Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1. SEGURIDAD LÓGICA
1.1. SEGURIDAD DEL SOFTWARE
1.1.1. SISTEMAS DE CONTROL DE ACCESO
1.1.1.1. ADMINISTRACIÓN DE CONTRASEÑAS
1.1.1.1.1. CONSTRUCCIÓN DE CONTRASEÑAS Y CÓDIGOS DE
IDENTIFICACIÓN DE USUARIO
1. Longitud de la contraseña
Política: La Universidad Distrital debe tener en la longitud de las contraseñas un mínimo de seis
(6) caracteres y una longitud máxima de 255 caracteres.
Política: Los usuarios de la Universidad Distrital deben entender que todas las contraseñas
escogidas por el usuario para ingresar a los sistemas deben ser difíciles de descifrar.
Política: Los usuarios de la Universidad Distrital no deben construir contraseñas que sean
idénticas o muy similares a contraseñas utilizadas anteriormente.
Política: Los usuarios de la Universidad Distrital deben saber que todas las contraseñas deben
tener al menos un carácter alfabético y uno no alfabético; se consideran caracteres no
alfabéticos los números y los signos de puntación, de igual manera se pueden utilizar caracteres
no impresos.
Política: Todas las contraseñas escogidas por el usuario de la Universidad Distrital deben tener
por lo menos un carácter alfabético en minúscula y otro en mayúscula. Esto ayudará para que
las contraseñas sean más difíciles de descifrar por personas no autorizadas.
Política: Los usuarios de la Universidad Distrital debe entender que todas las contraseñas
generadas por el sistema deben ser fácilmente pronunciables, esto con el fin de que el usuario
pueda recordarlas más fácilmente y no necesite escribirlas.
Política: Los usuarios de la Universidad Distrital sabrán que Cuando las contraseñas o números
de identificación personal (PIN’s) sean generados pro el sistema de computador, se deben emitir
inmediatamente después de su generación. Además, las contraseñas y PIN’s no emitidos nunca
de deben almacenar en los sistemas del computador.
Política: Los usuarios de la Universidad Distrital sabrán que todos los medios de
almacenamiento utilizados en el proceso de construcción, asignación, distribución o encripción
de contraseñas o PIN’s se deben someter a un proceso de eliminación (zeroización) inmediatamente
después de ser usados.
Cuando las contraseñas o PIN’s son generados por el sistema, es necesario borrar todo residuo
de información que se haya usado en el proceso.
Política: Los funcionarios de la Universidad Distrital entenderán que todo programa y archivo
que contenga fórmula, algoritmo u otras especificaciones que se utilicen para la generación de
las contraseñas por medio del sistema de computación debe estar controlado con las más altas
medidas de seguridad que éste proporcione.
Política: Los funcionarios de la Universidad Distrital entenderán todo equipo multi-usuario debe
tener un software local que mantenga un archivo histórico encriptado de las contraseñas
utilizadas por cada usuario, esto con el fin de prevenir que los usuarios vuelvan a utilizarlas.
Dicho archivo debe contener por lo menos las veinte (20) últimas contraseñas por cada usuario.
Política: Los funcionarios de la Universidad Distrital entenderán que las contraseñas en pantalla
o impresas no se deben presentar, esto con el fin de evitar que personas no autorizadas las
puedan observar o recuperarlas.
Política: Los funcionarios de la Universidad Distrital entenderán que el sistema debe obligar
automáticamente a que todos los usuarios cambien sus contraseñas al menos una vez cada sesenta
(60) días.
Política: Los funcionarios de la Universidad Distrital entenderán que después de cinco (5)
intentos consecutivos e infructuosos de ingreso de la contraseña el sistema debe: (a) Suspender
el acceso del usuario hasta que el administrador del sistema lo ponga a funcionar nuevamente y
(b) Incapacitarlo temporalmente por no menos de tres minutos.
Política: La Universidad Distrital entenderán las contraseñas fijas nunca deben estar en forma
legible fuera de la entidad en estaciones de trabajo.
