:
a. Ningún empleado a término indefinido tiene el conocimiento o la habilidad

correspondiente.
b. Cuando se requiere empleados adicionales en caso de desastre o emergencia.
c. Con el permiso directo del director de Recursos Humanos.
1.3.3.6. DERECHO A CONOCER
353.Derecho de los funcionarios a conocer todos los riesgos del lugar de trabajo
Política: La Universidad Distrital precisa que los funcionarios tienen derecho a conocer la naturaleza
de todos los riesgos a que se pueden enfrentar en el lugar de trabajo. La administración
debe informarles acerca de la existencia de estos riesgos, proveer protecciones para disminuir el
riesgo y entrenarlos en el apropiado uso de las protecciones.
354.Divulgación de las políticas de seguridad y procedimientos
Política: La Universidad Distrital precisa que como regla general la información de políticas de
seguridad y procedimientos se deben revelar únicamente a funcionarios de la entidad y a entes
externos seleccionados (por ejemplo auditores). Una excepción se hace cuando se involucran
datos privados de las personas; en este caso la entidad tiene el deber de comunicar las políticas
de seguridad de información y procedimientos empleados. Adicionalmente la entidad tiene el
deber de divulgar la existencia de sistemas que contienen información y la manera que esta
información debe ser usada.
1.3.3.7. MANEJO DE DATOS CONFIDENCIALES EN REUNIONES
355.Asistencia de personas no invitadas a reuniones donde se discute información secreta
Política: La Universidad Distrital precisa que personas que no estén específicamente invitadas a
reuniones no deben asistir a las mismas cuando se va a discutir información secreta. Existe una
excepción únicamente cuando se obtiene el permiso y aprobación de la dirección.

5151
Página 52 de 104
JOSE DE CALDAS
356.Reuniones con visitantes en lugares o salas cerradas
Política: La Universidad Distrital precisa que las reuniones de trabajo donde se discute y maneja
información sensible se deben realizar en salas totalmente cerradas para que los visitantes que
se encuentren cerca al lugar no puedan escuchar o tener acceso a la información.
357.Divulgación oral de información confidencial en reuniones
Política: La Universidad Distrital precisa que si una información confidencial se da a conocer

oralmente en una reunión, seminario, lectura o presentación el conferencista debe comunicar
claramente que la información es sensible y advertir a la audiencia sobre la discreción que se ha
de tener para divulgar esta información a otros entes. Las asistencias visuales tales como
diapositivas o filminas deben incluir marcas apropiadas de confidencialidad.
1.3.3.8. DIVERSAS POLÍTICAS DE CONFIDENCIALIDAD
358.Ubicación y naturaleza de información confidencial de la entidad
Política: La Universidad Distrital precisa que la información acerca de la naturaleza y

localización de la información tal como la ubicación en el diccionario de datos, es confidencial y
únicamente debe ser divulgada por quienes estén autorizados.
359.Prohibiciones para examinar los sistemas y redes de la entidad
Política: La Universidad Distrital precisa que los funcionarios no deben examinar los sistemas de
computador o redes de la entidad. Por ejemplo, se prohíbe que individuos curiosos busquen archivos
o programas en los directorios de otros usuarios. Se autoriza la búsqueda cuando se necesita ubicar
información para realizar un trabajo.
360.Autorización a los administradores del sistema para examinar archivos privados de los
usuarios
Política: La Universidad Distrital precisa que los administradores de sistemas están autorizados
para examinar archivos privados de los usuarios para manejar emergencias como infección de
virus y caídas del sistema. Sin embargo a los usuarios involucrados se les debe notificar cuando
los archivos de usuarios son examinados de esta manera. Después que el problema se ha
resuelto todas las copias de los archivos realizadas por el administrador se deben destruir.
361.Requerimientos de apagado de equipos para los sistemas que procesan información

sensible
Política: La Universidad Distrital precisa que todos los computadores que han sido usados para
el procesamiento de información sensible se deben apagar al final del día o al finalizar la sesión.
Esta acción borra el residuo de la información que queda en la memoria del computador
previniendo que sea revelada a personal no autorizado. Una excepción puede hacerse para
computadores independientes (stand-alone) localizados en áreas con un estricto control de
acceso físico el cual previene el acceso a personas no autorizadas al sistema.
362.Cubriendo información sensible cuando se interrumpe el trabajo
Política: La Universidad Distrital precisa que cuando un funcionario está manipulando

información secreta, confidencial o privada de la entidad y otra persona entra o se acerca al sitio

5252
Página 53 de 104
JOSE DE CALDAS
de trabajo el funcionario debe tomar medidas preventivas para ocultar la información. Si está en
forma física debe ser cubierta con otro material o si la información está desplegada en la pantalla
del computador se debe cerrar la pantalla, dar log-off o invocar un protector de pantalla.
363.Uso de grabadoras o dispositivos similares para registrar información sensible
Política: La Universidad Distrital precisa que para reducir la posibilidad de una divulgación no
autorizada de información, los empleados no deben grabar información sensible con máquinas
grabadoras o dispositivos similares. Si el uso de estos dispositivos es una necesidad operacional
la clasificación de esta información debe especificarse al comienzo y al final de cada segmento
de la información y el medio de grabación debe ser marcado con la más estricta clasificación que
exista. Adicionalmente, esta información debe ser borrada del medio tan pronto como sea
posible.
1.3.4. CRITICIDAD DE LOS DATOS

1.3.4.1. DISEÑO DE LOS SISTEMAS
364.Establecer una meta cuantificable en cuanto a la disponibilidad del sistema
Política: La Universidad Distrital precisa que los sistemas de computación críticos deben ser
evaluados frecuentemente en cuanto a su disponibilidad, los usuarios deben poder acceder a los
sistemas de computación compartidos al menos en un 95% del tiempo en horas normales de
trabajo tomando como base el tiempo de uso del sistema en un mes de trabajo.
365.Existencia de límites a los usuarios para demorar o interrumpir el servicio
Política: La Universidad Distrital precisa que las actividades que realizan los usuarios de
sistemas de tiempo compartido deben ser causa para que estos sistemas demoren o
interrumpan excesivamente la prestación del servicio a otros usuarios. Una excepción debe
hacerse para los administradores de la seguridad de los sistemas, los administradores del
sistema y los operadores del computador quienes tienen privilegios para realizar sus trabajos.
366.Establecimiento y uso de los controles para los utilitarios del sistema
Política: La Universidad Distrital precisa que se debe establecer que los utilitarios del sistema
solo se usen en circunstancias excepcionales y que los controles a utilizar los controles a utilizar
se diseñen que manera que se garantice la continuidad de las operaciones del negocio. El
manejo de estos utilitarios del sistema debe estar severamente restringido y se deben usar
únicamente cuando sea absolutamente necesario.
367.Generación y revisión de logs que reflejan el uso de utilitarios del sistema
Política: La Universidad Distrital precisa que cuando los controles del sistema han sido
modificados se debe generar un log que registre los cambios hechos y los comando privilegiados
que fueron usados. Un administrador de seguridad debe revisar oportuna y periódicamente estos
logs y hacer un informe que contemple entre otros los siguientes aspectos:
- El uso de dichos utilitarios fue garantizado.
- Los utilitarios fueron usados correctamente.
368.Equipo requerido para soportar el medio ambiente donde se encuentran los equipos de
computo

5353
Página 54 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que la administración debe proveer y mantener los
sistemas de protección necesarios para asegurar la continuidad del servicio en los sistemas de
computación críticos (sistemas de detección y eliminación de fuego, de potencia eléctrica
suplementaria, de aire acondicionado u otros equipos de protección de sistemas de computo).
369.Equipos de protección eléctrica para microcomputadores
Política: La Universidad Distrital precisa que todos los microcomputadores (Pc’s) u estaciones
de trabajo se deben equipar con unidades suplementarias de corriente (UPS), filtros eléctricos o
supresores de picos de corriendo aprobados por la red de datos UDNET.
370.Equipos de protección contra electricidad estática y condiciones locales
Política: La Universidad Distrital precisa que si las condiciones ambientales y de construcción

presentan alto riesgo de descargas de electricidad estática todos los microcomputadores y
estaciones de trabajo deben tener equipos de protección apropiados y debidamente aprobados
por la red de datos UDNET. Estos equipos asegurarán que las descargas eléctricas no dañen los
equipos o la información.
1.3.4.2. PLANES DE CONTINGENCIA
371.Organizar recursos de información en segmentos de acuerdo a su prioridad de recuperación

o disponibilidad
Política: La Universidad Distrital precisa que la parte administrativa del área de operaciones
tecnológicas debe establecer un esquema lógico para segmentar los recursos de información de
acuerdo a su prioridad de recuperación o disponibilidad, esto permitirá recuperar primero los
recursos más críticos. Todas las áreas de la organización deberán usar este mismo esquema en
los planes de recuperación de sus sistemas de información.
372.Clasificar en forma anual las aplicaciones multi-usuario de acuerdo con su nivel de criticidad
Política: La Universidad Distrital precisa que en conjunto con los usuarios mas experimentados
el departamento de sistemas de información deberá realizar periódicamente una revisión del
grado de criticidad de las aplicaciones multi-usuario en producción. Este proceso de clasificación
permitirá llevar acabo un plan de contingencia coordinado y organizado.
373. Cinco categorías para clasificar aplicaciones en producción por criticidad
Política: La Universidad Distrital precisa que todas las aplicaciones deben ser clasificadas en
una de las siguientes cinco categorías, cada una con requerimientos de manejo diferentes:
Misión Critica, Critica, Prioritaria, Requerida, Aplazable.
374.Preparación y mantenimiento de un plan de respuesta a emergencias de sistemas de

información (sistemas alternos)
Política: La Universidad Distrital precisa que para los sistemas de computo y comunicaciones la
administración de la entidad debe preparar y actualizar periódicamente el plan de emergencia así
como probarlo regularmente. Estos planes deben asegurar la continuidad de las operaciones críticas
del negocio en el evento de una interrupción de las operaciones críticas del negocio en el evento de
una interrupción o degradación del servicio.

5454
Página 55 de 104
JOSE DE CALDAS
375.Organización y mantenimiento de un equipo de respuesta a emergencias de computador

(CERT: Computer Emergency Response Team)
Política: La Universidad Distrital precisa que la administración de la entidad debe organizar y

mantener un equipo interno de respuesta a emergencias de computador que provea una ágil
notificación de problemas, fallas de control y servicios de corrección de errores de problemas
como en los eventos de virus, intromisión no autoriza por parte de hackers y otros.
376.Acciones requeridas ante la sospecha de intromisión a los sistemas
Política: La Universidad Distrital precisa que cuando un administrador del sistema tenga una
buena razón para creer que el sistema de seguridad de un ambiente cualquiera está
comprometido el computador debe ser inmediatamente removido de la red. El administrador del
sistema debe ejecutar un utilitario de comparación de archivos para identificar todos los cambios
al software del sistema y luego recuperar el software ambiental (sistema operacional, redes y
aplicativos de una fuente confiable entre otros). Antes de volverlo a conectar a la red los
sistemas de control de acceso deben ser reiniciados (por ejemplo todas las contraseñas fijas
deben ser cambiadas). La bitácora del sistema o log debe ser copiada y almacenada en un lugar
seguro.
377.Sistema de alertas para seguridad de información y sistemas
Política: La Universidad Distrital precisa que el área administrativa del departamento de

sistemas de información debe establecer, mantener y probar periódicamente el sistema de
comunicación que permita a los usuarios notificar al staff apropiado acerca de posibles intromisiones
en los sistemas de seguridad. Estos problemas incluyen posibles infecciones por virus, intromisión
de jackers, divulgación de información confidencial a entes externos, interrupción de
servicio y otros eventos con serias implicaciones al sistema de seguridad.
378.Los usuarios no deben distribuir información acerca de las vulnerabilidades del sistema
Política: La Universidad Distrital precisa que todos los funcionarios deben informar en forma
inmediata al Help Desk de seguridad las alertas de sistemas de seguridad, advertencias,
posibles vulnerabilidades y todo lo pertinente a intentos sospechosos de intromisión. Queda
terminantemente prohibido a los usuarios distribuir este tipo de información entre personal
interno o externo de la entidad.
379.Notificar a la administración cualquier condición que pueda alterar la operación del negocio
Política: La Universidad Distrital precisa que todos los trabajadores (empleados, contratistas,
consultores, temporales, etc.) están obligados a informar a la administración sobre cualquier
condición que pueda afectar la operación de la entidad.
380.Compromiso de asistencia del usuario durante el plan de recuperación del negocio
Política: La Universidad Distrital precisa que se espera que los usuarios estén presentes y
colaboren con lo mejor de sus habilidades con la recuperación de la actividad normal del negocio
después de una emergencia o desastre en la entidad. Después que los empleados salvaguarden
sus recursos familiares y personales se espera que ellos trabajen horas extras, trabajen bajo
altas condiciones de stress y hagan lo que se tenga que hacer para mantener la operatividad de
la entidad.

5555
Página 56 de 104
JOSE DE CALDAS
381.Localización inmediata de funcionarios del departamento de sistemas de información en

caso de emergencia
Política: La Universidad Distrital precisa que todos los miembros del departamento de sistemas
de información que viajen fuera de la ciudad, deben informar a su jefe directo y secretaria los
teléfonos y direcciones donde puedan ser localizados, esta información debe darse antes del
viaje sin importar el motivo de este. Esta política asegura que todos los miembros de este
departamento estén disponibles en caso de una emergencia o desastre.
382.Inventario de cargos técnicos claves y empleados que los realizan
Política: La Universidad Distrital precisa que la administración de la entidad debe contar con un
inventario anual de los cargos técnicos claves de ésta y los nombres de los empleados que
normalmente desempeñan estas funciones.
383.Entrenamiento cruzado para staff técnico crítico
Política: La Universidad Distrital precisa que en todo momento debe existir por lo menos dos
miembros del staff técnico en capacidad de cumplir con las tareas de un cargo técnico crítico, si
menos de dos personas en la entidad pueden cumplir con esta política se debe en forma
inmediata elaborar un plan de capacitación o contratación de outsourcing o cualquier otra
alternativa para logar tener dos personas técnicas capacitadas en cargos críticos.
384.Preparación y mantenimiento de un plan de recuperación de desastres en sistemas de

computo e información
Política: La Universidad Distrital precisa que la administración de la entidad debe preparar,

actualizar y probar periódicamente un plan de contingencia que permita a las aplicaciones
críticas y sistemas de cómputo y comunicación estar disponibles en el evento de un desastre de
grandes proporciones como terremoto, explosión, huracán, terrorismo o inundación.
385.Preparación y mantenimiento del plan de contingencia del negocio
Política: La Universidad Distrital precisa que la administración de la entidad debe preparar,

actualizar y probar periódicamente un plan de recuperación del negocio. Este plan debe
especificar claramente a los empleados, la operación de oficinas, muebles y enseres, teléfonos,
fotocopiadoras, PC’s, etc. En el evento de una emergencia o desastre.
386.Proceso del plan de continuidad de computadores y del negocio
Política: La Universidad Distrital precisa que el departamento de sistemas de información debe

documentar y mantener para toda la entidad un proceso estándar para el desarrollo y mantenimiento
del plan de contingencia para computadores y plan de contingencia para el negocio.
387.Regreso a procedimientos manuales cuando sea factible desde el punto de vista de costo
Política: La Universidad Distrital precisa que si las actividades críticas del negocio de la entidad
pueden ser realizadas (aún para un corto tiempo) con procedimientos manuales en lugar de
sistematizados, un plan de contingencia debe ser desarrollado, probado y periódicamente
actualizado. En la mayoría de los casos este plan debe estar integrado a los planes de
contingencia para computadores y comunicaciones.