Política: La universidad Distrital define que si las contraseñas se envían por correo regular o
sistemas físicos de distribución similares, éstas se deben enviar separadamente de los ID de de
usuario. Estos correos no deben tener ninguna marca indicando la naturaleza del contenido.
También se deben ocultar dentro de un sobre en papel oscuro que no revele fácilmente su
contenido.
Política: La Universidad Distrital define que las contraseñas no se deben almacenar en forma legible
en archivos batch, manuscritos de log-in automáticos, software de macros, terminales,
computadores sin controles de acceso o en otros sitios donde personas no autorizadas puedan
descubrirlas.
Política: La Universidad Distrital define que las contraseñas siempre deben ser encriptadas
cuando se almacenen por cualquier periodo de tiempo significativo o cuando sean transmitidas
por las redes. Lo anterior evitará que sean descubiertas por interceptores de líneas telefónicas o
telegráficas, personal técnico que lea los sistemas de log’s u otras partes no autorizadas.
Política: La Universidad Distrital precisa que las contraseñas no se deben incorporar dentro de
los programas de software, esto para que las contraseñas se puedan cambiar en el momento
que sea necesario.
25. Control de acceso al sistema con contraseña individuales para cada usuario
26. Cambio de las contraseñas proporcionados por el fabricante (Contraseñas por defecto)
Política: La Universidad Distrital precisa que todas las contraseñas de fabrica proporcionadas
por el fabricante se deben cambiar antes que la entidad utilice cualquier sistema de computación o
de comunicaciones para sus negocios.
Política: La Universidad Distrital precisa que si un usuario tiene acceso a varios sistemas de
información, se deben emplear contraseñas diferentes para cada uno de los sistemas a los
cuales tiene acceso.
Política: La Universidad Distrital precisa que los usuarios deben abstenerse de utilizar el mismo
código o contraseña en múltiples sistemas de computación de la entidad, a menos que el
departamento de seguridad de información les haya informado por escrito que si lo hacen
indebidamente comprometen la seguridad.
Política: La Universidad Distrital precisa que todas las contraseñas se deben cambiar tan pronto
como se sospeche que han sido descubiertas o que podrían conocerlas personas no
autorizadas.
Política: La Universidad Distrital precisa que cuando un sistema del computador multi-usuario
emplea contraseñas o códigos clave fijos como su mecanismo de control de acceso principal,
éstos deben cambiar inmediatamente finalice el mantenimiento.
Política: La Universidad Distrital precisa que no se deben escribir las contraseñas y dejarlas en
lugares donde personas no autorizadas puedan descubrirlas.
Política: La Universidad Distrital precisa que los usuarios no deben escribir sus contraseñas a
menos que: (a) ellos hayan realmente ocultado estas contraseñas en un número de teléfono o
con otros caracteres aparentemente no relacionados, o (b) que ellos hayan usado un sistema de
código para ocultar la contraseña.
Políticas: La Universidad Distrital precisa que no importa las circunstancias, las contraseñas
nunca deben ser compartidas o reveladas a nadie más que al usuario autorizado. Hacerlo
expone al usuario autorizado a responsabilizarse de acciones que otras personas hagan con la
contraseña. Si los usuarios necesitan compartir información permanentemente del computador, ellos
deben usar correo electrónico, directorios públicos, en los servidores de red del área local u otros
mecanismos.
Política: La Universidad Distrital precisa que los usuarios son responsables de todas las
actividades llevadas a cabo con su código de identificación de usuario. Los códigos de
identificación de usuario no pueden ser utilizados por nadie más, sino por aquellos a quienes se
les ha espedido. Los usuarios no deben permitir que otros realicen ninguna actividad con sus
códigos de identificación de usuario. Así mismo, se les prohíbe a los usuarios que realicen
cualquier actividad con códigos de identificación de usuario que pertenezcan a otros usuarios
(exceptuando identificadores de usuario anónimo).
Política: La Universidad Distrital precisa que siempre que un sistema ha sido atendido por partes
no autorizadas, los administradores del sistema deben cambiar inmediatamente cada contraseña
Política: La Universidad Distrital precisa que las contraseñas nunca deben descubrirse por
medio de líneas telefónicas. Para obtener una nueva contraseña o para cambiarla, un usuario
debe presentarse en persona y acreditar la identificación adecuada.
37. Cuándo y cómo las contraseñas pueden ser descubiertas por los administradores de
seguridad
Política: La Universidad Distrital precisa que todos los usuarios deben estar identificados
positivamente antes de poder usar cualquier computador multi-usuario o recursos de sistemas de
comunicación.
Política: La Universidad Distrital precisa que todos los usuarios deben tener su identidad
verificada con un identificador de usuario y una contraseña o por otros medios que proporcionen
una seguridad igual o mayor antes de permitirles usar computadores de la entidad conectados a
la red.
Política: La Universidad Distrital precisa que todos los usuarios deben tener un identificador de
usuario único y una contraseña secreta. Este identificador de usuario y la contraseña secreta
serán requeridos para tener acceso a los computadores multi-usuario de la entidad y las redes
del computador.
Política: La Universidad Distrital precisa que cuando se haga el log-in dentro del computador de
la entidad o a la información en sistemas de comunicaciones y es incorrecta alguna parte de la
recuenta del log-in, al usuario no se le debe retroalimentar indicando la fuente del problema en forma
especifica. En vez de esto, al usuario debe simplemente informársele que el proceso de lon-in
estuvo incorrecto.
Política: La Universidad Distrital precisa que cuando se haga el log-in a un computador de la entidad
o la información en el sistema de comunicación y es incorrecta alguna parte de la secuencia
de log-in, el usuario no debe dar ninguna retroalimentación indicando la fuente del problema. En
lugar de esto, el sistema debe terminar la sesión o esperar la información de log-in correcta para
entrarla.
Política: La Universidad Distrital precisa que todo proceso de log-in para computadores multi-
usuario debe incluir una advertencia especial. Esta advertencia debe indicar: (a) el sistema es
para ser usado solamente por usuarios autorizados y (b) el continuo uso del sistema por el
usuario indica que el/ella es un usuario autorizado.
Política: La Universidad Distrital precisa que todas las banderas de lon-in en la red conectada al
sistema del computador de la entidad deben preguntar al usuario simplemente el log-in,
proporcionando los indicadores cuando éstos se necesiten. La información especifica acerca de
la organización, el sistema de operación del computador, la configuración de la red, u otros
asuntos internos no debe ser suministrada en la bandera del log-in hasta que el usuario haya
proporcionado en forma adecuada un identificador de usuario y una contraseña.
Política: La Universidad Distrital precisa que la siguiente advertencia debe usarse cuando los
usuarios se conectan a las redes internas del computador de la entidad. “Este sistema es
solamente para uso de usuarios autorizados. Quienes usen este sistema de computador sin
autorización, o excediendo su autoridad, están sujetos a que todas sus actividades llevadas a
cabo en ese sistema sean monitoreadas y grabadas por el personal del sistema. En el caso de
monitorear individuos usando en forma inapropiada este sistema, o en caso del mantenimiento
del sistema, las actividades de usuarios autorizados también pueden ser monitoreadas.
Cualquiera que use este sistema accede expresamente a aceptar este monitoreo y se les
advierte que si el monitoreo revela cualquier posible actividad criminal, el personal del sistema
puede proporcionar a los oficiales que ejercen la ley dicha evidencia”.
Política: La Universidad Distrital precisa que en el momento del log-in, se debe dar a cada
usuario la información indicando la última hora y fecha del último log-in. Esto permitirá detectar
fácilmente el uso no autorizado del sistema.
Política: La Universidad Distrital precisa que a menos que se tenga un permiso especial
concedido por el administrador del sistema, los sistemas del computador no deben permitir que
ningún usuario maneje simultáneamente sesiones múltiples cuando esté en línea.