5656
Página 57 de 104
JOSE DE CALDAS
388.Inventario anual de recursos de computación, hardware, software, etc.
Política: La Universidad Distrital precisa que el departamento de sistemas de información debe

preparar un inventario anual de los sistemas de información en producción, de tal forma que
puedan ser rápidamente restablecidos en el caso de un desastre. El inventario debe incluir todo
el hardware, software y canales de comunicación de datos existente.
389.Determinación anual de los niveles de soporte en caso de desastre o emergencia
Política: La Universidad Distrital precisa que las áreas administrativas y el departamento de

sistemas de información deben acordar los niveles de soporte requeridos en el evento de un
desastre y/o emergencia. Estos niveles deben estar especificados en el documento de plan de
contingencia o compromisos de servicio.
390.Pruebas del plan de contingencia de computadores y comunicaciones
Política: La Universidad Distrital precisa que los planes de contingencia de computadores y

comunicación deben ser probados a intervalos regulares con el fin de asegurar que el plan sea
relevante, efectivo, práctico, y fiable de realizar. Cada prueba debe estar documentada y los
resultados y las acciones de corrección a ser tomadas deben ser enviadas a la alta dirección de
la entidad.
391.Mantenimiento preventivo en los sistemas de comunicación y computadores
Política: La Universidad Distrital precisa que se debe realizar en forma regular un mantenimiento
preventivo a los sistemas de comunicación y computadores de tal forma que el riesgo de fallas
sea mantenido en una probabilidad baja. La dirección de la red UDNET debe estipular este plan
de mantenimiento a todos los equipos y su periodicidad.
392.Números telefónicos de los funcionarios del departamento de sistemas de información
Política. La Universidad Distrital precisa que todos los miembros del departamento de sistemas
de información deben mantener informados a sus jefes inmediatos y personal de secretarias con
los números de teléfono y dirección donde puedan ser localizados en caso de ausencias sin importar
su causa. Esta política garantiza que todos los miembros del departamento de sistemas de
información estén siempre disponibles en caso de emergencia y/o desastres.
Esta información debe clasificarse como confidencial y accesarlo únicamente al nivel directo del
plan de contingencia.
1.3.4.3. BACK-UP, ALMACENAMIENTO DE ARCHIVOS Y DISPOSICIÓN DE LOS

DATOS
393.Control de acceso a usuarios finales en el proceso de restauración de la información
Política: La Universidad Distrital precisa que si a los usuarios finales les está permitido restaurar
sus propios archivos de información se les debe restringir la capacidad para restaurar la
información de otros usuarios o inclusive mirar que archivos o inclusive mirar que archivos de
otros usuarios han sido respaldados.
394.Qué datos se deben respaldar y con que frecuencia

5757
Página 58 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que toda la información de valor confidencial y crítica de
la entidad debe ser periódicamente respaldada en medio magnético. Este proceso de respaldo
debe ser realizado al menos mensualmente.
395.Respaldos periódicos y complementos requeridos para computadores portátiles
Política: La Universidad Distrital precisa que los usuarios que usen computadores portátiles
deben hacer respaldo de su información crítica antes de ser llevados fuera del lugar de trabajo
debido a que el robo y pérdida de computadores portátiles se ha vuelto algo muy común.
Estos respaldos deben permanecer en el sitio de trabajo y deben ser hechos en forma adicional a
los procedimientos de respaldo preestablecidos.
396.Encripción de los datos de respaldo que se archiven en sitios fuera de la entidad
Política: La Universidad Distrital precisa que toda información de valor, confidencial o crítica que
sea respaldada y almacenada en un lugar externo a la entidad debe ser respaldada en forma
encriptada para prevenir que esta sea divulgada o usada en forma no autorizada por otras
entidades o personas.
397.Deben existir por lo menos dos copias de respaldo de la información de valor, confidencial o
crítica de la entidad
Política: La Universidad Distrital precisa que todos los usuarios son responsables por realizar
una copia de respaldo del original de la información de valor, confidencial o crítica a su cargo.
Estas copias separadas deben ser hechas cada vez que un número significativo de cambios
sean hechos a la información.
398.Las copias de respaldo de la información crítica de la entidad deben ser custodiadas en

forma externa
Política: La Universidad Distrital precisa que al menos dos copias recientes completas (no
incrementales) de la información crítica de la entidad deben ser almacenadas en forma externa.
399.Proceso de revisión de los backups de usuario final por parte de las áreas administrativas
Política: La Universidad Distrital precisa que las direcciones de cada departamento o sus delegados
deben asegurar que se haga un backup de la información de valor, sensible y crítica contenida en
los microcomputadores (PCs), estaciones de trabajo u otros sistemas menores.
400.Especificaciones y frecuencia del proceso de backup
Política: La Universidad Distrital precisa que se deben llevar a cabo backups incrementales de
toda la información de los usuarios finales diariamente de los días laborales por parte del
administrador de backups. Un backup total de toda la información con una periodicidad mensual.
401.Hacer como mínimo una copia de la información crítica o a la que se le ha hecho backup
antes de volverla a usar
Política: La Universidad Distrital precisa que los backups de información crítica no se deben usar
para efectos de restauración a menos que otro copia de la misma información exista en otro
medio magnético. Si se sospecha de un virus o cualquier otro problema la copia adicional debe

5858
Página 59 de 104
JOSE DE CALDAS
ser realizada en otro computador. Esta política previene que la única copia de la información
crítica sea destruida en un proceso de restauración.
402.Almacenamiento de backups en un sitio externo
Política: La Universidad Distrital precisa que los backups de información de alto valor, sensitiva y
crítica deben ser almacenados en un sitio a por lo menos cinco (5) Kilómetros de distancia de
donde reside la información original. El sitio de respaldo debe tener las protecciones ambientales
adecuadas y su acceso debe ser controlado.
403.La información de respaldo no se debe almacenar en la misma zona de riesgo de incendio

donde reside la información original
Política: La Universidad Distrital precisa que los backups de los computadores y redes deben
ser almacenados en una zona de fuero diferente de donde reside la información original, las
zonas de fuego varían de edificio a edificio y son definidas por el departamento de seguridad.
404.Periodo mínimo de retención de información
Política: La Universidad Distrital precisa que a menos que esté explícitamente definido el
periodo de retención de información, ésta debe ser retenida por el periodo de tiempo necesario
pero no indefinidamente. Si no se especifica el periodo de retención el tiempo mínimo debe ser
de dos (2) años.
405.Borrado regular de información que no es necesaria
Política: La Universidad Distrital precisa que toda la información de la entidad debe ser destruida
o borrada después de que no se necesite. Para soportar esta política la administración debe
velar porque los periodos de retención se cumplan en forma estricta.
406.Destrucción de información
Política: La Universidad Distrital precisa que la administración es responsable por la destrucción

de la información en forma rápida y apropiada cuando está ya no sea relevante ni útil para las
actividades del negocio.
407.Definición del programa de retención de información
Política: La Universidad Distrital precisa que toda la información contable, de impuestos y de tipo
legal debe ser conservada de acuerdo con las normas de ley vigentes, el resto de información
debe ser almacenada por lo menos cinco (5) años.
408.Responsabilidad de la definición del programa de retención de información
Política: La Universidad Distrital precisa que toda la información de la entidad debe ser
almacenada en una forma segura de acuerdo con los programas de retención establecidos por la
oficina jurídica.
409.Los funcionarios de tipo administrativo
Política: La Universidad Distrital precisa que los funcionarios responsables de cada área
administrativa deben identificar y mantener una lista completa de los registros vitales de su área
en caso de un proceso de restauración después de desastre.

5959
Página 60 de 104
JOSE DE CALDAS
410.Directorio de información residente en archivadores de almacenamiento
Política: La Universidad Distrital precisa que toda información almacenada en un sitio externo
debe estar relacionada en un directorio actualizado que muestre la fecha de la última
modificación y su naturaleza.
411.Medios de almacenamiento de información aceptados
Política: La Universidad Distrital precisa que todos los medios físicos donde la información de
valor, sensitiva y crítica sea almacenada por periodos mayores a seis (6) meses, no deben estar
sujetos a una rápida degradación o deterioro. Por ejemplo el papel térmico usado en el fax no es
un medio de almacenamiento recomendado o el papel químico usado en documentos.
412. Prueba regular de la calidad de los backup
Política: La Universidad Distrital precisa que el backup de información de valor, sensible o crítica
que esté almacenada por algunos periodos de tiempo debe ser validada en forma anual de tal
forma que se pueda garantizar que no ha sufrido ningún deterioro.
413.Prueba regular de los dispositivos para hacer backup de la información
Política: La Universidad Distrital precisa que los dispositivos electrónicos usados para hacer
backup de información de valor, sensible o crítica debe ser de alta calidad y probados
regularmente para garantizar que cumplan su objetivo de respaldo de la información establecida.
Dispositivos que no garanticen esta calidad no deben ser usados para hacer copias de
información para recuperación.
414.Conservación de información almacenada en archivadores físicos
Política: La Universidad Distrital precisa que los procedimientos de backup de información de

valor, sensible o crítica deben garantizar que la información no se deteriore. Es responsabilidad
de la administración llevar a cabo diferentes copias en caso que se detecten signos de deterioro.
1.3.5. INTEGRIDAD DE LOS DATOS

1.3.5.1. CONOCIMIENTO Y “STATUS” DE INTEGRIDAD
415.Las áreas responsables deben definir los atributos de integridad de información
Política: La Universidad Distrital precisa que en forma periódica las áreas responsables deben
definir los atributos de integridad de la información tales como vigencia, autenticidad y veracidad.
416.Informar a la administración en caso de falla de los controles de integridad
Política: La Universidad Distrital precisa que si los controles de integridad fallan o se sospecha
de alguna anomalía con estos la administración debe ser informada inmediatamente y anexar
un informe completo del caso.
417.Divulgación de cambios realizados a la información de uso operativo de la entidad
Política: La Universidad Distrital precisa que si la información que usa la entidad para su
operación es modificada por alguna razón (cambio de precios, tarifas u otros) los destinatarios

6060
Página 61 de 104
JOSE DE CALDAS
afectados con este cambio deben ser informados antes de efectuar el cambio para poder trabajar
con la información real.
418.La información usada para tomar decisiones importantes debe ser marcada con la fecha y la
fuente de información
Política: La Universidad Distrital precisa que toda la información usada para la toma de
decisiones que involucren cantidades superiores a $10.000.000 debe ser marcada con el origen
de la información y la fecha correspondiente. El marcado debe ser conservado sin importar la
tecnología que se use para registrar, almacenar y procesar la información.
419.Manejo de información en desuso e incompleta
Política: La Universidad Distrital precisa que toda información incompleta, obsoleta o en desuso
debe ser suprimida y no distribuida al usuario a menos que este acompañada de una explicación
que describa la naturaleza de dicha información como informes preliminares, resultados sujetos a
validación, etc.
420.Toda la información que ingresen a un sistema de producción computarizado deben tener un

número de secuencia único
Política: La Universidad Distrital precisa que para facilitar el seguimiento y solución de

problemas en el proceso toda transacción que ingrese a un sistema de producción
computarizado debe tener un número de secuencia único que lo identifique.
1.3.5.2. INTEGRIDAD DE LAS FUENTES DE INFORMACIÓN
421.Todas las transacciones que ingresen a un sistema de producción computarizado deben

estar debidamente autorizadas
Política: La Universidad Distrital precisa que debe existir procedimientos para garantizar que
toda entrada de datos a un sistema de producción computarizado haya sido debidamente
autorizado.
422.Requerimientos para modificar información de valor, sensible o crítica
Política: La Universidad Distrital precisa que toda transacción que afecte información de valor,
sensible o crítica debe ser procesada únicamente cuando se valide la autenticidad del origen
(usuario o sistema) y se compruebe su autorización mediante un mecanismo de control de
acceso o perfiles. Los procesos de autenticación pueden ser realizados a través de contraseñas,
tarjetas inteligentes, lectores biométricos, firmas digitales o validación de autenticación de
mensajes (MAC)
423.Validación de datos de entrada y procedimiento para el manejo de datos erróneos
Política: La Universidad Distrital precisa que todas las transacciones que ingresen a un sistema
de producción computarizado deben ser sujetas a un chequeo razonable de edición y/o
validación de control. Las transacciones que no pasen estos controles deben ser:
a. Rechazadas y enviar una explicación al usuario.

b. Corregidas e ingresadas de nuevo.
c. Pendientes hasta hacer una investigación apropiada.

6161
Página 62 de 104
JOSE DE CALDAS
424.Ingresar dos veces datos de alta sensibilidad para el sistema
Política: La Universidad Distrital precisa que para reducir la probabilidad de ingreso erróneo de
datos de alta sensibilidad todos los procedimientos de ingreso de información deben forzar que estos
sean ingresados dos veces, por ejemplo el cambio de contraseñas.
425.Numeración de las líneas de una pagina cuando se manipula información crítica, de valor o
sensible en forma libre
Política: La Universidad Distrital precisa que en mensajes de texto en formato libre (cartas,
memorandos, etc.) enviados por correo electrónico o fax y que impliquen información crítica o de
alta importancia para el negocio cada línea no debe ser numerada. Este procedimiento evitará la
omisión o remoción deliberada de ciertas partes del texto.
426.El origen de la transacción debe estar claramente identificado
Política: La Universidad Distrital precisa que las transacciones que afecten información de valor,
crítica o sensible deben ser originadas únicamente desde documentos y mensajes electrónicos
en los que el individuo o sistema que origine la transacción este explícitamente definido.
427.La entrada de datos a bodegas de información requiere del origen y clasificación de

seguridad y otras marcas especiales
Política: La Universidad Distrital precisa que todos los datos de entrada a las bodegas de
información de la entidad deben estar acompañados de información acerca de su origen,
clasificación de sensibilidad, veracidad (firmas, sello) y la fecha de su más reciente revisión.
428.Los documentos oficiales preparados a mano se deben escribir con tinta
Política: La Universidad Distrital precisa que todos los documentos oficiales de la entidad
preparados a mano deben ser escritos con tinta. Si una parte requiere corrección se debe
señalizar, colocar las iniciales, firma de la persona y la fecha en que se realizo el cambio. Los
correctores líquidos para hacer estas correcciones están prohibidos.
1.3.5.3. CONTROL DE MODIFICACIONES
429.Controles para minimizar los riesgos de alteración de la información
Política: La Universidad Distrital precisa que la administración debe establecer y mantener un

número aceptable de controles como firmas digitales, encripción de mensajes, autenticación de
mensajes y logs de auditoria para asegurar que la información de la entidad este libre de un
significativo riesgo de alteración que no se pueda detectar.
430.Las fotografías alteradas deben estar preferiblemente marcadas
Política: La Universidad Distrital precisa que las fotografías presentadas como una reflexión de
la realidad no deben estar alteradas. Si son alteradas el espectador debe poder determinar
prontamente los cambios efectuados.
431.Proceso de autorización para cambios a datos y programas

6262
Página 63 de 104
JOSE DE CALDAS
Política: La Universidad Distrital precisa que los datos y programas de producción de la entidad
deben ser modificados únicamente por personal autorizado de acuerdo con los procedimientos
establecidos.
432.Todas las transacciones en producción deben ser autorizadas por la dirección del área
responsable
Política: La Universidad Distrital precisa que todas las transacciones que actualicen o
modifiquen los registros de la entidad deben ser autorizadas por la dirección del área
responsable.
433.Revisión razonable y precisa a los cambios en los registros internos de la entidad
Política: La Universidad Distrital precisa que la dirección del área responsable mediante
procedimientos bien definidos debe revisar en una forma razonable y precisa los cambios hechos a
los registros internos de la entidad. Por ejemplo, cuentas de cobro, información contable e
inventarios entre otros.
1.3.5.4. REPRESENTACIÓN CONSISTENTE DE LOS DATOS
434.Suplantación de identidad en mensajes de correo electrónico
Política: La Universidad Distrital precisa que la suplantación de identidad en mensajes de correo

electrónico esta prohibida. El nombre de usuario, dirección de correo, cargo en la entidad y cualquier
otra información contenida en los mensajes de correo debe corresponder al empleado originario de
la transacción.
435.Mecanismo consistente para identificar un empleado de la entidad
Política: La Universidad Distrital precisa que para asegurar la integridad de los registros de
información de negocios de la entidad todos los empleados deben tener una única forma de
identificación con su nombre, dirección y otra información personal y debe ser usada
consistentemente en todas las funciones dentro de la entidad.
436.Validación cruzada de información importante de la entidad
Política: La Universidad Distrital precisa que la información importante de la entidad debe ser
comparada con fuentes externas o llevarse a cabo validaciones cruzadas en forma periódica
para asegurar que este lo mas actualizada y vigente posible.
437.Toda información al público debe ser validada por el departamento de relaciones públicas
Política: La Universidad Distrital precisa que toda información importante al público como
paginas W EB, propaganda en medios escritos, electrónicos y hablados de la entidad debe ser
validada por el departamento de relaciones públicas.
1.3.5.5. CENSURA DE LOS DATOS
438.Uso de sistemas de comunicación y computadores para emitir opiniones personales de los

empleados.
Política: La Universidad Distrital precisa que los sistemas de comunicación y computadores de

la entidad no deben ser usados para emitir opiniones personales de los empleados.

6363
Página 64 de 104
JOSE DE CALDAS
439.Censura de información divulgada por los medios de comunicación de la entidad
Política: La Universidad Distrital precisa que La administración de la entidad se reserva el

derecho de censurar cualquier tipo de información a través de los medios de comunicación y
computadores de la entidad. Las facilidades de comunicación de la entidad son privadas y no de
dominio público.
440.Todo tipo de información nueva de la entidad debe ser catalogada en los diccionarios de
datos de la compañía
Política: La Universidad Distrital precisa que todo tipo de información nueva de la entidad que
sea usada en el día a día del negocio debe ser catalogada en los diccionarios de datos de la
compañía.
441.Derecho de la administración de la entidad a remover material de tipo ofensivo o ilegal
Política: La Universidad Distrital precisa que la administración de la entidad se reserva el

derecho a remover de sus sistemas de información cualquier material que pueda ser ofensivo o
ilegal.
442.La entidad no se responsabiliza por el monitoreo periódico y continuo del contenido de todos
los sistemas de información
Política: La Universidad Distrital precisa que la entidad no se responsabiliza por el monitoreo en

forma periódica y continua del contenido de todos los sistemas de información. La entidad se reserva
el derecho de remover cualquier mensaje, archivo, base de datos, gráfico o cualquier otro
material de los sistemas de información.
443.Acceso restringido a los sistemas de producción computarizados y facilidades de

comunicación de la entidad
Política: La Universidad Distrital precisa que los computadores y facilidades de comunicación de

la entidad como correo de voz, boletines electrónicos, sistemas administrativos de base de datos y
facilidades de correo electrónico no deben ser usados como foros abiertos para discutir o comentar
cambios organizacionales o políticas del negocio.
444.Responsabilidad y obligación por el contenido de mensajes en las carteleras de anuncios de

la entidad
Política: La Universidad Distrital precisa que la entidad no se hace responsable por el contenido
de los mensajes que aparecen en las carteleras de anuncios así como no se genera ninguna
responsabilidad por el contenido de estos. Con respecto a éstas la entidad actúa como una empresa
de difusión de información y como tal no controla el contenido de los mensajes expuestos
allí así como no se responsabiliza por la veracidad, exactitud o validez de la información
contenida en ellos.
445.Los comentarios de los empleados en las carteleras de anuncios u otros medios no reflejan
la posición de la entidad
Política: La Universidad Distrital precisa que los comentarios que los empleados hagan a través
de sistemas de correo electrónico, carteleras de anuncios u otros sistemas electrónicos no son
necesariamente declaraciones formales o posiciones oficiales de la entidad.