Política: La Universidad Distrital precisa que si el sistema del computador al cual los usuarios
están conectados contiene información sensible o valiosa, éstos no deben abandonar su
microcomputador (PC), estación de trabajo o terminal, sin hacer primero log-off.
Política: La Universidad Distrital precisa que si los computadores personales (PCs) están
conectados a una red, cuando no estén en uso deben siempre estar en log-off.
51. No se deben almacenar juegos ni usar los sistemas del computador de la entidad para estas
actividades
Política: La Universidad Distrital precisa que no deben almacenarse ni usarse juegos en ninguno
de los sistemas del computador de la entidad.
Política: La Universidad Distrital precisa que los sistemas de información de la entidad deben usarse
solamente para trabajos relacionados con actividades de la misma. El uso personal ocasional
puede permitirse si: (a) no se consume más que una cantidad mínima de los recursos que podrían,
en otra forma, usarse para asuntos del negocio, (b) no interfiere con la productividad del
trabajador, y (c) no se apropia de ningún tipo de actividad comercial, se podría permitir el uso del
sistema por correo electrónico, por ejemplo, enviar un mensaje para programar un almuerzo.
Política: La Universidad Distrital precisa que los suscriptores de los servicios de computación y
comunicación de la entidad no deben usar estas facilidades para asuntos comerciales
personales venta de productos o bien para comprometerse en otras actividades comerciales que
no sean aquellas expresamente permitidas por la dirección de la entidad.
Política: La Universidad Distrital precisa que el uso de los sistemas de información de la entidad
para tener acceso a Internet con fines personales no será tolerado y puede considerarse causa
para una acción disciplinaria e inclusive la destitución. Todos los usuarios de Internet deben
estar enterados que estas pruebas dar lugar a auditoria detallada del log que refleje ambas
transmisiones, en el límite y fuera del límite.
56. Uso personal de las facilidades de Internet de la entidad solamente en las horas libres
Política: La Universidad Distrital precisa que el uso circunstancial del computador de la entidad y
de los sistemas de comunicación es permitido mientras que su uso sea restringido a las horas
libres de cada usuario. Este uso personal no debe incluir trabajo adicional o la búsqueda de otro
puesto, participación en actividades de juego por dinero o comprometerse en actividades
políticas o de caridad.
Política: La Universidad Distrital precisa que no se puede conceder o dar cierto tipo de prerrogativas
con los códigos de identificación de usuarios a individuos que no sean empleados, contratistas o
consultores para usar los computadores de la entidad o de los sistemas de comunicación, a menos
que primero se obtenga la aprobación por escrito del departamento de seguridad de información.
59. Las prerrogativas de acceso a los sistemas de información se terminan cuando el trabajador
se retira de la entidad.
Política: La Universidad Distrital precisa que todas las prerrogativas para el uso de los sistemas
de información de la entidad deben terminar inmediatamente después de que el trabajador cesa
de prestar sus servicios a la entidad.
Política: La Universidad Distrital precisa que la entidad usa controles de acceso y otras medidas
de seguridad para proteger la veracidad, integridad y disponibilidad de la información manejada
por computadores y sistemas de información. Para mantener estos objetivos la administración
debe tener la autoridad para:
Política: La Universidad Distrital precisa que se prohíbe a los funcionarios que usen los sistemas
de información de la entidad para tener acceso no autorizado a cualquier otro sistema de información
o de cualquier forma dañar, alterar o desbaratar las operaciones de estos sistemas. Del mismo
modo se les prohíbe capturar o de otra forma obtener contraseñas, contraseñas encriptadas o
cualquier otro mecanismo de control de acceso que pueda permitirles un acceso no autorizado.
Política: La Universidad Distrital precisa que toda la información del computador principal que
sea sensible, critica o valiosa debe tener controles de acceso al sistema para garantizar que no
sea inapropiadamente descubierta, modificada, borrada o no adaptable.
Política: La Universidad Distrital precisa que todo el software instalado en los sistemas multi- usuario
de la entidad debe regularse por el control de acceso apropiado a los sistemas software. Esto
significa que una sesión de un usuario inicialmente debe controlarse por los sistemas software
de control de acceso apropiado y si se tienen permisos determinados el control será transferido al
software separado instalado.
Política: La Universidad Distrital precisa que la administración debe claramente especificar por
escrito la asignación de las responsabilidades de pertenencia para bases de datos, archivos
principales y otra información compartida. Estas declaraciones deben también indicar los
individuos a quienes se les ha dado autoridad para originar, modificar o borrar tipos específicos
de información encontrada en estos conjuntos.
Política: La Universidad Distrital precisa que los funcionarios a quienes se les ha autorizado ver
información clasificada de un cierto delicado nivel se les deben permitir el acceso solamente a
información a ese nivel o a niveles menos delicados.
Política: La Universidad Distrital precisa que los funcionarios nunca deben tener autorización
para mover información clasificada de un cierto nivel delicado a un menor nivel a menos que sea
parte del proceso apropiado de desclasificación.
Política: La Universidad Distrital precisa que la administración debe definir los privilegios del usuario
para que usuarios comunes no puedan logar acceso o de otra forma interferir con actividades
individuales o datos privados de otros usuarios.
Política: La Universidad Distrital precisa que los permisos de control de acceso al archivo para
todos los sistemas de la red de la entidad deben fijarse por defecto para poder bloquear el
acceso a usuarios no autorizados.
70. Capacidades del usuario para el acceso de archivos y su implicación en cuanto al uso
Política: La Universidad Distrital precisa que los usuarios no deben leer, modificar, borrar o
copiar archivos que pertenezcan a otro sin obtener primero permiso del propietario del archivo. A
menos que el acceso general haya sido claramente proporcionado, la habilidad de leer,
modificar, borrar o copiar un archivo que pertenezca a otro usuario no implica que el usuario
tenga permiso para realizar estas actividades.
Política: La Universidad Distrital precisa que cada computador o sistema de comunicación debe
únicamente identificar uno y solamente un código de identificación por usuario. Códigos de
identificación de usuario para grupos o que sean compartidos no son permitidos.
Política: La Universidad Distrital precisa que cada código de identificación de usuario debe ser único
y solamente habilitarse con el código de usuario que le ha sido asignado. Después que un
funcionario se retira de la entidad no debe volverse a usarse ninguno de los códigos asignados
anteriormente.
Política: La Universidad Distrital precisa que todos los sistemas del computador multi-usuario y
de la red deben emplear un tipo especial de identificador de usuario que ha definido ampliamente
los privilegios del sistema. A su vez, este identificador de usuario permite que los usuarios
autorizados cambien el estado de los sistemas de seguridad
Política: La Universidad Distrital precisa que los privilegios especiales del sistema, tales como la
habilidad de examinar los archivos de otros usuarios, deben restringirse a aquellos que sean
directamente responsables del manejo y/o seguridad del sistema. Estos privilegios deben
otorgarse solamente a aquellas personas que han tenido y aprobado entrenamiento especial
como administrador de los sistemas.
Política: La Universidad Distrital precisa que los administradores de los sistemas multi-usuario
deben tener por lo menos dos identificadores de usuario. A uno de estos identificadores debe
proporcionársele el acceso privilegiado, el otro debe ser un identificador ordinario que lleve a
cabo el trabajo diario de un sistema común.
Política: La Universidad Distrital precisa que el crear, divulgar y el privilegio de poder cambiar
toda actividad realizada por los administradores de los sistemas y otros identificadores de
usuario privilegiados debe dar una seguridad de estar logged.
79. Privilegios del usuario por defecto y necesidad para aprobaciones explicitas
Política: La Universidad Distrital precisa que sin una aprobación por escrito de la dirección, los
administradores no deben otorgar a ningún usuario privilegios en el sistema.
Política: La Universidad Distrital precisa que a usuarios específicos se les pueden otorgar
identificadores de usuario solamente cuando tienen aprobación por anticipado del supervisor
inmediato.