6464
Página 65 de 104
JOSE DE CALDAS
446.Avisos de advertencia en los sistemas de difusión de información de la entidad cuando los

destinatarios se puedan sentir ofendidos o molestos
Política: La Universidad Distrital precisa que si existe la posibilidad de que el contenido de una
grabación en el contestador automático, correo de voz, carta o cualquier otro medio de difusión
de información de la entidad ofenda o moleste a algún segmento de la población a que este
dirigido el mensaje se debe incluir en la portada, introducción o cualquier otro lugar un mensaje
de advertencia para que el usuario su criterio reciba o no la información.
447.La entidad no provee servicios de protección de mensajes a nivel de red
Política: La Universidad Distrital precisa que cuando la entidad provee servicios de red de
comunicaciones está actuando como un proveedor de transporte de información y actúa como
proveedor de servicios de comunicación y no de servicios de protección de información. Por lo
tanto la entidad no se responsabiliza por la privacidad y envió oportuno de la información vía red
o sistemas de comunicación de la entidad.
448.Persecución étnica, sexual y racial
Política: La Universidad Distrital precisa que la persecución étnica, racial o sexual incluyendo
llamadas telefónicas anónimas y mensajes de correo anónimo están estrictamente prohibidas y
pueden causar sanciones e incluso la terminación del contrato de un empleado. La
administración debe hacer que esta política sea clara a todos los empleados e investigar en
forma inmediata cualquier ocurrencia sospechosa.
1.4. SEGURIDAD EN COMUNICACIONES

1.4.1. ESTABLECIMIENTO DE LOS SISTEMAS Y DE LAS RUTAS DE ACCESO
1.4.1.1. DIAGRAMA DE CONTROL DEL SISTEMA INCLUYENDO FIREW ALLS
449.Las direcciones de la red no deben ser divulgadas públicamente
Política: Las direcciones internas, configuraciones e información relacionada con el diseño de

los sistemas de comunicación y cómputo de la entidad debe ser restringida de tal forma que no
sean conocidas no por usuarios internos ni por personas ajenas a la organización sin la previa
autorización del área responsable.
450.Todos los computadores de la red deben contar con un mecanismo de control de acceso
lógico
Política: Si los empleados dejan en funcionamiento sus computadores y estos están conectados
a la red éstos deben estar protegidos con un software de control de acceso aprobado por el
departamento de seguridad informática.
451.Mecanismos de control de acceso para computadores conectados a la red
Política: Todos los computadores de la entidad que puedan ser accedidos por terceros a través
de mecanismos como líneas conmutadas, redes de valor agregado, Internet y otros deben ser
protegidos por mecanismos de control de acceso aprobados por el departamento de seguridad
informática. Esta política no aplica para computadores que usen modems para conectarse en
forma de terminales de salida a otros sistemas.
452.Las conexiones a líneas conmutadas deben pasar siempre a través de in firewall

6565
Página 66 de 104
JOSE DE CALDAS
Política: Todas las líneas conmutadas que permitan el acceso a la red de comunicaciones o
sistemas multi-usuario deben pasar a través de un punto adicional de control como un firewall,
servidor de acceso o gateway.
453.La conexión a Internet requiere de implementar un mecanismo de firewall aprobado y

certificado
Política: Toda conexión entre los sistemas de comunicación de la entidad e Internet o cualquier
red pública de datos debe incluir un firewall y otros mecanismos adicionales de control de
acceso.
454.Conexiones directas entre los computadores de la entidad y otras organizaciones requieren

de un mecanismo de tunneling
Política: La conexión directa entre un computador de la entidad y otras organizaciones vía redes
públicas de datos como Internet requieren de la aprobación del departamento de seguridad
informática quienes estipularan los mecanismos de seguridad apropiados como firewalls y
tunneling.
455.Prohibir el uso de comandos entre redes como finger cuando son ejecutados desde
computadores externos a la entidad
Política: Para detener el acceso no autorizado a los sistemas internos de la entidad y otros
problemas relacionados todo comando ejecutado desde un computador externo a la red debe ser
ejecutado después de hacer el procedimiento establecido de ingreso al sistema (login).
1.4.1.2. CREACIÓN DE CONEXIONES EN RED
456.Aislar de la interna de la compañía sistemas que contengan información secreta
Política: Los sistemas de computadores de la entidad que contengan información secreta no

deben estar conectados a ningún otro computador.
457.Los clientes deben estar de acuerdo en forma explicita sobre los nuevos servicios o mejoras
dadas por la entidad.
Política: Los clientes que reciban servicios de comunicación o computadores de la entidad

deben estar de acuerdo en forma explicita para recibir nuevos servicios o mejoras antes de que
sean implementados. En la ausencia de una confirmación explicita la compañía debe proveer los
servicios previamente acordados.
458.Los estándares para transporte de información de otros proveedores no aplican para la

entidad
Política: Los servicios de comunicación de información de la entidad deben ser provistos en una
forma contractual y no basados en los estándares tradicionales de las empresas transportadoras
de datos e información tradicionales.
459.Cualquier comunicación externa vía modems o cualquier otro medio de comunicación debe
estar aprobada

6666
Página 67 de 104
JOSE DE CALDAS
Política: Los empleados y contratistas no deben llevar a cabo ningún tipo de instalación de
nuevas líneas telefónicas o canales de transmisión de datos sin haber sido formalmente
aprobados por el director de la red de datos UDNET.
460.Autorización previa para llevar a cabo la configuración de los sistemas multi-usuario de la

entidad
Política: Los empleados no deben establecer carteleras electrónicas de anuncios, redes locales,
conexiones vía modem a la red interna de la entidad sin la aprobación de la dirección de
seguridad informática de la entidad.
461.Autorización previa para la intercomunicación directa entre computadores de la entidad
Política: La conexión en tiempo real entre dos o más computadores de la red de la entidad debe
ser explícitamente aprobada por el departamento de seguridad informática con el fin de evitar la
omisión de controles de acceso lógico.
462.Criterios de conexión de la red interna de la compañía a otros terceros
Política: La conexión entre sistemas internos de la entidad y otros de terceros debe ser
explícitamente aprobada y certificada por el departamento de seguridad informática con el fin de
no comprometer la seguridad interna de la información de la entidad.
463.Requerimientos de seguridad para conectar la red interna de la entidad a la de terceros
Política: como requisito para interconectar las redes de la entidad con las de terceros los
sistemas de comunicación de terceros deben cumplir con los requerimientos establecidos por la
entidad. La entidad se reserva el derecho de monitorear estos sistemas de terceros sin previo
aviso para evaluar la seguridad de los mismos, al igual que cancelar y terminar la conexión a
sistemas de terceros que no cumplan con los requerimientos internos establecidos por la
entidad.
464.Autorización previa para conexiones a Internet
Política: Los empleados no pueden establecer conexiones a sistemas públicos de acceso a

información como Internet a menos que hayan sido aprobados por el área de seguridad
informática de la entidad. Estas conexiones incluyen el establecimiento o puesta en marcha de
sistemas de archivos para múltiples computadores como (SUN’s NIS), www, servidores FTP y
otros similares.
465.Uso de los computadores de los empleados para realizar funciones de la entidad
Política: El uso de los computadores, software, periféricos e información de los empleados para
realizar funciones de la entidad debe ser autorizado por la dirección de cada área administrativa.
466.Requerimientos de seguridad para trabajar desde la casa o sitio de residencia
Política: El trabajo desde la casa es una decisión del director del área responsable. Para ello se
deben tener en cuenta las siguientes consideraciones: Seguridad física e informática par los
recursos de la entidad, un ambiente de trabajo que no distraiga al empleado, procedimientos
para evaluar el rendimiento del empleado y mecanismos apropiados para estar en contacto con
otros empleados.

6767
Página 68 de 104
JOSE DE CALDAS
467.Intercambio electrónico de datos (EDI) y otros sistemas electrónicos para negociar
Política: Aunque el uso de sistemas electrónicos de intercambio de información (EDI) y otros

sistemas electrónicos para negociar deben ser promovidos agresivamente todos los contratos deben
ser elaborados en documentos de papel antes de la compra o venta a través de estos sistemas.
Todas las transacciones vía EDI, correo electrónico y otros sistemas similares deben estar
soportados en un medio físico como ordenes de compra entre otros.
468.Elaborar contratos de negociación antes de usar EDI
Política: Antes de usar los sistemas de la entidad para intercambio electrónico de datos (EDI)
con terceros se debe hacer un contrato que establezca los términos y condiciones de uso de
EDI. Este contrato debe ser aprobado por el consejo legal.
469.Criterios para aceptación y actuación en sistemas que involucren transacciones electrónicas
Política: Si las transacciones son enviadas y procesadas en forma automática (vía EDI por
ejemplo) se debe tener en cuenta lo siguiente para aceptar un mensaje o transacción:
a. Que se compruebe que el mensaje venga de una fuente autorizada para negociar con la
entidad por medio de un archivo de perfiles de negociación
b. Que en forma adicional se valide la exactitud y autenticidad del mensaje
1.4.2. ENCRIPCIÓN
1.4.2.1. CUANDO USAR LA ENCRIPCIÓN
470.Todo proceso de encripción de información debe ser previamente autorizado
Política: La información de la entidad no puede ser encriptada a menos que este explícitamente
aprobado por el departamento de seguridad informática.
471.Uso de utilidades de encripción con contraseñas o palabras claves dadas por el usuario
Política: Para prevenir la perdida de información crítica los empleados de la entidad nunca
deben utilizar procesos de encripción que requieran por parte del usuario la entrada de una clave
o contraseña. Si la información sensible necesita ser protegida se deben usar mecanismos de
protección especificados por el departamento de seguridad informática como SMART – DISK
entre otros.
472.Cualquier información secreta enviada por la red de amplia cobertura geográfica debe ser
encriptada por equipos hardware especializados para este tipo
Política: Si la información secreta de la entidad es enviada por la red de amplia cobertura

geográfica esta debe ser encriptada en equipos hardware especializados para este fin. Si la
información fluye entre sitios del mismo edificio de la entidad se requiere encripción a nivel se
software.
473.Transporte de información secreta de la entidad en medios magnéticos
Política: Si la información secreta de la entidad es transportada de un lugar a otro en medios

magnéticos como discos duros removibles, disquetes, cintas, cartuchos y CD-ROMs entre otros
esta debe estar en forma encriptada por software.

6868
Página 69 de 104
JOSE DE CALDAS
474.La información secreta de la entidad debe permanecer encriptada cuando no se este usando
Política: Toda información secreta de la entidad debe permanecer encriptada cuando no se este
usando, por ejemplo cuando no se esta manipulando con la ayuda de un software de oficina o
especifico como en utilitarios del sistema.
475.La información almacenada en discos duros debe estar encriptada
Política: Para prevenir la divulgación no autorizada de información cuando los computadores

son sacados de la entidad para reparación, cuando son robados, perdidos o usados por terceros
toda la información residente en los discos duros debe estar encriptada con un proceso transparente
al usuario.
1.4.2.2. ADMINISTRACIÓN DE LAS LLAVES DE ENCRIPCIÓN
476.Algoritmos estándares de encripción
Política: En caso de uso de encripción se deben usar algoritmos de encripción certificados y

probados a nivel mundial como DES y TRIPLE-DES.
477.La divulgación de las llaves de encripción a la entidad requiere de una aprobación especial
de rectoria
Política: Las llaves de encripción son información de la más alta sensibilidad y el acceso a ellas
debe ser estrictamente controlado solo a personal autorizado, a menos que lo autorice Rectoria
las llaves de encripción no deben ser dadas a consultores, contratistas u otros terceros.
478.Sistemas de administración de llaves de encripción y separación de llaves
Política: Los sistemas de encripción de la entidad no deben estar diseñados de tal forma que
una única persona tenga el conocimiento de cualquiera de las llaves de encripción de la entidad.
Se deben establecer claramente separación de funciones y un control de doble intervención.
Separación de funciones se refiere a la intervención de más de un individuo en ciertas
actividades del negocio mientras que doble intervención se refiere a que dos personas deben
estar simultáneamente presentes para realizar una actividad especifica.
479.Condiciones para la delegación de la administración de llaves
Política: La responsabilidad de administrar llaves puede ser únicamente delegada a una persona
que ha pasado pruebas de conocimiento del tema, una auditoria de seguridad operativa y que ha
firmado un contrato de confidencialidad de la información a la entidad.
480.Canales separados de comunicación para datos y llaves de encripción
Política: Si se una encripción la información cifrada debe ser enviada por un canal de
comunicación diferente al usado para distribuir las llaves a menos que se tenga un proceso
independiente de cifrado para el envió de las llaves de encripción.
481.Preferencias por sistemas automáticos de administración de llaves de encripción
Política: La entidad debe usar sistemas automáticos de administración de llaves en lugar de

métodos manuales siempre y cuando estos sistemas estén disponibles en el país y para el
sector.

6969
Página 70 de 104
JOSE DE CALDAS
482.Vida máxima de las llaves de encripción
Política: Cuando se usen mecanismos de encripción para proteger los datos de la entidad las
llaves deben ser cambiadas al menos cada noventa (90) días.
483.Todas las llaves de encripción debe tener una fecha establecida de vida o expiración
Política: Todas las llaves de encripción deben tener una fecha límite de expiración y deben ser
establecidas a priori. Esta política es para asegurar que la llave se este cambiando con bastante
anterioridad.
484.Proceso de generar llaves de encripción
Política: Cuando se use mecanismos de encripción las llaves deben ser generadas con base a
un procedimiento que no sea fácilmente duplicado por un adversario de tal forma que le sea
imposible adivinar las llaves de encripción. Un ejemplo es la generación aleatoria de llaves de
encripción basadas en un generador que toma la semilla de una parte del reloj del computador.
485.Longitud mínima de las llaves de encripción escogidas por un usuario
Política: Cuando se usen llaves de encripción escogidas por el usuario la longitud de la llave no
debe ser inferior a ocho (8) caracteres.
486.Protección de los elementos usados en la generación de llaves de encripción
Política: En caso de usar llaves de encripción los materiales usados en la generación de las
llaves deben ser destruidos, así mismo las llaves deben ser guardadas con los procedimientos
apropiados para guardar información confidencial. Otro material de tipo lógico como llaves maestras,
vectores de inicialización, semillas para la generación de números aleatorios y otros deben ser
borrados o destruidos para evitar que caigan en malas manos que puedan en forma inteligente tratar
de reconstruir el proceso de generación de llaves de encripción.
487.Manejo de llaves maestras de encripción de llaves
Política: Las llaves maestras son llaves para encriptar las llaves de encripción usadas en el
ciframiento de la información. Como tal están en el nivel más alto de la jerarquía de llaves de
encripción y pueden ser manejadas manualmente con controles de doble intervención con el
conocimiento fraccionado de la llave maestra. En forma alterna pueden ser almacenadas en módulos
especiales a prueba de intrusos. En todo otro evento deben permanecer en forma encriptada.
488.Destrucción de materiales usados en el proceso de generación de llaves de encripción
Política: Todos los elementos usados para la generación, distribución y almacenamiento de

llaves como copias en carbón, cintas de impresión y otros deben ser protegidos de un acceso
indebido. Cuando estos elementos no se necesiten deben ser destruidos con destructores de
papel, cinta, incinerados o por cualquier otro método permitido.
489.Rango de tiempo para la destrucción de material involucrado en el intercambio de llaves de

encripción

7070
Página 71 de 104
JOSE DE CALDAS
Política: Los funcionarios responsables de la custodia del material usado para el intercambio de
llaves de encripción deben destruir todo el material de acuerdo a los procedimientos establecidos
en un periodo razonable de tiempo (no mayor a diez (10) días) seguidos a la verificación del
intercambio existo de las llaves de encripción.
490.Prevención de la divulgación no autorizada de las llaves de encripción
Política: Se debe tener precaución de no permitir la divulgación no autorizada de las llaves de

encripción, se deben usar controles de tipo técnico como llaves físicas y uso de hardware
resistente a intrusos (emanación de radiación electromagnética)
491.Prohibición de la transmisión de llaves de encripción en textos legibles
Política: Si las llaves de encripción son transmitidas por líneas de comunicación, deben ser
enviadas en un formato encriptado. Las llaves de encripción podrían ser hechas con un algoritmo
más fuerte del que es usado para encriptar otros datos sensibles protegidos por la encripción.
492.Almacenamiento de llaves encriptadas en un mismo medio como protección de datos

prohibidos
Política: Si la encripción es utilizada para proteger datos sensibles resientes en el medio de

almacenamiento del computador las llaves de encripción y los materiales de encripción de llaves
relacionadas (vectores de inicialización, indicadores de hora y fecha, parámetros, etc.) utilizados
en el proceso de encripción no deben ser almacenados en ningún medio de almacenamiento en
forma no encriptada.
493.Los sistemas de encripción para propósitos generales deben incluir custodia de llaves
Política: Todos los procesos de encripción de propósito general que están funcionando en los
sistemas de información de la entidad deben incluir funciones de custodia de llaves. Estas
funciones especiales le permiten al administrador de la entidad recuperar información encriptada
en caso que existan errores de sistema, humanos u otra clase de problemas.
494.La firma digital y las llaves de autenticación del usuario no deben estar custodiadas
Política: Las llaves utilizadas para firmas digitales, certificados digitales y autenticación del
usuario nunca deben ser incluidas en un arreglo de seguridad para custodia de llaves. Al estar
estas llaves disponibles a terceras personas les permite la suplantación de identidad lo cual
facilita el fraude y falsedad.
1.4.2.3. TEMAS MISCELÁNEOS DE ENCRIPCIÓN
495.Borrado de datos legibles después que la versión encriptada ha sido hecha
Política: Cuando se utiliza la encripción los empleados no pueden borrar solamente la versión legible
de datos a menos que ellos hallan demostrado que el proceso de encripción puede resultar
una versión ilegible de los datos originales.
496.Asignación explicita de funciones de manejo de llaves encriptadas
Política: Cuando la encripción es utilizada para proteger datos sensibles el (los) dueño(s) de los
datos debe (n) explícitamente asignar responsabilidad para el manejo de la encripción de llaves.