Política: La Universidad Distrital precisa que vendedores o terceras personas solamente deben
tener privilegios en el mantenimiento y cuando el administrador del sistema determine que en verdad
tienen la necesidad de realizar acciones legítimas. Estos privilegios solamente se otorgan durante
el periodo requerido para llevar a cabo las funciones aprobadas.
Política: La Universidad Distrital precisa que todos los sistemas multi-usuario deben emplear
identificadores de usuario y contraseñas para controlar el acceso tanto a la información como a
los programas. Además de este control de acceso, las actividades del usuario deben restringirse
por la hora del día y el día de la semana.
Política: La Universidad Distrital precisa que todos los identificadores de usuario deben
automáticamente revocar los privilegios asociados después de un periodo de treinta (30) días de
inactividad.
Política: La Universidad Distrital precisa que los funcionarios no deben comprobar o intentar arreglar
controles internos a menos que anticipadamente y por escrito haya sido específicamente aprobados
por el administrador del departamento de seguridad informática.
Política: La Universidad Distrital precisa que los usuarios no deben explorar vulnerabilidades o
deficiencias en la seguridad de los sistemas de información para dañar los sistemas o
información, para obtener recursos mayores a los que han sido autorizados, para tomar recursos
de otros usuarios o para tener acceso a otros sistemas a los cuales no se les ha otorgado una
autorización apropiada. Todas estas vulnerabilidades y deficiencias deben ser reportadas
inmediatamente al administrador del departamento de seguridad informática.
Política: La Universidad Distrital precisa que el personal de la entidad debe investigar y validad
la necesidad del recipiente de tener tales herramientas, antes de distribuir identificación
vulnerable del software u otras herramientas que pueden usarse para comprometerla seguridad
de los sistemas de información.
Política: La Universidad Distrital precisa que todas las herramientas de los sistemas de
información construidas o distribuidas por la entidad que puedan usarse para caauar un daño
significativo deben ser automáticamente restringidas para que sean solamente usadas en el (los)
propósito(s) determinado(s).
Política: La Universidad Distrital precisa que restringir el uso de los privilegios únicamente a los
funcionarios responsables de la administración para la modificación de la información comercial
de la entidad en el ambiente de producción.
Política: La Universidad Distrital precisa establecer privilegios para que los usuarios del sistema
puedan modificar información en producción en formas predefinidas para preservar la integridad
de la información y ejecutándose en forma controlada.
Política: La Universidad Distrital precisa en definir privilegios del sistema para que el personal
que no pertenezca al usuario final responsable (auditores internos, administradores de seguridad
de información, programadores, operarios del computador, etc) no se les permita modificar
directamente los datos de información comercial en el ambiente de producción.
93. Privilegios del personal técnico y cambio de parámetros de control en los sistemas en
producción
Política: La Universidad Distrital precisa que los operadores del computador no deben tener
acceso a modificar los datos y programas en producción, al igual que la funcionalidad del
sistema.
Política: La Universidad Distrital precisa que los usuarios deben firmar un acuerdo con la entidad
sobre la confidencialidad con el manejo de la información y el acatamiento con las normas de
seguridad del sistema, antes de entregárseles los códigos de identificación de usuario para
ingresar a los sistemas de la entidad.
Política: La Universidad Distrital precisa que para alcanzar un control de acceso seguro a través
de diferentes tipos de sistemas automatizados se debe utilizar estándares para los códigos de
identificación de usuario, nombres estándar para programas y archivos tanto en ambientes de
producción como en desarrollo, nombres de sistemas de información y otras convenciones
utilizadas en tecnología.
Política: La Universidad Distrital precisa que las configuraciones y parámetros instituidos para
todos los equipos adscritos a la red de la entidad deben cumplir con las políticas y normas sobre
el manejo administrativo, operativo y de control de la seguridad de información.
Política: La Universidad Distrital precisa que todo sistema multi-usuario debe contener herramientas
automatizadas que ayuden al administrador de seguridad en la verificación del estado de
seguridad de los sistemas automatizados. Estas herramientas deben contener mecanismos que
sirvan para detectar, informar y corregir problemas de seguridad.
Política: La Universidad Distrital precisa que la dirección de la entidad debe informar oportunamente
sobre todos los cambios de tareas y responsabilidades operativas o administrativas de
los funcionarios a los administradores de los sistemas de seguridad para que actualicen, controlen
y administren los códigos de identificaciones de usuarios.
Política: La Universidad Distrital precisa que para revocar oportunamente los privilegios en los
registros de los códigos de identificación de usuario almacenados en los sistemas automáticos
deben actualizarse y respaldarse los archivos que los contienen.
Política: La Universidad Distrital precisa que cuando un funcionario deja su cargo con la entidad
tanto los archivos magnéticos como los de papeles los debe recibir el jefe inmediato para
determinar a quién se los asigna delegando específicamente la responsabilidad sobre ellos.
Política: La Universidad Distrital precisa que cuatro semanas después que un funcionario ha
dejado permanentemente la entidad todos los archivos guardados en los directorios del usuario
serán depurados.
Política: La Universidad Distrital precisa que todos los sistemas de aplicación en producción que
contengan información sensitiva de la entidad deben generar logs que indiquen cada adición,
modificación, borrado y divulgación de esta información.
Política: La Universidad Distrital precisa que todos los sistemas automáticos que operen y
administren información sensitiva, valiosa o critica para la entidad deben tener archivos logs
donde se tenga evidencia sobre todos los eventos relevantes que se sucedieron con la
información automatizada y con las seguridades necesarias relacionadas con la consulta,
modificación y borrado. Ejemplo sobre seguridades, intentos de adivinar la contraseña, intentos
para usar privilegios que no han sido autorizados, modificaciones al software de aplicación en el
ambiente de producción y modificaciones al software ambiental del sistema.
Política: La Universidad Distrital precisa que los archivos de logs que contienen eventos
relevantes de seguridad deben proporcionar suficiente información para apoyar el monitoreo, control
y auditorias sobre la efectividad y cumplimiento con las medidas de seguridad implementadas en la
entidad.
Política: La Universidad Distrital precisa que los logs que contienen los registros de los eventos
relevantes de los diferentes sistemas de información deben retenerse por periodos de tiempo
teniendo en cuenta la criticidad relativa de cada uno de ellos y la exigida en forma mandatoría.
Durante este periodo estos logs deben custodiarse en forma segura para que no puedan ser
modificados y para que puedan ser leídos únicamente por personas autorizadas. Estos logs son
importantes para corregir errores, hacer auditorias, recobrar seguridad violada y otras gestiones
relacionadas.
Política: La Universidad Distrital precisa que pare verificar y asegurar que los usuarios ejecuten
sus funciones correctamente en los sistemas automatizados de la entidad uno o más archivos
con los registros de las actividades criticas deben mantenerse custodiadas por un periodo
razonable de tiempo.
Política: La Universidad Distrital precisa que los registros computarizados almacenados en los
logs que reflejan los privilegios de acceso a cada usuario de los sistemas y redes multi-usuario
de la entidad deben mantenerse custodiados por un periodo de tiempo razonable.
Política: La Universidad Distrital precisa que todas las actividades ejecutadas por los usuarios
que afecten la información de producción deben poderse reconstruir utilizando los archivos de
logs. Para hacer seguimientos a acciones inadecuadas y ejercer control sobre la responsabilidad
de los usuarios.
Política: La Universidad Distrital precisa que para proporcionar evidencia en investigaciones y tomar
acciones administrativas y de carácter legar se debe obtener la información necesaria de los
archivos de seguridad “logs”, los estados del sistema actual y las copias de los archivos (backup) y
de todos los demás potencialmente involucrados cuando se sospecha que ha ocurrido un
crimen informático o abuso en el computador. La información debe custodiarse hasta el momento
en que estime conveniente o determine la alta dirección de la entidad.