7171
Página 72 de 104
JOSE DE CALDAS
497.Llaves separadas para encripción y autenticación de mensajes
Política: Si se utilizan los códigos de encripción y de autenticación de mensajes (MAC’s) se

deben usar diferentes llaves para cada una de estas dos medidas de control.
498.Compresión y encripción de datos sensibles para tener en almacenamiento
Política: Si información secreta va a ser almacenada en un sistema de computadoras multi-

usuario debe ser comprimida y luego encriptada usando un algoritmo de encripción aprobado.
499.Módulos de encripción por hardware resistentes a alteraciones ilegales
Política: Todos los procesos relacionados con al encripción debe ser desarrollados
preferiblemente en módulos de hardware resistentes a alteraciones ilegales en lugar de software.
Este sistema minimiza la amenaza de un reverso de ingeniería del software y una revelación
desautorizada de la(s) clave(s).
1.4.3. MARCACIONES TELEFÓNICAS POR COMPUTADOR
500.Inserción en directorios de números telefónicos de contacto relacionados con el computador
Política: Información relacionada con el acceso de los sistemas de computador y

comunicaciones de la entidad tales como números telefónicos de marcaciones de los modems
es considerada confidencial. Esta información NO debe ser expuesta en boletines electrónicos,
escrita en directorio telefónicos, escritos en tarjetas de presentación o hacerla accesible a
terceras personas sin el previo permiso escrito del responsable del área. Los números
telefónicos, números de fax y direcciones de correo electrónico son permitidos a excepción de
esta política.
501.Cambios periódicos de los números telefónicos en el computador
Política: Los números telefónicos de las comunicaciones por computador de la entidad deben
ser cambiados periódicamente.
502.Sistemas extendidos de autenticación de usuarios para líneas de marcación
Política: Para identificar positivamente la persona que llama a cualquier conexión de llamada a
la red interna de información de computación de la entidad es necesario usar el sistema
extendido de autenticación de usuarios. Estos sistemas incluyen funciones de devolución de
llamadas, tarjetas inteligentes, biométrica (lector de huella digital, lector de iris e identificar de voz
entre otros) y otras tecnologías aprobadas que proveen más seguridad que los sistemas
tradicionales de código de acceso fijos.
503.Modems en estaciones de trabajo conectadas a redes internas
Política: Los trabajadores tienen prohibido conectar modems a estaciones de trabajo que estén
simultáneamente conectadas a la red de comunicación interna.
504.Conexiones de discado directo prohibidas a menos que sea utilizando un modem autorizado
Política: Con la excepción de computadores portátiles y computadores de telecomunicaciones

se prohíbe el uso de modems locales que establecen conexiones de marcado directo. Todas las
conexiones de discado directo con los sistemas y debed de la entidad deben ser dirigidas a

7272
Página 73 de 104
JOSE DE CALDAS
través de un modem autorizado que incluye una aprobación extendida de la autenticación al

usuario del sistema de seguridad.
505.Se Prohíbe en los computadores personales vía modem la función de contestación

automática
Política: Los usuarios no pueden dejar los modems conectados a computadores personales en
función de contestación automática porque estos son capaces de recibir llamadas entrantes de
discado directo.
506.Llamadas entrantes de discado directo no deben ser contestadas hasta el cuarto repique
Política: Todos los modems de discado directo en la entidad no deben contestar llamadas
entrantes hasta el cuarto repique. Esto frustrará que la gente busque acceso no autorizado en
los computadores de la entidad que tienen programas que identifican líneas de teléfono con conexión
a computadores, porque los modems no contestan inmediatamente, estos programas concluirán
erróneamente que las líneas de los modems son líneas de voz.
507.Aprobación requerida para sistemas que aceptan entrada de llamadas de discado directo
Política: Los trabajadores de la entidad no deben establecer ningún sistema de comunicación

para que acepte entrada de llamadas de discado directo a menos que estos sistemas hallan sido
previamente aprobados por el departamento de seguridad de información.
508.Departamento de manejo responsable por la compatibilidad estándar del discado directo
Política: Las conexiones de discado directo a sistemas internos y las redes deben ser
establecidos por personal de desarrollo, administradores de sistemas y otros siempre y cuando
estos sean consistentes con los estándares internos publicados. Antes de que las conexiones de
discado directo sean activadas el personal del departamento que este efectuando la instalación
debe asegurarse de que estos estándares han sido seguidos. Todas las variaciones de estos
estándares deben ser aprobadas con anticipación por el personal encargado del departamento
de seguridad de información.
509.Intentos máximos permitidos de códigos de paso para usuarios de discado directo
Política: Si un usuario de computador que entra a través de una línea de discado directo no da
un código de paso correcto luego de tres (3) intentos consecutivos la conexión debe ser
inmediatamente terminada.
1.4.4. INFORMACIÓN TRANSFERIDA
510.Controles necesarios para transferir información sensible de la entidad
Política: Antes de transferir información secreta, confidencial o privada de un computador a otro

la persona que esta realizando la operación debe asegurarse que los controles de acceso en el
computador de destino son proporcionales con los controles de acceso del computador origen. Si
la seguridad comparable no puede ser otorgada con los controles de acceso del sistema de
destino entonces la información no debe ser enviada.
511.Bajar información sensible es prohibido sin obtener permiso

7373
Página 74 de 104
JOSE DE CALDAS
Política: La información sensible de la entidad puede ser bajada de la estructura principal a un

microcomputador o una estación de trabajo solo después de que dos condiciones hallan sido
completadas. Para que esta transferencia de información tome lugar tiene que existir una
necesidad clara de trabajo y un permiso anticipado del dueño de la información. Esta política no
intenta cubrir correo electrónico o memos pero si se aplica a bases de datos, archivos principales y
otra información guardada en las estructuras principales, microcomputadores, servidores y
otras máquinas multi-usuarios.
1.4.5. SISTEMAS TELEFÓNICOS
512.Llamadas por cobrar son prohibidas en líneas de correo de voz
Política: los administradores a cargo de los sistemas de correo de voz en la entidad deben hacer
arreglos con la compañía de teléfonos para que las llamadas por cobrar sean prohibidas en las
líneas telefónicas con correo de voz.
513.Deshabilitar llamada con código de área 900 en todos los PBX (conmutadores) de la entidad
Política: Los administradores a cargo de los conmutadores en la entidad deben programar los
sistemas de tal manera que todas las llamadas con códigos de área 900 sean prohibidas. Esto
evitara que se hagan llamadas no autorizadas a sistemas de información (algunos de los cuales
son muy costosos) que luego la entidad tendrá que pagar.
514.Las zonas a llamar por el conmutador debe ser registradas
Política: Para reducir la incidencia de fraude los números accesibles utilizando el conmutador de
la entidad deben ser restringidos únicamente a aquellos números necesarios para propósitos de
negocios.
515.Los empleados no deben devolver llamadas a códigos de área 900 o similares
Política: Los empleados de la entidad no deben devolver llamadas telefónicas regulares o

beepers donde número a llamar tiene un código de área 900 donde cargos extras a una llamada
personas son aplicados o donde los cargos serán devueltos para que la entidad los pague.
516.Dejar información sensible en contestadores automáticos
Política: Los empleados se deben abstener de dejar mensajes que contienen información
sensible en contestadores automáticos o sistemas de correo de voz. Esto ayudara a asegurar
que la información llegara únicamente a la persona indicada.
517.Utilizar tarjetas de crédito en los sistemas de los teléfonos del sistema PBX (Conmutador)
Política: Los empleados deben evitar hacer llamadas de discado directo usando tarjetas de
crédito telefónicas a través del conmutador como lo hacen algunas organizaciones y hoteles.
Estos conmutadores pueden grabar el número de la tarjeta de crédito y el número de
identificación personal. Esta información puede ser usada periódicamente para hacer llamadas
fraudulentas. Donde se sabe la existencia de conmutadores los trabajadores deberían hacer sus
llamadas desde teléfonos públicos u otras líneas directas.
518.Uso de tarjetas de crédito en teléfonos públicos

7474
Página 75 de 104
JOSE DE CALDAS
Política: Cuando se usan teléfonos públicos si las circunstancias lo permiten los empleados
deben deslizar las tarjetas de crédito en lugar de oprimir o dictar los números para la información
de cobro.
519.Permiso de los dos usuarios para todo uso de altavoz o grabadora
Política: Cuando se use el teléfono los trabajadores no deben utilizar el altavoz del teléfono,
micrófonos, altavoces, grabadoras o tecnología similar a menos que se halla obtenido el permiso
del originado y e receptor de la llamada.
520.Permiso especial necesario para grabar sesiones de videoconferencia
Política: Las sesiones de videoconferencia no deben ser grabadas a menos que esta grabación
ha sido:
a. Previamente aprobada por el directo de registro de archivo y

b. Previamente comunicado a todos los participantes de la videoconferencia.
521.Uso de teléfonos para uso personal
Política: Los teléfonos de la entidad tienen la función de facilitar las actividades propias. Los
teléfonos no deben ser utilizados para propósitos personales, a menos de que estas llamadas no
puedan efectuase fuera de las horas de trabajo. En estos casos las llamadas personales deben
ser de una duración razonable.
522.Reembolso por llamadas telefónicas personales
Política: Los teléfonos de la entidad no deben ser utilizados para hacer llamadas personales
especialmente llamadas de larga distancia. Es necesario enfatizar en las llamadas de larga
distancia por que es allí donde se encuentra el mayor gasto en cuanto a llamadas personales se
refiere. Esta política permite explícitamente llamadas personales locales sin necesidad de
reportarlas o de reembolso.
523.Códigos de identificación para soporte de computadores
Política: A menos que la voz de la persona que llama es definitivamente reconocida la entidad
de las personas haciendo llamadas telefónicas pidiendo soporte de computador debe ser
autenticado utilizando un código especial de identificación. Este código de identificación es y
debe ser diferente de un código de acceso de computador y que este intencionado para el
conocimiento exclusivo del personal interno autorizado.
1.4.6. SISTEMAS DE CORREO ELECTRÓNICO
524.Usando la cuenta de correo electrónico asignada a otro individuo
Política: Los empleados no deben utilizar una cuenta de correo electrónico que ha sido asignada
a otro individuo no para enviar ni para recibir información. Si hay necesidad de leer el correo de
otra persona (por ejemplo cuando están en vacaciones) la remisión de mensajes a otra dirección u
otros métodos pueden ser usados preferiblemente.
525.Enviando correo electrónico a una dirección de la red externa

7575
Página 76 de 104
JOSE DE CALDAS
Política: A menos que el dueño u origen de la información este de acuerdo previamente o a

menos de que la información sea netamente pública los empleados no podrán enviar mensajes
de correo electrónico a ninguna dirección afuera de la red de la entidad.
526.Mensajes de correo electrónico proveídos por remitentes externos
Política: Los empleados no pueden crear o remitir sus propios mensajes de correo electrónico
proveídos externamente que puedan ser considerados como acoso o que puedan contribuir a un
ambiente de trabajo hostil. Un ambiente de trabajo hostil puede ser creado cuando comentarios
derrogativos sobre el sexo, raza, religión o preferencias sexuales son circulados.
527.Grabado y retención de correo electrónico
Política: Los sistemas de administración de la entidad deben establecer y mantener un proceso

sistemático para el grabado, retención y distribución de mensajes de correo electrónico y sus
respectivas notas o marcas (logs). La destrucción de los mensajes y sus notas o marcas (logs)
debe ser pospuesto cuando una notificación legal es recibida. Tal destrucción debe ser también
pospuesto si el material puede ser necesario para una acción legal inminente.
528.Retención de mensajes de correo electrónico por parte del usuario para referencia futura
Política: Si un mensaje de correo electrónico tiene información de referencia potencialmente

importante o tiene valor como evidencia de una decisión de la gerencia debe ser retenida para
una referencia. La mayoría de los mensajes de correo electrónico no entran en estas categorías
por lo que pueden ser borrados después de ser recibidos.
529.Usuarios no deben emplear el sistema de correo electrónico como una base de datos
Política: Los usuarios deben regularmente cambiar información importante de archivos de correo
electrónico a un documento de procesador de palabra, base de datos y otros archivos. Los
sistemas de correo electrónico no están intencionados para guardar archivos de información
importante. Los mensajes de correo electrónico pueden ser destruidos periódicamente por el
administrador del sistema cuando existan problemas en el sistema.
530.Expectativas de privacidad y correo electrónico
Política: Los trabajadores deben tratar los archivos y los mensajes de correo electrónico como
información privada. El correo electrónico se debe manejar como comunicación directa y privada
entre el originador y el receptor.
531.Tratando el correo electrónico como comunicaciones públicas
Política: A menos que el material este encriptado los usuarios deben abstenerse de enviar
información de investigación y desarrollo, de tarjetas de crédito, códigos de acceso e información
confidencial vía correo electrónico.
532.Autorización para leer correo electrónico de otros empleados
Política: Cuando el director de la red de datos, el director de recursos humanos y el director de

la oficina jurídica estén colectivamente de acuerdo los mensajes de correo electrónico viajando a
través de los sistemas de la entidad pueden ser monitoreados para cumplir con políticas internas
por sospechar de actividad criminal y otras razones de sistemas de gerencia. A menos de que

7676
Página 77 de 104
JOSE DE CALDAS
este trabajo sea específicamente asignado por los jefes de dependencia el monitoreo de los
mensajes de correo electrónico esta prohibido por cualquier otro trabajador.
533.Anotaciones profanas, obscenas ó despreciativas en los mensajes de correo electrónico
Política: Los trabajadores no deben usar apuntes profanos, obscenos o despreciativos en

discusiones referentes a empleados, estudiantes o competidores. Estos apuntes aunque no
hagan daño directo pueden crear problemas legales como calumnia o difamación de carácter
entre otros.
534.Restringir el contenido del mensaje en el sistema de información de la entidad
Política: Los empleados tienen prohibido enviar o remitir por medio del sistema de información
de la entidad cualquier mensaje que una persona razonable pueda considerar difamatorio, hostil o
explícitamente sexual. Los empleados también tienen prohibido enviar o remitir mensajes o
imágenes por medio del sistema de la entidad que puedan ofender las creencias de raza,
género, nacionalidad, orientación sexual, religión, creencias políticas o discapacidad.
535.Notificar el contenido monitoreado por trasmisiones de correo electrónico
Política: La entidad utiliza rutinariamente herramientas que examinan el correo electrónico para
identificar palabras claves seleccionadas, tipos de archivos y otra información. Los usuarios
deben restringir sus comunicaciones a asuntos de trabajo en reconocimiento a este monitoreo
electrónico.
536.Reportar al originador y a recursos humanos acerca de mensajes ofensivos enviados por

correo electrónico
Política: Los empleados son animados a responder directamente al originador del correo electrónico
ofensivo llamadas telefónicas y/o cualquier otro tipo de comunicación. Si el originador no para de
enviar mensajes ofensivos prontamente el trabajador debe reportar la comunicación a su jefe directo
y al departamento de recursos humanos.
537.Los mensajes de correo electrónico son registros de la entidad
Política: El sistema de correo electrónico de la entidad debe ser usado únicamente para
propósitos de trabajo. Todos los mensajes enviados por medio del correo electrónico son
registros de la entidad. La entidad se reserva el derecho de acceder y revelar todos los mensajes
enviados por medio del sistema de correo electrónico para cualquier propósito. Los supervisores
deben revisar las comunicaciones de correo electrónico de los trabajadores supervisados para
determinar si han atentado contra la seguridad, violado políticas de la entidad o ejecutando
cualquier otra acción no autorizada. La entidad también debe revelar los mensajes electrónicos a
los oficiales de la ley sin notificación previa a los trabajadores que hayan enviado o recibido este
tipo de mensajes.
538.Remitir copias de correo electrónico oficial al archivo de registros
Política: Todos los mensajes de correo electrónico que contengan una aprobación administrativa
formal, autorización, delegación o manejo de responsabilidad o cualquier transacción similar
deben ser copiados al departamento de archivo de registros.
539.Uso personal de sistema de correo electrónico

7777
Página 78 de 104
JOSE DE CALDAS
Política: El sistema de correo electrónico esta creado con el propósito de ser utilizado principalmente
para cuestiones de trabajo. Cualquier uso personal no debe interferir con las actividades
normales del trabajo, no debe involucrar solicitud, no debe ser asociado con ningún beneficio fuera
de las actividades propias de trabajo y no debe avergonzar a la entidad.
540.Autorización para hacer público un mensaje a través de correo electrónico y correo de voz
Política: La herramienta de envió de mensajes masivos a través de correo electrónico y correo

de voz pueden ser utilizadas o aprobadas por la alta gerencia.
1.4.7. DISPOSICIONES DE TELECOMUNICACIONES
541.Equipos permitidos para telecomunicaciones
Política: Los empleados que laboren para la entidad en sitios de trabajo alternos deben utilizar
equipos de computación y red proveídos por la entidad. Se hará una excepción únicamente si
otros equipos han sido aprobados como compatibles con el sistema de información y los
controles de la entidad.
542.Alternaciones/expansiones hechas a los computadores dotados por la entidad
Política: Los equipos de cómputo de la entidad no deben ser alterados ni mejorados en ninguna
forma sin el consentimiento y autorización del responsable del departamento.
543.Reporte de daños de hardware – software pertenecientes a la entidad
Política: Los trabajadores deben reportar a su superior prontamente sobre cualquier daño o
pérdida del equipo, software o información que tengan a su cuidado y sean propiedad de la
entidad.
544.Protección de la propiedad de la entidad en sitios de trabajo alternos
Política: La seguridad de la propiedad de la entidad en sitios de trabajo alternos es tan

importante como lo es en las oficinas centrales. En sitios de trabajo alterno se deben tomar
precauciones razonables que puedan proteger contra robo, daño y/o mal uso a los equipos, el
software y la información.
545.Derecho a propiedad intelectual desarrollados en sitios de trabajo alternos
Política: La propiedad intelectual desarrollada o concebida mientras el trabajador se encuentre

en sitios de trabajo alternos es propiedad exclusiva de la entidad. Esta política incluye patentes,
derechos de reproducción, marca registrada y otros derechos de propiedad intelectual según lo
manifestado en memos, planes, estrategias, productos, programas de computación,
documentación y otros materiales.
546.Derecho a inspeccionar en ambientes de telecomunicaciones
Política: La entidad tiene el derecho de llevar a cabo inspecciones en oficinas de

telecomunicaciones sin previo aviso.
1.4.8. CONEXIONES DE INTERNET
547.Negación de responsabilidad institucional para todos los mensajes personales de Internet

7878
Página 79 de 104
JOSE DE CALDAS
Política: En cualquier momento que un trabajador publique un mensaje en un grupo de discusión

de Internet, en un boletín electrónico o cualquier otro sistema de información público, este
mensaje debe ir acompañado de palabras que indiquen claramente que su contenido no
representa la posición de la entidad. Dichas palabras son requeridas aun cuando el nombre de la
entidad no aparezca en el texto del mensaje y/o cuando una afiliación con la entidad no ha sido
establecida explícitamente.
548.Derecho de propiedad intelectual de otras fuentes de Internet
Política: Aunque el Internet es un ambiente de comunicación informal aplican las leyes para
derechos de reproducción, patentes, marcas registradas y todo lo relacionado. En este punto los
empleados que utilicen sistemas de la entidad deben por ejemplo:
a. Publicar material únicamente después de obtener permiso de la fuente.
b. Indicar la fuente si ésta es identificada.
c. Revelar información interna de la entidad en Internet solo si la información ha sido
aprobada oficialmente en un comunicado público.
549.Revelación de información de contacto personal en foros públicos de Internet
Política: Los funcionarios que se preocupen por acecho, acoso u otra invasión de su privacidad
no deben revelar sus nombres reales, direcciones o números telefónicos en boletines
electrónicos, sesiones de charla o cualquier otro foro público en Internet.
550.Las páginas Web no oficiales son permitidas solo por contrato
Política: Las páginas World Wide Web (WWW) no oficiales que tengan que ver con
procedimientos o servicios de la entidad son prohibidas a menos que el patrocinador de estas
páginas tenga un contrato firmado por el director de relaciones públicas. Los trabajadores que se
den cuenta de una nueva referencia o servicio de la entidad en Internet deben informar tan
pronto como sea posible al director de relaciones públicas.
551.Comité administrativo de la página W eb de la entidad en Internet
Política: Todos los cambios que se hagan en la página Web de la entidad en Internet deben ser
aprobados por un comité especial antes de ser publicados. Dicho comité es establecido por el
departamento de relaciones públicas. Este comité debe asegurarse que todo el material puesto
en la página Web contenga una apariencia consistente y pulida, esté de acuerdo con las metas
de la empresa y protegido por las medidas de seguridad adecuadas.
552.Requerimientos de diseño de la página Web en Internet
Política: Todas las páginas Web de la entidad en Internet deben ajustarse a estándares de
diseño, navegación, redacción legal y requerimientos similares establecidos por el comité de
administración de la página Web en Internet.
553.Aceptación de ideas no solicitadas a través de Internet
Política: Si existe un mecanismo que reciba comentarios o sugerencias en el W eb de la entidad,

este debe contener las siguientes palabras: “la recepción de ideas no solicitadas por la entidad
no obliga a la compañía a mantener estas en confidencialidad no obliga a la compañía a pagar a
la persona que las presente”.

7979
Página 80 de 104
JOSE DE CALDAS
554.Enviar software y otra información importante por el Internet
Política: Información secreta, propietaria o privada de la entidad nunca se debe enviar por
Internet si primero no ha sido encriptada por medio de métodos apropiados. A menos que se
tenga un conocimiento específico de estar en el dominio público, el código fuente debe estar
encriptado siempre antes de ser enviado por Internet.
555.Eliminación de publicaciones electrónicas inapropiadas puestas en foros públicos
Política: El correo electrónico enviado por los empleados de la entidad a grupos de discusión de
Internet, boletines electrónicos y cualquier otro foro público debe ser revisado y removido en
caso que se determinen inconsistencias con los intereses propios de la entidad o la política
existente en la compañía. Los mensajes de esta categoría incluyen:
a. Declaraciones políticas.
b. Declaraciones religiosas.
c. Lenguaje mal hablado.
d. Afirmaciones vistas como acoso a creencias de raza, credo, color, edad, sexo,
impedimento físico o inclinaciones sexuales.
La decisión de borrar correo electrónico debe ser tomada por el director de seguridad de información,
el director de recursos humanos o la persona que se delegue para tal fin. Cuando sea práctico y
posible se informará a las personas responsables por el mensaje de la decisión y se les dará la
oportunidad de que sean ellos mismos quienes los eliminen.
556.La entidad bloqueara el acceso a ciertas paginas en Internet
Política: Los sistemas de información de la entidad rutinariamente previenen a los usuarios de

conectarse a determinadas páginas de Internet. Los empleados que encuentren que se pueden
conectar a páginas de Internet que contengan contenidos sexuales, racistas o cualquier otro tipo
de material ofensivo deben desconectarse inmediatamente de ese sitio e informar a la dirección
de seguridad informática. La posibilidad de conectarse a una página específica por si mismo no
implica que el usuario del sistema de la entidad tenga el permiso para visitar dichos sitios.
557.Manejo de software y archivos bajados de Internet
Política: Todo el software y archivos bajados desde fuentes diferentes a la entidad a través de
Internet o cualquier otra red pública deben ser protegidos con software de detección de virus.
Esto debe realizarse antes de empezar a ejecutar o examinar a través de cualquier otro
programa como por ejemplo un procesador de palabra.
558.Fiabilidad de la información bajada de Internet
Política: Toda la información sacada a través de Internet debe considerarse sospechosa hasta tanto
no se confirme con otra fuente. No existe un proceso de control de calidad en Internet y una
cantidad considerable de información de Internet no esta actualizada, es errónea y deliberadamente
falsa.
559.Intercambio de información en Internet
Política: Software, documentación y cualquier otro tipo de información interna de la entidad no

debe ser vendida o transferida a ninguna parte que no pertenezca a la entidad para ningún propósito
diferente al del negocio. No se debe dar el intercambio de software y/o datos entre la

8080
Página 81 de 104
JOSE DE CALDAS
entidad y una tercera parte a menos que se haya llegado a algún acuerdo escrito y éste haya
sido firmado por el vicerrector. Dicho acuerdo debe especificar tanto los términos como las
formas en que el software y/o datos deben ser manejados y protegidos.
560.Las conexiones de Telnet en Internet están prohibidas
Política: Las conexiones de Telnet (También conocidas como conexiones de acceso remoto en
sistemas Unix) en Internet a través de los computadores de la entidad están prohibidas sin
ninguna excepción.
561.La ejecución del programas Java está prohibido a menos que se haya validado la firma
digital
Política: Los trabajadores tienen prohibido ejecutar applets de Java bajados desde Internet a
menos que:
a. El applet provengan de una fuente confiable y conocida

b. La firma digital haya sido chequeada y no se haya descubierto ningún problema.
562.El acceso a Internet utilizando los computadores de la entidad se debe hacer a través de un
firewall
Política: El acceso a Internet utilizando computadores en las oficinas de la entidad está

permitido cuando el usuario se comunica a través del firewall de la entidad. Otras formas de
acceso a Internet como conexiones dial-up con un proveedor de Internet (ISP) están prohibidas
si se utilizan computadores de la entidad.
1.4.9. CONEXIONES DE INTRANET
563.Todos los contenidos publicados en Intranet son propiedad de la entidad
Política: A menos que se cuente con una aprobación por adelantado del director del
departamento de servicios de información y una nota explicita en la página de intranet en
cuestión todos los contenidos publicados en intranet de la entidad son propiedad de la misma.
564.Chequeo previo a la publicación de información de intranet
Política: Antes de publicar material de la entidad en intranet los trabajadores deben chequear a
fondo toda la información y programas para asegurar que no incluyan virus, caballos de Troya y
cualquier otro código malicioso. Antes de publicar la información los empleados también deben
confirmar la actualidad, oportunidad y relevancia de la misma.
565.Revisión mayor de páginas de intranet antes de su publicación
Política: Antes de hincar la publicación en intranet de la entidad todos los usuarios

desarrolladores de páginas Web deben evaluar posibles problemas de seguridad y operaciones
de acuerdo a un proceso aprobado establecido por el departamento de seguridad en
información.
566.Toda la información publicada en las páginas de intranet deben tener un propietario

8181
Página 82 de 104
JOSE DE CALDAS
Política: Toda la información publicada en intranet de la entidad debe tener un propietario

designado. Toda información de contactos para este propietario debe ser claramente indicada en
las páginas en que aparece dicha información.
567.Información secreta no se debe publicar en intranet o Internet
Política: Debido a que la tecnología de intranet e Internet presenta altos niveles de ataque la
información secreta de la entidad no debe quedar residente en los servidores de intranet y/o Internet.
568.El establecimiento de servidores de intranet requiere aprobación de la red de datos
Política: Antes de conectarlos a la red interna todos los servidores intranet de la entidad deben
ser preautorizados por el administrador de servicios de red en la red de datos.
569.Aprobación requerida para acceso por parte de terceros a sistemas internos
Política: Todo acceso de terceros a sistemas de computadora de la entidad que no sean

públicos debe ser aprobado por adelantado por el coordinador de seguridad informática
designado.
570.Redireccionar información de intranet de la entidad a terceros
Política: La intranet de la entidad es para uso exclusivo de personas autorizadas. A diferencia de

Internet la información de intranet debe ser únicamente para personal autorizado. Los empleados
no deben redireccionar información que aparezca en intranet a terceros sin pasar por los canales
internos aprobatorios.
571.Los desarrolladores de sitios de intranet deben utilizar la guía de estilo de la entidad
Política: Todos los trabajadores que desarrollen en intranet debe observar consistentemente la
guía de estilo de intranet y utilizar los recursos encontrados en el sitio de implementación de intranet.
2. SEGURIDAD GERENCIAL
2.1. SEGURIDAD ADMINISTRATIVA
2.1.1. ENTRENAMIENTO Y CONOCIMIENTO
572.Entrenamiento sobre seguridad de información requerido para todos los trabajadores de

información
Política: Todos los empleados, consultores y contratistas deben contar con suficiente
entrenamiento y material de referencia de soporte que les permita proteger adecuadamente los
recursos de información de la entidad.
573.El departamento de seguridad de la información es el responsable del entrenamiento

relacionado
Política: El departamento de seguridad de la información debe proveer cursos de actualización y

cualquier otro material para recordar regularmente a los empleados, consultores y temporales
acerca de sus obligaciones con respecto a la seguridad de la información.
574.Tiempo requerido en el entrenamiento sobre seguridad de la información

8282
Página 83 de 104
JOSE DE CALDAS
Política: La administración debe ubicar suficiente tiempo para que los empleados se pongan al
corriente de las políticas, procedimientos y forma relacionada con como proteger la información
de la entidad.
575.Trabajar de acuerdo a los procedimientos y políticas de seguridad de la información
Política: Cada trabajador debe entender las políticas y procedimientos de la entidad con respecto
a la seguridad de la información y debe estar de acuerdo en escribir para desarrollar su trabajo
de acuerdo con dichas políticas y procedimientos.
576.Atención a la clase de seguridad de la información obligatoria
Política: Cada trabajador debe atender a una clase de conciencia sobre seguridad en la
información dentro de los tres primeros meses una vez haya iniciado a laborar con la entidad.
Para que exista una evidencia de que cada empleado ha atendido a dicha clase, cada uno debe
firmar un acuerdo que especifique que ellos han asistido a clase, entendido el material
presentado y han tenido la oportunidad de hacer preguntas.
577.Conformidad con el código corporativo de conducta requerido
Política: Como una condición de relación de trabajo continuo continuado con la entidad, todos
los trabajadores deben leer, entender y comportarse de acuerdo con el código corporativo de
conducta.
578.Reconocimiento de firma para entender el código de conducta
Política: Todos los trabajadores deben indicar su entendimiento del código de conducta firmando
anualmente una forma de reconocimiento que especifique que ellos están de acuerdo con el
código a suscribir el código.
579.Definición clara de las responsabilidades sobre la seguridad de la información de terceros
Política: Todo aquel que deje información a cargo de la entidad debe estar pendiente de sus
responsabilidades con la seguridad de su información, por medio de un leguaje específico que
aparezca en sus contratos, el cual define sus relaciones con la entidad.
2.1.2. REPORTE DE PROBLEMAS DE SEGURIDAD
580.Reporte de los incidente presentado s en la seguridad de la información requerido
Política: Todos los incidentes que se puedan presentar en la seguridad de la información se

debe reportar tan pronto como sea posible a través de los canales correctos.
581.Reporte interno de violaciones y problemas en la seguridad de la información
Política: Los trabajadores de la entidad tienen la tarea de reportar todas las violaciones y
problemas con la seguridad de la información al departamento de seguridad de información en
un tiempo prudente para que así se pueda tomar una acción que los solucione prontamente.
582.Centralización de los reportes relacionados con problemas en la seguridad de la información

8383
Página 84 de 104
JOSE DE CALDAS
Política: Todas las vulnerabilidades conocidas – además de todas las violaciones conocidas –
deben ser comunicadas en forma rápida y confidencial al departamento de seguridad de información.
Adicionalmente todas las revelaciones de información de la entidad no autorizadas deben ser
reportadas a los propietarios de la información involucrados. Está estrictamente prohibido
reportar violaciones de seguridad, problemas o vulnerabilidades a cualquier parte fuera de la
entidad (exceptuando auditores externos) sin la previa aprobación escrita de la oficina jurídica.
583.Interferencia al reporte de problemas en la seguridad de la información

Política: Cualquier intento de interferir, prevenir, obstaculizar o disuadir a un miembro del
personal en su esfuerzo por reportar posibles problemas o violaciones en la seguridad de la
información está estrictamente prohibido y es causal de acciones disciplinarias. Cualquier forma
de retaliación contra reportes individuales o investigaciones acerca de problemas o violaciones
en la seguridad de la información también está prohibida y causa acción disciplinaria.
584.Protección de los trabajadores que reporten problemas en la seguridad de la información
Política: La entidad protegerá a los trabajadores que reporten de buena fe lo que ellos creen es
una violación de las leyes o regulaciones, o condiciones que pueden poner en peligro la salud o
seguridad de otros trabajadores. Esto significa que dichos trabajadores no pueden ser
despedidos, amenazados o disciplinados porque ellos reporten lo que perciben que esta errado o
puede causar situaciones peligrosas. Antes de tomar cualquier otra acción estros trabajadores
deben reportar el problema a su jefe directo o al departamento de auditoria interna y luego dar a
la organización el tiempo para solucionar la situación.
585.reporte externo de violaciones en la seguridad de la información
Política: Si es requerido por la ley o regulaciones, la administración debe informar a las

autoridades externas los mas pronto posible acerca de violaciones en la seguridad de la información.
Si no existe este requerimiento en conjunto con representantes de la oficina jurídica, el
departamento de seguridad y el departamento de auditoria interna la administración debe
sopesar las ventajas y desventajas de revelar externamente antes de reportar estas violaciones.
586.Reporte inmediato de computadoras que sospechosamente estén infectados con virus
Política: Los virus de computador se pueden propagar rápidamente y es necesario erradicarlos

tan pronto como sea posible para limitar un daño serio a computadores y datos. En
consecuencia si un trabajador reporta al departamento de seguridad de información la infección
con virus en un computador inmediatamente después de que éste haya notificado, aun si su
negligencia fue un factor que contribuyera, no se tomaran acciones disciplinarias. La única excepción
a éste pronto reporte de amnistía será aquellas circunstancias donde un trabajador en forma
cómplice causa un virus en el computador para poder introducirse en el sistema de la entidad.
587.Reporte de mal funcionamiento en el software requerido
Política: Todo el mal funcionamiento aparente en el software debe ser reportado

inmediatamente al personal de soporte o al departamento de seguridad de información.
588.Investigación requerida en los siguientes crímenes de computador
Política: Cuando se demuestren evidencias claras de que la entidad ha sido victima de un

crimen de computador o comunicaciones se debe llevar a cabo una investigación. Esta

8484
Página 85 de 104
JOSE DE CALDAS
investigación debe proveer información suficiente para que el administrador pueda tomar los
pasos que aseguren que:
1. Dichos incidentes no se pueden volver a presentar, y

2. Se haya establecido medidas de seguridad efectivas.
589.Cuando buscar asistencia con problemas de acceso no autorizado
Política: Cuando se sospeche o conozca de acceso no autorizado al sistema, el personal de la

entidad debe tomar acción inmediata para terminar dicho acceso. Si estas acciones no
suspenden completamente la actividad no autorizada, se debe buscar inmediatamente asistencia
del centro de soporte o el departamento de seguridad de información.
590.Retención de información acerca de violaciones en la seguridad e información de problemas
Política: La información que describe todos los problemas de seguridad reportados y violaciones
debe ser conservada por un periodo de tres años.
591.Análisis anual de problemas y violaciones en la seguridad de la información
Política: Un análisis anual del reporte de problemas de seguridad y violaciones debe ser
preparado por el departamento de seguridad de información.
592.Reporte de problemas y administración de procesos
Política: Normalmente la información que muestra los efectos de fallas del sistema, caídas y
problemas relacionados con computadores debe estar disponible a los usuarios. Un proceso
formal de administración del sistema debe estar en capacidad de registrar problemas, reducir su
incidencia y prevenir su recurrencia.
2.1.3. SELECCIÓN DE CONTROLES

2.1.3.1. CONTROLES Y DISEÑO DE SISTEMAS
593.Confianza en nuevos productos de seguridad de información
Política: Los productos de seguridad de sistemas de información en el mercado con no menos

de un año no deben ser utilizados como componente integral de cualquier sistema de
información en producción de la entidad.
594.Requerimiento de facilidad de uso para la seguridad de computadoras y comunicaciones
Política: Todas les medidas de seguridad de comunicaciones y computadoras deben ser simples y
fáciles de utilizar, administrar y auditar.
595.Requerimiento de aceptación del usuario como medida de seguridad informática
Política: Todos los controles de seguridad de la información deben ser aceptados y apoyados
tanto por las personas a quienes se monitorean como por quienes trabajan con los controles.
596.Incorporación de seguridad en el ciclo de vida de desarrollo de sistemas

8585
Página 86 de 104
JOSE DE CALDAS
Política: Para todos los sistemas aplicativos administrativos, la seguridad debe hacerse por
diseñadores y desarrolladores del sistema desde el inicio del proceso de diseño de sistemas
hasta la conversión a un sistema en producción.
597.Suministro de hardware y software únicamente a través de los canales de compra

establecidos
Política: Para garantizar conformidad con los estándares de seguridad de la información propios
se debe conseguir todo el hardware y software a través de canales estándares de compra.
598.Protección consistente de indiferencia de manifestación de información
Política: Se debe proteger la información de una forma correspondiente a sensibilidad, valor y

criticidad. Esto aplica a políticas que no tienen en cuenta el medio en el cual se almacena la
información, los lugares en los cuales se almacena la misma, los sistemas utilizados para
procesar la información o los procesos en los cuales se maneja la misma.
599.Minimización de confianza en mecanismos comunes para controles
Política: Dentro de las restricciones de la justificación de costos, los controles de seguridad de

información deben ser seleccionados y diseñados de tal forma que se minimice la seguridad en
mecanismos comunes.
600.Sistemas de seguridad independientes para cada sistema de computadora
Política: La seguridad de un sistema de computadora nunca debe ser completamente

dependiente de la seguridad de otro sistema de computadora.
601.Utilización de la versión mas actual del sistema operativo del computador
Política: Para tomar ventaja de mejoras recientes de seguridad, después de una demora de algunos
meses, la entidad debe utilizar la versión mas reciente de todos los sistemas operativos del
computador multiusuario.
602.Mantener aparte la funcionalidad de la seguridad de los aplicativos comerciales
Política: siempre que sea factible y efectivo en costos, los desarrolladores del sistema deben
contar con servicios de sistema para la funcionalidad de la seguridad antes que incorporar tal
funcionalidad en los aplicativos. Ejemplos de servicios de sistemas incluyen sistemas operacionales,
sistemas operativos de redes, sistemas de administración de bases de datos, paquetes de
control de acceso, procesadores front-end. Firewall, salidas y enrutadores.
2.1.3.2. CONTROLES Y CONSIDERACIONES EN LOS NEGOCIOS
603.Requerimientos de avalúo de riesgos para sistemas de información en producción
Política: Todos los sistemas de información de computadoras en producción deben ser

periódicamente evaluados por el departamento de seguridad de información para determinar el
conjunto mínimo de controles requeridos para reducir el riesgo a un nivel aceptable.
604.Cuándo ejecutar una evaluación de riesgo de seguridad de un sistema de información

8686
Página 87 de 104
JOSE DE CALDAS
Política: La evaluación de riesgos de seguridad de sistemas de información para sistemas de

información críticos y aplicativos en producción críticos se debe ejecutar al menos una vez cada
dos años. Todas las mejoras, actualizaciones, conversiones y cambios relativos asociados con
estos sistemas o aplicativos deben ser procedidas por una evaluación del riesgo, como esté
definida en el manual de seguridad de la información.
605.Comprar en lugar de hacer soluciones de seguridad de seguridad de información
Política: Para mantener los costos bajos y para facilitar el desarrollo de sistemas, la entidad
debe comprar soluciones de seguridad de información disponibles comercialmente antes que
desarrollarlas. Las excepciones a esta política solo se deben hacer cuando la relación costo-
beneficio de una solución personalizada ha sido claramente analizada, documentada y aprobada
por la administración del departamento de seguridad informática.
606.Conformidad con los estándares de seguridad de información específicos de la industria
Política: Los sistemas de información de la entidad deben aplicar estándares de seguridad de

información específicos de la industria. No se aceptan excepciones a menos que se pueda
demostrar que el costo de utilizar los estándares supera los beneficios, o que la utilización de los
estándares impedirá claramente la actividad del negocio de la entidad.
607.Políticas de proceso de aceptación de riesgos y excepciones permisibles
Política: Se permitirán excepciones a las políticas de seguridad informática únicamente cuando

el rector o vicerrector ha firmado un formato de aceptación del riesgo. En ausencia de la firma de
una aprobación por un administrador superior reflejada en el formato de aceptación del riesgo, todos
los empleados deben velar consistentemente por todas las políticas de seguridad de
información de la entidad.
608.Controles mínimos de sistemas de información dictados por la practica estándar
Política: Como mínimo todos los sistemas de información de la entidad deben incluir controles
estándar encontrados en organizaciones con circunstancias similares. Más allá de esto, los
únicos riesgos afrontados serán los orientados con soluciones personalizadas de la entidad.
609.Requerimiento de respuesta para cada riesgo significativo de seguridad de información
Política: Para cada riesgo de seguridad de sistemas de información significativo, se debe hacer
una decisión específica del grado en el cual la entidad deberá estar así:
a. Auto asegurada.
b. Mirar seguros externos.
c. Ajustar controles para recudir las pérdidas esperadas.
610.Se debe mantener un cubrimiento adecuado de seguros en un sistema de información
Política: Se debe obtener un cobro adecuado del seguro y forzar a que se mantenga para cada
enfrentamiento con una amenaza mayor en la confidencialidad e integridad y la disponibilidad del
manejo de la información por parte de los sistemas de computación y de comunicaciones de la
entidad.
611.Distribución de recursos suficientemente seguros para direccionar la información

8787
Página 88 de 104
JOSE DE CALDAS
Política: La administración debe disponer de recursos suficientes y atención de personal de alto

nivel para un direccionamiento adecuado de la seguridad de los sistemas de información.
612.Previo a la instalación, las medidas de seguridad deben ser reforzadas
Política: Todos los controles de seguridad de sistemas de información se deben reforzar antes
de ser adoptados como parte de un procedimiento operativo estándar.
2.1.3.3. SELECCIÓN DE OTROS ASPECTOS DE CONTROL
613.Acuerdos con terceras partes que manejan información de la entidad
Política: Todos los tratos de acuerdo con el manejo de información de la entidad por terceras
partes deben incluir una cláusula especial. Esta cláusula debe permitir que la entidad audite los
controles utilizados para esa actividad del manejo de la información y que especifique la forma
en la cual se protegerá la información de la entidad.
2.2. SEGURIDAD DEL PERSONAL

2.2.1. TERMINACIÓN Y DISCIPLINA
614.Medidas disciplinarias para la no aceptación de la seguridad de la información
Política: El no cumplimiento con las políticas, estándares o procedimientos de seguridad informática

es la base para iniciar acciones disciplinarias.
615.Medidas disciplinarias para varias violaciones de la seguridad de la información
Política: Cuando se asume que la primera violación de las políticas de seguridad e información
es accidental o inadvertida se debe hacer una amonestación. Una segunda violación sobre el
mismo tema hará que se envíe una carta al archivo del empleado. Una tercera violación
ocasionará la suspensión de trabajo por varios días sin pago. Una cuarta violación ocasionará el
despido. Violaciones intencionales o a propósito sin importar el número de las mismas puede resultar
en acciones disciplinarias que debe llegar hasta el despido.
616.Requerimientos de terminación instantánea para violaciones de seguridad
Política: A menos que exista un permiso especial del rector o vicerrector, todos los trabajadores
que hayan robado propiedad de la entidad, actuado con insubordinación, convicto de delito, se deben
despedir inmediatamente. Tales despidos deben incluir escolta tanto para que la persona se retire
de la entidad como para que retire sus efectos personales.
617.Manejo de terminaciones involuntarias de trabajadores de sistemas
Política: En todos los casos en los cuales se cancela involuntariamente el trabajo de las
personas que atienden el computador, a ellos se les debe relevar inmediatamente de todas sus
obligaciones, se les debe requerir la devolución de la información y equipo y deben ser
escoltados mientras que ellos empacan sus pertenencias y persuadirlos para que abandonen la
entidad.
618.Remoción de información cuando se termina el empleo
Política: Hasta la culminación del empleo, los empleados no pueden retener, traicionar o retirar
desde las instalaciones de la entidad cualquier información de la entidad, diferente a copias

8888
Página 89 de 104
JOSE DE CALDAS
personales de correspondencia relacionada directamente con los términos y condiciones de su

empleo. Cualquier otra información de la entidad en custodia del trabajador que se retira debe
ser entregada al supervisor inmediato del trabajador en el momento de su salida.
619.Devolución de información por parte de contratistas, asesores y temporales
Política: En la terminación o expiración de su contrato, todos los contratistas, asesores y temporales

deben entregar personal al supervisor del contrato todas las copias de la información recibida de la
entidad o creada durante la ejecución del contrato.
620.Devolución de la propiedad de la empresa cuando se retira de la misma
Política: En el momento en que cada empleado, asesor o contratista termina su relación con la
entidad, debe devolver todo lo que sea propiedad de la empresa. Esto incluye computadores
portátiles, libros de biblioteca, llaves de edificios, tarjetas magnéticas de acceso, prestamos
pendientes y similares. Estos individuos que terminan su contrato laboral deben informar a la
administración acerca de todo lo que se encuentra en sus manos que es propiedad de la entidad,
de igual forma los privilegios del sistema de computador, los privilegios de acceso a edificios y
otros privilegios que les hayan sido concedidos.
621.Responsabilidad de las acciones tomadas como respuesta a las cancelaciones laborales de

trabajadores
Política: En el evento en el que un empleado, asesor o contratista, se le termina su relación con

la entidad, el jefe inmediato del trabajador es responsable por:
1. Asegurarse de que toda la propiedad en custodia del trabajador sea regresada antes de
que el trabajador deje la entidad.
2. Notificar a todos los responsables del manejo de las cuentas de computador y

comunicaciones utilizadas por el trabajador tan pronto como se conozca su retiro.
3. Terminación de todos los privilegios relacionados con el trabajo de la persona que se

retira en el momento en el que tiene lugar el mismo.
622.Los trabajadores retirados involuntariamente no serán retenidos o contratados de nuevo
Política: Exempleados, exacesores y excontratistas que fueron retirados no deben ser

contratados de nuevo o retenidos sin el permiso escrito del rector o vicerrector.
623.Durante investigaciones extensas se requiere que el trabajador se vaya sin pago
Política: Cuando el empleado se ve involucrado en investigaciones extensas de brechas de

seguridad se despide sin pago y la razón por la cual se despide sin pago no será revelada a sus
compañeros sin el permiso expreso del director de seguridad.
624.Firma anual de un acuerdo de cumplimiento de las políticas de seguridad
Política: Como condición de continuidad los empleados, asesores y contratistas deben firmar
anualmente un acuerdo de cumplimiento de la seguridad de la información.
2.2.2. CONFIANZA SOBRE LAS PERSONAS

8989
Página 90 de 104
JOSE DE CALDAS
625.Requerimiento de intervención humana en las decisiones importantes
Política: Todos los procesos asistidos por computador deben incluir intervención humana antes
que se origine cualquier acción cuyo resultado podría ser un evento de amenaza contra la vida u
la seguridad del individuo.
626.Confianza en una persona con experiencia en sistemas importantes
Política: La experiencias en áreas importantes relacionadas con el computador o las

comunicaciones deben ser poseídas por al menos dos personas disponibles para tal fin. El
mantener este tipo de back-up experto previene contra interrupciones en el servicio del sistema y
también incrementa la posibilidad de que se conozcan actos abusivos y no autorizados.
627.Se requiere que cada año se disfruten las vacaciones legales durante un periodo
consecutivo
Política: Para dar a otros una oportunidad de adquirir conocimientos y para prevenir la
probabilidad de ilícitos, todos los trabajadores deben disfrutar de sus vacaciones
obligatoriamente cada año.
628.Seguros para personal que ocupa posiciones de confianza relacionadas con la informática
Política: Todos los trabajadores en posiciones relativas de confianza particularmente sensitivas

del computador, deben estar asegurados.
629.Responsabilidad de reportar cambios de estado que afecten la elegibilidad para ciertas

posiciones
Política: Todos los empleados tienen la obligación de reportar prontamente a su jefe inmediato todos
los cambios en su estado personal que puedan afectar su elegibilidad para mantener su posición
actual. Si los empleados falla en la divulgación material de la información acerca de su cambio de
estado, se supeditan ellos mismos a todas las acciones disciplinarias incluyendo la terminación de
su trabajo. Ejemplos de tales cambios de estado incluyen pruebas de culpabilidad para delitos
relacionados con el trabajo y actividades fuera del negocio.
630.Transferencia de ciertos trabajadores a cargos menos expuestos
Política: Los trabajadores que han notificado su intención de dejar el empleo en la entidad, así como
aquellos que están concientes de una inminente terminación involuntaria del trabajo, se deben
transferir a puestos en los cuales puedan hacer el mínimo daño sobre los activos de la entidad. Esta
política también aplica para aquellos trabajadores que son conocidos por estar descontentos. La
opción del supervisor con aquellos individuos puede ser colocarlos alternativamente con licencia
remunerada.
631.Uso de criminales convictos y un lugar de trabajo seguro
Política: No se debe extender la oferta de trabajo a individuos que son convictos de delitos que
incluyen violencia, si se repitiera, podría ocasionar daños físicos a la propiedad o a los
empleados de la entidad.
632.Uso de criminales convictos en posiciones de confianza relacionadas con el computador

9090
Página 91 de 104
JOSE DE CALDAS
Política: Personas que hayan sido convictas de felonía no pueden ser contratadas, promovidas
o utilizadas como asesores, contratistas para posiciones de confianza relacionadas con la
informática.
2.2.3. CHEQUEO DEL NIVEL DE CONOCIMIENTO
633.Pruebas de conocimiento a los trabajadores en posiciones de confianza relacionadas con la

informática
Política: Todos los trabajadores que sean ubicados en posiciones de confianza relacionadas con
la informática, deben primero pasar un chequeo de conocimiento. Este proceso puede incluir el
examen de criminales convictos, de litigios, de oficinas de crédito, de licencias de tráfico, así
como la verificación de los empleos anteriores. Esta política aplica a los empleados nuevos,
reenganchados, así como a contratistas y asesores.
2.2.4. ASPECTOS VARIOS EN SEGURIDAD PERSONAL
634.Procedimientos adecuados de resolución de quejas
Política: Para resolver rápidamente problemas de relaciones entre empleados la administración

debe establecer y suministrar procedimientos adecuados para las directivas tramitar y dar una
pronta solución a las quejas de cada uno de los trabajadores.
635.Servicios gratis de consejeros confidenciales para trabajadores
Política: A todos los trabajadores con problemas personales tales como la adicción a las drogas,
alcoholismo o divorcio entre otros, se les debe suministrar los servicios de un consejero
confidencial gratis.
636.Sitio de trabajo libre de drogas y alcohol
Política: Con la excepción de prescripciones ordenadas por profesionales licenciados en el

cuidado de la salud, los trabajadores no deben utilizar o encontrarse bajo la influencia bien sea
de drogas o de alcohol cuando se encuentren en el lugar de trabajo.
2.3. ESTRUCTURA ORGANIZACIONAL

2.3.1. RESPONSABILIDAD PARA LA SEGURIDAD DE LA INFORMACIÓN
2.3.1.1. FUNCIONES DE LA ADMINISTRACIÓN
637.Comité de administración de seguridad informática
Política: Hasta una nueva orden, un comité de administración de seguridad de información debe
estar compuesto por administradores senior o sus delegados de cada una de las divisiones
principales de la entidad. Este comité se reunirá periódicamente para:
a. Revisar el estado actual de la seguridad de informática de la entidad.

b. Revisar y monitorear incidentes de seguridad dentro de políticas nuevas o modificadas
de seguridad dentro de la entidad.
c. Aprobar y revisar posteriormente proyectos de seguridad informática.
d. Aprobar políticas nuevas o modificadas de la seguridad informática.
e. Ejecutar otras actividades de alto nivel de administración de seguridad informática
necesaria.

9191
Página 92 de 104
JOSE DE CALDAS
638.Información sobre pertenencia y responsabilidad de administración
Política: Toda la información de producción poseída u organizada por una unidad organizacional
particular debe tener designado un dueño. Los dueños deben determinar clasificaciones de
sensibilidad apropiadas, así como clasificaciones de criticidad. Los dueños también deben tomar
decisiones sobre a quienes les será permitido el acceso a la información y el uso que se le podrá
dar a la misma. Los dueños deben adicionalmente tomar precauciones para asegurarse de que
se utilizan controles apropiados para el almacenamiento, manejo, distribución y uso corriente de
la información.
639.Planes divisorios para sometimiento a la seguridad de la información
Política: La administración dentro de cada unidad funcional de la entidad debe preparar una
planeación anual para mantener sus sistemas de comunicación de acuerdo con los estándares y
políticas publicados.
640.La implementación de controles debe ser consistentes con los estándares
Política: Los administradores son responsables por los controles de los sistemas de información
implementados de tal forma que sean consistentes con las prácticas del negocio generalmente
aceptadas. Además, los administradores son responsables por la implementación de esos
controles de tal forma que sean consistentes con la criticidad, el valor y la sensibilidad de la
información que se maneja.
641.Manejo de las varianzas de las prácticas de control generalmente aceptadas
Política: Los administradores son los responsables de informar las variaciones en relación con
las prácticas de control generalmente aceptadas del sistema de información y también por el
inicio inmediato de las acciones correctivas.
2.3.1.2. FUNCIONES DEL DEPARTAMENTO DE SEGURIDA DE INFORMACIÓN
642.La obligación de cada trabajador es la seguridad de la información
Política: La responsabilidad por la seguridad de la información sobre la base del día a día es una
obligación de cada trabajador. La responsabilidad específica de la información esta conferida
únicamente en el departamento de seguridad informática.
643.Responsabilidad centralizada para la seguridad de la información
Política: La guía, la dirección y la autoridad para las actividades de seguridad de información

están centralizadas para toda la organización en el departamento de seguridad informática.
644.Labor de revisión de tareas por el departamento de seguridad de información
Política: El departamento de seguridad informática es el responsable por establecer y mantener

políticas, estándares, guías y procedimientos de seguridad de información amplios para la
entidad. El origen de estas actividades es la información no importa que forma tome, no importa
que tecnología se usa para manejarla, no importa donde resida y no importa quien la tenga.
645.Tareas específicas ejecutadas por el departamento de seguridad de información

9292
Página 93 de 104
JOSE DE CALDAS
Política: El departamento de seguridad informática debe suministrar la información y la

experiencia técnica para garantizar que la información de la entidad sea protegida
adecuadamente. Esto incluye la consideración de confidencialidad, integridad y disponibilidad
tanto de la información como de los sistemas que la manejan. El departamento actuara como un
enlace de asuntos de seguridad informática entre todos los departamento y divisiones de la
entidad y debe ser el punto de enfoque para todas las actividades de seguridad de informática en
toda la entidad. En el departamento debe ejecutar valoración de riesgos, preparar planes de
acción, evaluar productos ofrecidos, participar en los proyectos de desarrollo, ayudar con la
implementación de los controles, investigar brechas de seguridad de información y ejecutar otras
actividades que sean necesarias para garantizar un ambiente de manejo de información segura.
646.Apoyo de las metas de la entidad como misión del departamento de seguridad de

información
Política: El departamento de seguridad de informática es el encargado de prevención de

perdidas serias, o de compromisos críticos de la entidad, valoraciones y de recursos de
información sensible. Este coordinar y dirigir acciones específicas que ayuden a suministrar un
ambiente de sistemas de información estables y seguros consistentes con las metas y objetivos
de la entidad.
647.Requerimiento anual del proceso de planeación de seguridad de información
Política: Trabajando junto con el administrador responsable el departamento de seguridad de

información debe preparar planes anuales para la mejora de la seguridad de la información en
todos los sistemas de informática de la entidad.
648.Requerimiento general del manual de seguridad de información
Política: El departamento de seguridad informática debe preparar, mantener y distribuir uno o

más manuales de seguridad informática con una descripción concisa de las políticas y
procedimientos de seguridad de la información de la entidad.
649.Compromiso del departamento de seguridad de información propio
Política: Todos los problemas de seguridad de información deben ser manejados con la
colaboración y cooperación de los directivos de seguridad de informática de la entidad. La
utilización de asesores externos, grupos de respuesta de seguridad del computador u otros de
afuera esta prohibido específicamente a menos que hayan sido aprobados por el departamento
de seguridad informática de la entidad.
2.3.1.3. FUNCIONES SOBRE OTRA INFORMACIÓN DE SEGURIDAD
650.Revisión rápida de facturas para servicios de computación y comunicación
Política: Los usuarios del computador deben revisar rápidamente los detalles de las cuentas de
computadores y de comunicaciones (incluyendo ítems de cargos internos revestidos) para
asegurarse que los cargos son apropiados, esto no significa que hayan cometido y tampoco significa
que ocurrido una utilización no autorizada.
651.Quiénes deben cumplir con los requerimientos de la seguridad de información

9393
Página 94 de 104
JOSE DE CALDAS
Política: Contratistas, temporales y asesores externos deben ser materia de los mismos
requerimientos de seguridad de información, y tener las mismas responsabilidades de seguridad
de información que los empleados de la entidad.
652.Designación de administrador de seguridad para todos los sistemas multiusuarios
Política: Cada sistema de computador multiusuario de la entidad debe tener designado un

administrador de seguridad para definir privilegios del usuario, monitores de logs de control de
acceso y ejecutar actividades similares. Para los propósitos de esta política, servidores LAN y switch
PBX se consideran sistemas multiusuario.
653.Se debe designar y entrenar un administrador de seguridad de relevo
Política: Cada sistema multiusuario de la entidad con un sistema de acceso de control debe
tener un empleado designado quien es el responsable de la asignación de los nombres de
usuario y de los privilegios de acceso. Este administrador del sistema debe tener también un
empleado designado y entrenado de respaldo que pueda reemplazarlo cuando sea necesario.
654.Cada área debe tener un coordinador de seguridad de información
Política: Cada administrador de departamento debe designar un enlace de seguridad de información

y dar a este enlace el entrenamiento suficiente, materiales de apoyo y otros recursos para que el o
ella ejecuten apropiadamente su trabajo.
655.Responsabilidad de seguridad para conexiones en tiempo real con terceros
Política: Antes que a cualquier usuario le sea permitido alcanzar los sistemas de la entidad vía
conexiones de computador en tiempo real, se requiere la aprobación escrita del administrador
del departamento de seguridad de información. Los requerimientos para las aprobaciones deben
especificar las responsabilidades relativas de seguridad de la entidad, las responsabilidades
relativas del mensajero (si se utiliza) y las responsabilidades relativas de seguridad de cualquier
otra parte involucrada. Estas normas de seguridad deben también direccionar el riesgo de la
exposición de las partes involucradas.
656.Revisiones de auditoria interna de los controles de sistemas de información
Política: El departamento de auditoria interna debe revisar periódicamente la adecuación de los

controles del sistema de información así como el cumplimiento con tales controles.
657.Revisión periódica independiente de controles de sistemas de información
Política: Se debe obtener periódicamente una revisión independiente de los controles del
sistema de información. Estas revisiones deben incluir tanto los esfuerzos para determinar tanto
la adecuación como el cumplimiento de los controles. Las revisiones no deben ser ejecutadas
por personal que ha sido responsable de implementar y mantener los controles.
658.Responsabilidades de seguridad de información en los perfiles del cargo
Política: Se deben incorporar responsabilidades específicas de seguridad de información en

todos los perfiles de trabajo de los empleados, si éstos tienen acceso a información crítica,
sensible o valiosa.

9494
Página 95 de 104
JOSE DE CALDAS
659.Consideración de seguridad de información en las evaluaciones de desempeño de los

empleados
Política: Se debe considerar en todas las evaluaciones de desempeño de los empleados el

cumplimiento con las políticas y procedimientos de seguridad de información.
660.Control y separación de responsabilidades sobre los activos de la entidad
Política: Comoquiera que un proceso computarizado de la entidad involucra información crítica,

valiosa o sensitiva, el sistema debe incluir controles involucrando una separación de
responsabilidades u otra medida de control compensatoria. Estas medidas de control deben
garantizar que ningún individuo tenga control exclusivo sobre este tipo de activos de información
de la entidad.
661.Construcción de sistemas de tal forma que los errores en manipulaciones salgan a la luz
Política: Los sistemas de computadores de la entidad deben ser construidos de tal forma que
ninguna persona peda hacer un error o manipular los registros sin que tales eventos sean
detectados por alguna otra persona durante la ejecución de la rutina de responsabilidades de
otra persona.
662.Tener en cuenta instrucciones específicas de separación de responsabilidades
Política: Siempre en la práctica, nunca una persona deberá ser responsable por terminar una
tarea que involucre información valiosa, sensitiva o crítica desde el comienzo hasta el fin. Así mismo,
una persona sola debe ser responsable por la aprobación de su propio trabajo. En todo lo posible
para cada tarea que incluya información crítica, valiosa o sensitiva se requiere al menos dos
personas que coordinen las actividades de manejo de información.
663.Responsabilidades administrativas casuales
Política: Para asegurar una respuesta a incidentes rápida, efectiva y ordenada, la

responsabilidad individual para el manejo de incidentes de seguridad de sistemas de información
debe ser claramente definida. Estas personas son responsables por definir procedimientos para
el manejo de incidentes.
2.3.1.4. RESPONSABILIDAD DEL USUARIO, DEL CUSTODIO Y DEL DUEÑO
664.Inventario de información de activos de alto nivel
Política: El departamento de sistemas de información debe compilar y actualizar anualmente un

diccionario de datos del total de la entidad y otras descripciones de alto nivel de los activos de
recto de la entidad.
665.Criterios para asignación de propietarios de información
Política: Si hay algunos dueños potenciales de la información, el administrador de alto nivel

debe asignar responsabilidades de pertenencia a los individuos simples quienes hacen el más
grande uso de la información.
666.El departamento de sistemas de información no debe ser el dueño de la información

9595
Página 96 de 104
JOSE DE CALDAS
Política: con la excepción del computador operacional y de la información de la red, el departamento

de sistemas de información no debe ser el dueño de cualquier información.
667.Responsabilidades de seguridad de los custodios de la información
Política: Los custodios de la información son responsables por la definición de procedimientos

de control específicos, controles de acceso de la administración de la información,
implementación de las medidas de control de la información, costos/beneficios y suministrar
capacidades de recuperación consistentes con las instrucciones de los dueños de la información.
668.Responsabilidades de seguridad de los usuarios de la información
Política: Todos los usuarios de la información de la entidad deben cumplir con los
requerimientos de control especificados por los dueños o custodios de la información. Los
usuarios pueden ser empleados temporales, contratistas, asesores o terceras partes con los que
se hayan hecho arreglos especiales.
669.Proceso de garantía de acceso a la información de la entidad
Política: El acceso a la información de la entidad debe siempre estar autorizado por el dueño
designado de tal información, y debe estar limitado sobre la base de la necesidad de saber por
un razonablemente restringido numero de personas.
670.Delegación restringida de responsabilidades del dueño de la información
Política: Una responsabilidad del dueño de la información para la especificación de los controles
apropiados de la información no se puede delegar a proveedores de servicios externos a la
entidad.
3. SEGURIDAD FÍSICA
3.1. SEGURIDAD DE ACCESO FÍSICO
3.1.1. CONTROL DE ACCESO EN INSTRALACIONES
3.1.1.1. BARRERAS Y BLOQUEOS
671.Control de acceso físico para áreas que contienen información sensible
Política: El acceso a cada oficina, cuarto de computadores y área que contiene información
sensitiva, debe ser físicamente restringido. El administrador responsable por el trabajo del
personal del área técnica o directivos en esas áreas debe consultar al departamento de
seguridad para determinar el método de control apropiado de acceso (recepcionistas, chapas de
llave metálica, chapas de tarjeta magnética, etc.).
672.Computadores multiusuario o sistemas de comunicaciones en cuartos asegurados
Política: Todos los computadores multiusuario y los equipos de comunicación deben estar
ubicados en lugares asegurados para prevenir alteraciones y usos no autorizados.
673.Guardas o recepcionistas en áreas que contienen información sensitiva
Política: El acceso a las oficinas de la entidad por parte de visitantes u otras personas a áreas
que contengan computadoras y otras áreas de trabajo que contengan información sensible debe
estar controlada por guardias, recepcionistas u otras personas del área técnica o directiva. A los

9696
Página 97 de 104
JOSE DE CALDAS
visitantes y demás no se les debe permitir el uso de las entradas u otras vías de acceso no
controladas a áreas que contienen información sensitiva.
674.Se debe utilizar distintivos en un lugar visible de acuerdo con las premisas de la entidad
Política: Siempre en los edificios o instalaciones de la entidad todas as personas deben utilizar
un distintivo en un lugar visible en sus prendas externas de tal forma que la información del distintivo
o escarapela sea claramente visible.
675.Distintivos temporales para trabajadores que han olvidado los suyos
Política: Aquellos trabajadores que hayan olvidado su distintivo de identificación deben obtener
un distintivo temporal suministrando un documento de identidad u otra pieza de identificación que
tenga fotografía. Tan distintivo temporal es válido por un solo día únicamente.
676.Reporte de distintivos de identificación y de prendas de acceso al sistema robadas o

perdidas
Política: Los distintivos de identificación y las tarjetas de acceso físico que hayan sido perdidas o
robadas – o que se sospeche que hayan sido perdidas o robadas – se deben reportar al
departamento de seguridad inmediatamente. Desde luego, todas las fichas de acceso a los
computadores o a los sistemas de comunicación (tarjetas inteligentes con contraseñas
dinámicas, tarjetas de crédito telefónicas, etc.) que hayan sido perdidas o robadas o que se
sospeche que hayan sido perdidas o robadas deben ser reportadas inmediatamente al
departamento de seguridad.
677.No permitir “Piggybacking” a través de puertas controladas
Política: Los controles de acceso físico para los edificios de la entidad se hacen con la intención
de restringir la entrada de personal no autorizado. Los trabajadores no deben permitir que
personas no autorizadas o desconocidas pasen a través de puertas, compuertas y otras
entradas a áreas restringidas al mismo tiempo que personas autorizadas acceden por esas
entradas. Esto es esencial que sea mantenido por todos los trabajadores para la seguridad de la
entidad.
678.Se requiere la presencia de una guardia cuando se mantengan las puertas abiertas en el
cuarto de cómputo.
Política: Cuando las puertas del centro de cómputo estén abiertas completamente (quizás por
movimiento de equipos de cómputo, decoración, suministros o ítems similares), la entrada debe
estar continuamente monitoreada por un empleado o por un guardia contratado por el departamento
de seguridad física.
679.Se prohíbe la prueba de los controles de acceso físicos
Política: Los trabajadores no deben intentar entrar a áreas restringidas de acceso en los
edificios de la entidad para los cuales ellos no hayan recibido autorización de acceso.
680.Se prohíbe trabajar solo en áreas restringidas
Política: Nunca se debe permitir que un trabajador trabaje solo en áreas restringidas que
contienen información sensitiva.

9797
Página 98 de 104
JOSE DE CALDAS
681.Trabajo en áreas restringidas únicamente durante horas oficiales de negocios
Política: Si el acceso a las instalaciones particulares de la entidad ha sido restringido por causa
de que allí se maneja información sensitiva, crítica, o valiosa, sólo se permitirá que los
trabajadores tengan acceso únicamente a estas instalaciones solamente durante horas oficiales o
normales de trabajo.
682.Se requiere seguridad física o encripción para toda la información sensible
Política: Todos los medios de almacenamiento de información (tales como drives de discos
duros, disquetes, cintas magnéticas y CD-ROMs) que contengan información sensitiva deben
estar asegurados físicamente cuando no se estén utilizando. Se hará una excepción si esta
información es protegida vía un sistema de encripción aprobado por el departamento de
seguridad de informática.
683.Guardarropa de paso para remover todos los accesorios de computador y de

comunicaciones
Política: Máquinas de escribir, teléfonos celulares, computadoras personales, modems y otros

equipos relacionados de sistemas de información se supone que no deben abandonar la entidad a
menos que estén acompañados por un pase de propiedad aprobado.
684.Los trabajadores deben mostrar el contenido de los maletines cuando se establece la salida
Política: Todas las carteras, maletines, bolsos de mano y otras maletas deben ser abiertos por
los guardias del edificio de la entidad para chequear cuando la gente abandona el
establecimiento. Esto asegurará que información valiosa o sensitiva no sea removida del
establecimiento.
3.1.1.2. REGISTRO DE ACCESO A LAS INSTALACIONES
685.Mantenimiento de registros del sistema de control de acceso a edificios
Política: Para facilitar la evaluación y para sustentar las investigaciones, el departamento de

seguridad debe mantener registros del personal actual y el que ingresó previamente a las
instalaciones de la entidad. Esta información debe guardarse y ser retenida por al menos tres
meses.
686.Cambio de códigos de control de acceso físico cuando se retiran empleados
Política: En el evento de que un trabajador esté terminando su relación con la entidad, todos los
códigos de acceso de seguridad físicos conocidos por el trabajador se deben cambiar o
desactivar. Por ejemplo, el número serial registrado en una cinta magnética incorporada en un
distintivo de identificación se debe cambiar antes de que el distintivo de identificación sea
entregado a otro trabajador.
687.Mantenimiento de la lista que muestra a quienes les está permitido conceder acceso físico
Política: Una lista de los administradores que están autorizados para conceder acceso a las
instalaciones de la entidad debe estar actualizada. Esta lista debe también ser revisada
periódicamente por los administradores de alto nivel quienes delegaron autoridad en estos
administradores.

9898
Página 99 de 104
JOSE DE CALDAS
688.Reporte periódico de entrega de distintivos de identificación a las cabezas de departamento
Política: Cada cabeza de departamento debe recibir un listado mensual de todo el personal de
su área que haya tenido distintivos de identificación validos generalmente. Las cabezas de
departamento deben reportar inmediatamente al departamento de seguridad todos los distintivos
validos los cuales ya no sean necesarios.
3.1.1.3. MANEJO DE VISITANTES
689.Se requiere proceso de identificación y de firma para todos los visitantes
Política: Todos los visitantes deben mostrar una identificación con fotografía y firmar antes de
obtener el acceso a las áreas restringidas controladas por la entidad.
690.Todos los visitantes requieren escolta
Política: Los visitantes de las oficinas de la entidad deben ser escoltados durante todo el tiempo
por un empleado autorizado, asesor o contratista. Esto significa que se requiere de un escolta
tan pronto como un visitante entra a un área controlada y hasta que este mismo visitante sale de
dicha área. Todos los visitantes requieren un escolta incluyendo antiguos empleados, miembros
de la familia del trabajador, contratistas de recepción de equipos, empacadores de correo
personal técnico o directivo de la compañía y oficiales de policía.
691.Supervisión de terceras partes en áreas que contienen información sensitiva
Política: Individuos que nunca han sido empleados de la entidad, contratistas no autorizados,
asesores no autorizados deben ser supervisados siempre que ellos se encuentren en áreas
restringidas que contengan información sensitiva.
692.Se debe recusar los individuos sin distintivos de identificación
Política: Siempre que un trabajador se de cuenta que un visitante no escoltado se encuentra

dentro de áreas restringidas de la entidad, el visitante debe ser inmediatamente cuestionado
acerca de su propósito de encontrarse en áreas restringidas. El visitante debe luego ser
acompañado directamente a un puesto de recepción, una estación de guardias o el personal
debe venir a verlo.
3.1.2. RESTRICCIONES DE ACCESO A LAS FACILIDADES DEL COMPUTADOR
693.Medidas de seguridad física para sistemas de comunicación y de computadores
Política: Edificios que contengan computadores o sistemas de comunicación de la entidad,

deben ser protegidos con medidas de seguridad físicas que previenen que personas no
autorizadas puedan obtener acceso a él.
694.El centro de cómputo es una tienda cerrada
Política: Los centros de cómputo de la entidad son recintos cerrados. A los programadores y a
los usuarios no les está permitido encontrarse dentro de los cuartos de máquinas de
computador.
695.Acceso restringido a bibliotecas de cintas magnéticas, discos y documentación

9999
Página 100 de 104
JOSE DE CALDAS
Política: Todas las bibliotecas de cintas magnéticas, discos y documentación se encuentran en

áreas controladas dentro del centro de cómputo. El acceso debe estar restringido a trabajadores
cuyas responsabilidades de trabajo requieren su presencia en estas bibliotecas.
696.Se prohíbe el paseo público por las instalaciones del computador
Política: Se prohíben los paseos públicos por las instalaciones del computador principal y de las
comunicaciones.
3.2. LOCALIZACIÓN DEL COMPUTADOR E INSTALACIONES DE LA CONSTRUCCIÓN
697.Localización de los nuevos centros de comunicaciones o del computador
Política: Todos los centros de comunicaciones o de computadores nuevos de la entidad deben estar
localizados en áreas alejadas de experimentar desastres naturales, accidentes serios ocasionados
por el hombre (fugas químicas, movimientos peligrosos de material nuclear, etc.), motines y
problemas relacionados.
698.Suministro redundante de recursos de utilidad pública
Política: Todos los centros de cómputo o de comunicaciones nuevos de la entidad deben estar
localizados de tal forma que ellos tengan acceso fácil a dos subestaciones de energía y a dos
centrales telefónicas. Tales centros no deben estar cerca de terrenos planos con inundaciones
fluctuantes, terrenos con fallas sísmicas, vías de ferrocarril, autopistas principales y otras fuentes
de fuego.
699.Construcción adecuada para centros de computo o de comunicaciones
Política: Los centros de comunicaciones y de computadores nuevos o remodelados de la

entidad deben ser construidos de tal forma que sean protegidos contra el fuego, daño de agua,
vandalismo y otras amenazas que se conocen que puedan llegar a ocurrir o que están cerca de
ocurrir en los lugares involucrados.
700.Localización dentro de un edificio de las facilidades de comunicación y del computador
Política: Para minimizar el robo o daño por inundación, lo computadores multiusuario y las
instalaciones de comunicación deben estar localizados encima de la primera planta de los
edificios. Para minimizar el daño potencial por el humo y fuego las instalaciones de cocina deben
ser localizadas lejos de los sistemas multiusuario (Incluyendo que no sean arriba o abajo).
Igualmente para minimizar el daño potencial por agua, las instalaciones de los baños no deben
estar localizadas directamente arriba de esos sistemas. Para minimizar el daño potencial de
bombas y para minimizar el espionaje y la interferencia electromagnética no autorizada estos
sistemas no deben estar ubicados junto a un muro exterior de la entidad.
701.Se requiere un área de espera intermedia para restringir el acceso a la sala de computo
Política: Un área de espera intermedia segura debe suministrarse a los suministros de

computador, equipos y otros envíos. El personal de despacho no debe poder acceder
directamente a las instalaciones que contienen computadores multiusuario.
702.No se debe señalar la ubicación del centro de computo o de comunicaciones

10010010
0
Página 101 de 104
JOSE DE CALDAS
Política: No debe haber avisos que indiquen la ubicación de los centros de cómputo o de
comunicaciones.
703.El centro de computo debe ser resistente al fuego y todas las aberturas auto-cerrables
Política: Las paredes de fuego alrededor de las instalaciones del computador deben ser no
combustibles y resistentes al fuego por lo menos por una hora. Todas las aberturas de estas paredes
(puertas, ductos de ventilación, etc.) deben tener cerrado automático e igualmente resistir por
lo menos una hora.
704.Las puertas e instalaciones del computador deben ser resistentes a una entrada forzada
Política: Las instalaciones del cuarto del computador deben estar equipadas con puertas corredizas,
resistentes al fuego y resistentes a otro tipo de ingreso forzado.
705.Puertas de cerrado automático en las instalaciones del computador
Política: Las instalaciones del cuarto del computador deben estar equipadas con puertas que cierren
automáticamente en forma inmediata una vez se hayan abierto y las cuales disparen una alarma
audible cuando ellas se mantengan abiertas mas allá de cierto periodo de tiempo.
706.Rastreo del equipo asistido por el computador
Política: Todos los equipos de comunicaciones y de cómputo de la entidad deben tener un

identificador único pegado a ellos de tal forma que los inventarios físicos puedan elaborarse en
forma regular y eficiente.
707.Marcación de equipos de sistemas de información con códigos de identificación
Política: Todo equipo de comunicaciones y de computadores de la entidad debe tener un

número de identificación permanente grabado en el equipo. Este código ayudará a la policía en
sus intentos por devolver la propiedad a sus dueños.
708.Prohibido el movimiento de equipos de microcomputadores sin aprobación
Política: El equipo de microcomputadores (PCs, laptos, etc.) no deben moverse o reubicarse sin
la aprobación previa del director de la oficina de recursos físicos.
709.Ubicación de la pantalla del computador respecto de las ventanas
Política: El tramado de la pantalla para todos los microcomputadores (PCs), estaciones de

trabajo y terminales brutas utilizadas para el manejo de datos valiosos deben estar ubicado de tal
forma que ellos no puedan ser fácilmente leídos a través de una ventana por personal que pase
por el pasillo caminando o por personas que esperen en recepción y en áreas relacionadas.
710.Protección de la emanación de la radiación electromagnética para los sistemas secretos
Política: Los sistemas de la entidad que contienen información secreta deben emplear hardware
que reúna los estándares militares para el control de radiación (emanación). Estos sistemas
deben también estar protegidos dentro de recintos asegurados con llama de alambre u otro
material de bloqueo de radiación electromagnética como está especificado por los estándares
militares.
711.

10110110
1
Página 102 de 104
JOSE DE CALDAS
1. SEGURIDAD LÓGICA ........................................................................................................1

1.1. SEGURIDAD DEL SOFTWARE ......................................................................................1
1.1.1. SISTEMAS DE CONTROL DE ACCESO ....................................................................1
1.1.1.1. ADMINISTRACIÓN DE CONTRASEÑAS ...............................................................1
1.1.1.1.1. CONSTRUCCIÓN DE CONTRASEÑAS Y CÓDIGOS DE IDENTIFICACIÓN DE
USUARIO 1
1.1.1.1.2. DISEÑO DE INTERFACES DE CONTRASEÑAS DE USUARIO DEL SISTEMA.....2
1.1.1.1.3. ALMACENAMIENTO, PROTECCIÓN Y RESPALDO DE LAS CONTRASEÑAS .....3
1.1.1.1.4. CONTRASEÑA RELACIONADA CON LAS RESPONSABILIDADES DEL USUARIO
4
1.1.1.1.5. CONTRASEÑAS RELACIONADAS CON LAS RESPONSABILIDADES DEL
ADMINISTRADOR ......................................................................................................................5
1.1.1.2. PROCESO DE LOG-IN ..........................................................................................6
1.1.2. CONTROL DE PRIVILEGIOS ....................................................................................8
1.1.2.1. USO DE LOS SISTEMAS.......................................................................................8
1.1.2.2. ADMINISTRACIÓN DE CONTROL DE ACCESO A LA INFORMACIÓN ............... 10
1.1.2.3. SEPARACIÓN DE USUARIOS ............................................................................. 10
1.1.2.4. PRIVILEGIOS ESPECIALES ................................................................................ 11
1.1.2.5. RESTRICCIONES DE OTROS PRIVILEGIOS ...................................................... 12
1.1.2.6. ACTIVIDADES ADMINISTRATIVAS ..................................................................... 14
1.1.3. ARCHIVOS DE LOGS .............................................................................................. 15
1.1.3.1. INFORMACIÓN A INCLUIR EN LOS ARCHIVOS DE LOGS ................................ 15
1.1.3.2. MANEJO DE LOS ARCHIVOS DE LOGS ............................................................. 17
1.2. DESARROLLO DE SOFTWARE Y CONTROL DE CAMBIOS....................................... 17
1.2.1. VIRUS INFORMÁTICOS .......................................................................................... 17
1.2.2. PROCESO DE DESARROLLO ................................................................................. 20
1.2.2.1. TÉCNICAS Y HERRAMIENTAS DE DESARROLLO............................................. 20
1.2.2.2. RELACIONES Y DESARROLLO DE PRIVILEGIOS ............................................. 22
1.2.3. PROCESO DE CONTROL DE CAMBIOS................................................................. 23
1.2.4. PARTICIPACIÓN DE GRUPOS DE TERCEROS...................................................... 27
1.2.5. OPERACIÓN DEL COMPUTADOR .......................................................................... 27
1.3. SEGURIDAD DE LOS DATOS...................................................................................... 28
1.3.1. DERECHOS DE PROPIEDAD INTELECTUAL ......................................................... 28
1.3.1.1. ASIGNACIÓN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL................. 28
1.3.1.2. PROTECCIÓN DE LOS DERECHOS DE PROPIEDAD INTELECTUAL ............... 29
1.3.2. PRIVACIDAD DE LOS DATOS ................................................................................. 31
1.3.2.1. RESTRICCIONES DE LOS DERECHOS DE LA PRIVACIDAD ............................ 31
1.3.2.2. COLECCIÓN DE TIPOS ESPECÍFICOS DE DATOS PRIVADOS......................... 31
1.3.2.3. DIVULGACIÓN DE DATOS PRIVADOS ............................................................... 34
1.3.2.3.1. DIVULGACIÓN DE DATOS PRIVADOS DE EMPLEADOS................................... 34
1.3.2.4. MANEJO DE DATOS PRIVADOS ........................................................................ 36
1.3.3. CONFIDENCIALIDAD DE LOS DATOS .................................................................... 37
1.3.3.1. POLÍTICAS GENERALES PARA LA CONFIDENCIALIDAD DE LOS DATOS....... 37
1.3.3.2. CATEGORÍAS DE CLASIFICACIÓN DE DATOS.................................................. 38
1.3.3.3. MARCACIÓN DE LOS DATOS CLASIFICADOS .................................................. 39
1.3.3.4. IMPLEMENTACIÓN DEL SISTEMA DE CLASIFICACIÓN .................................... 40
1.3.3.4.1. COPIAS E IMPRESIONES ................................................................................... 40
1.3.3.4.2. ENVIÓ Y MANIPULACIÓN MANUAL DE LA INFORMACIÓN ............................... 41
1.3.3.4.3. TRANSACCIONES POR FAX Y TELÉFONO ....................................................... 42
1.3.3.4.4. MOVIMIENTO DE INFORMACIÓN CONFIDENCIAL ............................................ 44
1.3.3.4.5. ALMACENAMIENTO Y DISPOSICIÓN ................................................................. 45
1.3.3.5. PERMISOS DE ACCESO A DATOS CONFIDENCIALES ..................................... 49

10210210
2
Página 103 de 104
JOSE DE CALDAS
1.3.3.6. DERECHO A CONOCER ..................................................................................... 51

1.3.3.7. MANEJO DE DATOS CONFIDENCIALES EN REUNIONES ................................ 51
1.3.3.8. DIVERSAS POLÍTICAS DE CONFIDENCIALIDAD ............................................... 52
1.3.4. CRITICIDAD DE LOS DATOS .................................................................................. 53
1.3.4.1. DISEÑO DE LOS SISTEMAS ............................................................................... 53
1.3.4.2. PLANES DE CONTINGENCIA ............................................................................. 54
1.3.4.3. BACK-UP, ALMACENAMIENTO DE ARCHIVOS Y DISPOSICIÓN DE LOS DATOS
57
1.3.5. INTEGRIDAD DE LOS DATOS................................................................................. 60
1.3.5.1. CONOCIMIENTO Y “STATUS” DE INTEGRIDAD................................................. 60
1.3.5.2. INTEGRIDAD DE LAS FUENTES DE INFORMACIÓN ......................................... 61
1.3.5.3. CONTROL DE MODIFICACIONES ...................................................................... 62
1.3.5.4. REPRESENTACIÓN CONSISTENTE DE LOS DATOS ........................................ 63
1.3.5.5. CENSURA DE LOS DATOS ................................................................................. 63
1.4. SEGURIDAD EN COMUNICACIONES ......................................................................... 65
1.4.1. ESTABLECIMIENTO DE LOS SISTEMAS Y DE LAS RUTAS DE ACCESO ............. 65
1.4.1.1. DIAGRAMA DE CONTROL DEL SISTEMA INCLUYENDO FIREWALLS .............. 65
1.4.1.2. CREACIÓN DE CONEXIONES EN RED .............................................................. 66
1.4.2. ENCRIPCIÓN ........................................................................................................... 68
1.4.2.1. CUANDO USAR LA ENCRIPCIÓN ....................................................................... 68
1.4.2.2. ADMINISTRACIÓN DE LAS LLAVES DE ENCRIPCIÓN ...................................... 69
1.4.2.3. TEMAS MISCELÁNEOS DE ENCRIPCIÓN .......................................................... 71
1.4.3. MARCACIONES TELEFÓNICAS POR COMPUTADOR ........................................... 72
1.4.4. INFORMACIÓN TRANSFERIDA .............................................................................. 73
1.4.5. SISTEMAS TELEFÓNICOS...................................................................................... 74
1.4.6. SISTEMAS DE CORREO ELECTRÓNICO ............................................................... 75
1.4.7. DISPOSICIONES DE TELECOMUNICACIONES...................................................... 78
1.4.8. CONEXIONES DE INTERNET ................................................................................. 78
1.4.9. CONEXIONES DE INTRANET ................................................................................. 81
2. SEGURIDAD GERENCIAL ............................................................................................... 82
2.1. SEGURIDAD ADMINISTRATIVA .................................................................................. 82
2.1.1. ENTRENAMIENTO Y CONOCIMIENTO ................................................................... 82
2.1.2. REPORTE DE PROBLEMAS DE SEGURIDAD ........................................................ 83
2.1.3. SELECCIÓN DE CONTROLES ................................................................................ 85
2.1.3.1. CONTROLES Y DISEÑO DE SISTEMAS ............................................................. 85
2.1.3.2. CONTROLES Y CONSIDERACIONES EN LOS NEGOCIOS ............................... 86
2.1.3.3. SELECCIÓN DE OTROS ASPECTOS DE CONTROL.......................................... 88
2.2. SEGURIDAD DEL PERSONAL..................................................................................... 88
2.2.1. TERMINACIÓN Y DISCIPLINA ................................................................................. 88
2.2.2. CONFIANZA SOBRE LAS PERSONAS.................................................................... 89
2.2.3. CHEQUEO DEL NIVEL DE CONOCIMIENTO .......................................................... 91
2.2.4. ASPECTOS VARIOS EN SEGURIDAD PERSONAL ................................................ 91
2.3. ESTRUCTURA ORGANIZACIONAL ............................................................................. 91
2.3.1. RESPONSABILIDAD PARA LA SEGURIDAD DE LA INFORMACIÓN ...................... 91
2.3.1.1. FUNCIONES DE LA ADMINISTRACIÓN .............................................................. 91
2.3.1.2. FUNCIONES DEL DEPARTAMENTO DE SEGURIDA DE INFORMACIÓN .......... 92
2.3.1.3. FUNCIONES SOBRE OTRA INFORMACIÓN DE SEGURIDAD ........................... 93
2.3.1.4. RESPONSABILIDAD DEL USUARIO, DEL CUSTODIO Y DEL DUEÑO............... 95
3. SEGURIDAD FÍSICA ........................................................................................................ 96
3.1. SEGURIDAD DE ACCESO FÍSICO .............................................................................. 96
3.1.1. CONTROL DE ACCESO EN INSTRALACIONES ..................................................... 96
3.1.1.1. BARRERAS Y BLOQUEOS.................................................................................. 96
3.1.1.2. REGISTRO DE ACCESO A LAS INSTALACIONES ............................................. 98

10310310
3
Página 104 de 104
JOSE DE CALDAS
3.1.1.3. MANEJO DE VISITANTES ................................................................................... 99

3.1.2. RESTRICCIONES DE ACCESO A LAS FACILIDADES DEL COMPUTADOR .......... 99
3.2. LOCALIZACIÓN DEL COMPUTADOR E INSTALACIONES DE LA CONSTRUCCIÓN100

10410410
4

Politicas Seguridad Informatica

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Politicas Seguridad Informatica

Caricato da

Copyright:

Formati disponibili

POLITICAS DE SEGURIDAD Nomenclatura UDNET07-

INFORMATICA Fecha 28-05-2007

2. Contraseñas difíciles de descifrar

En general, no se deben utilizar palabras de un diccionario, derivados del usuario-ID, series de

3. Prohibición de utilizar contraseñas cíclicas

Política: Los usuarios de la Universidad Distrital no deben constituir contraseñas compuestas

4. Uso de contraseñas repetidas

5. Contraseñas con caracteres alfabéticos y no alfabéticos.

6. Contraseñas con letras mayúsculas y minúsculas

7. Contraseñas generadas por el sistema

Red de datos – UDNet – Documento Interno de Trabajo Página 1

Política: Si el usuario de la Universidad Distrital usa contraseñas generadas por el sistemas,

8. Contraseñas generadas por el sistema fácilmente pronunciables

9. Almacenamiento de las contraseñas generadas por el sistema

10. Eliminación de los medios utilizados en la generación de las contraseñas

Adicionalmente, las áreas de la memoria del computador usadas en la generación de

11. Protección de los algoritmos que se utilizan en la generación de las contraseñas

12. Archivo histórico de contraseñas

1.1.1.1.2. DISEÑO DE INTERFACES DE CONTRASEÑAS DE USUARIO DEL

13. Visualización de contraseñas

Red de datos – UDNet – Documento Interno de Trabajo Página 2

14. Cambio periódico obligatorio de la contraseña

15. Cambio obligatorio de la contraseña al acceder por primera vez al sistema

Política: Los funcionarios de la Universidad Distrital entenderán que las contraseñas

16. Limite de intentos consecutivos infructuosos para ingresar la contraseña

17. Proceso de identificación personal ante el sistema

Política: Los funcionarios de la Universidad Distrital entenderán que en el momento en que el

1.1.1.1.3. ALMACENAMIENTO, PROTECCIÓN Y RESPALDO DE LAS

18. Contraseñas ilegibles en estaciones de trabajo externas

19. Protección de contraseñas enviadas a través de correo

20. Almacenamiento de contraseñas en formato legible

21. Encripción de contraseñas

Red de datos – UDNet – Documento Interno de Trabajo Página 3

22. Incorporación de contraseñas dentro del software

23. Diseño de sistemas para evitar la recuperación de las contraseñas

Política: La Universidad Distrital precisa que los computadores y sistemas de comunicación

24. Confianza del usuario para operar el sistema en el proceso de autenticación

Política: La Universidad Distrital precisa que los desarrolladores de sistemas de aplicación

Política: La Universidad Distrital precisa que el sistema de control de acceso al computador y al

1.1.1.1.4. CONTRASEÑA RELACIONADA CON LAS RESPONSABILIDADES

27. Utilización de contraseñas diferentes cuando se tiene acceso a varios sistemas

28. Permisos para usar la misma contraseña en diferentes sistemas

Red de datos – UDNet – Documento Interno de Trabajo Página 4

29. Cambio de contraseña cuando se sospecha que ha sido descubierta

30. Cambios de la contraseña o códigos claves después del mantenimiento a un computador o

31. Escribir las contraseñas y dejarlas en donde otros pueden descubrirlas.

32. Escribir contraseñas usando técnicas secretas

33. Prohibición de contraseñas compartidas

34. Usuarios responsables de todas las actividades involucrando su código de identificación de

1.1.1.1.5. CONTRASEÑAS RELACIONADAS CON LAS

35. Cambio forzoso de todas las contraseñas

Red de datos – UDNet – Documento Interno de Trabajo Página 5

en el sistema. Incluso si sospechan de un arreglo se requiere que todas las contraseñas se

36. Acreditación personal de identidad para obtener una contraseña.

Política: La Universidad Distrital precisa que los administradores de seguridad solamente

1.1.1.2. PROCESO DE LOG-IN

38. Requerimiento de identificación positiva para el uso del sistema

39. Identificador de usuario y contraseña requerido para conectarse al computador de la red

40. Requerimientos de identificador de usuario único y de contraseña

41. Descubrimiento de Información de Log-in incorrecta

42. Prohibición contra cualquier retroalimentación en respuesta a un log-in incorrecto

Red de datos – UDNet – Documento Interno de Trabajo Página 6

43. Banderas (flags) de advertencia de seguridad en el sistema de acceso