Política: La Universidad Distrital precisa que las aplicaciones comerciales de carácter vital o
crítico para la entidad requieren tener archivos de log robustos. Todas las aplicaciones
comerciales críticas deben apoyarse en logs que permitan que las actividades del sistema
puedan ser reanudadas dentro de quince (15) minutos, después de presentarse una
contingencia.
Política: La Universidad Distrital precisa que los sistemas manejadores de base de datos
(DBMS) deben guardar los logs de las actividades del usuario y sus estadísticas que permitan
detectar y disparar alarmas que reflejen eventos sospechosos.
Política: La Universidad Distrital precisa que todos los computadores multi-usuario conectados a
la red interna de la entidad deben tener la hora exacta reflejada en el reloj interno.
Política: La Universidad Distrital precisa que todas las transmisiones de faxes que entren o
salgan de la entidad deben registrarse en un log y guardarse por un periodo de tiempo
determinado. Las máquinas de fax que no generen automáticamente un log de los faxes deben tener
entonces un log manual.
Política: La Universidad Distrital precisa que los logs deben tener mecanismos de seguridad y
control administrativo resistentes a ataques capaces de detectar y grabar eventos significativos
en aspectos de seguridad automática. Estos ataques incluyen intentos de desactivar, modificar,
intentar o detectar las claves de acceso al software y/o a los mismos logs.
Política: La Universidad Distrital precisa que todos los logs del sistema y las aplicaciones deben
mantenerse en forma que personas no autorizadas no puedan fácilmente accesarlos. Una
persona no está autorizada si no es miembro del personal de autoría interna o personal de
control de la seguridad. Los usuarios que no estén autorizados deben obtener permiso por
escrito del administrador de seguridad tecnológica.
118.Notificación a los usuarios acerca de las violaciones de seguridad registradas en los logs.
Política: La Universidad Distrital precisa que se les debe dar instrucciones y capacitación a los
usuarios sobre las acciones específicas que constituyen violaciones de seguridad. Los usuarios
deben también informarse que tales violaciones estarán controladas mediante controles automáticos
reportados en los logs.
Política: La Universidad Distrital precisa que si los usuarios sospechan que hay infección por un
virus ellos deben parar de usar el computador, desconectarlo de todas las redes y llamar al
encargado solicitando la ayuda.
120.La eliminación de virus informáticos por parte de los usuarios finales requiere ayuda del
administrador del sistema
Política: La Universidad Distrital precisa que se prohíbe a los usuarios finales eliminar virus
informáticos de los sistemas de la entidad cuando estos sistemas están infectados en razón de
que pueden conducir más daños en la información o programas o permitir una reinfección sobre
estos. Se debe pedir ayuda de asistencia técnica al departamento de sistemas o al representante
de la seguridad de la información local.
121.Prohibición para bajar y cargar Software de Internet en los sistemas corporativos por parte
de terceras personas
Política: La Universidad Distrital precisa que los funcionarios de la entidad no deben permitir que
terceras personas puedan bajar (download) y/o cargar (upload) Software de Internet en los
sistemas de la entidad. Esta prohibición es necesaria porque dicho Software puede contener
virus, gusanos, caballos de Troya y otro software que pueden dañar la información y los
programas en producción.
Política: La Universidad Distrital precisa que para prevenir la infección por virus en los computadores
los funcionarios de la entidad no deben usar ningún software proporcionado externamente por una
persona u organización que no sea un proveedor conocido y confiable. La única excepción a esto
es cuando el software ha sido primero probado y aprobado por el departamento de tecnología
o un coordinador de seguridad de la información.
Política: La Universidad Distrital precisa que siempre que se reciba un software y/o archivos de
una entidad externa este material debe verificarse en una máquina conectada a una red stand
alone antes de usarse en los sistema de información de la entidad. Si un virus, gusano o caballo
de Troya está presente el daño será solamente para esta máquina.
124.Los disquetes proporcionados externamente deben poseer una etiqueta o sello que certifique
que previamente han sido examinados contra la presencia de virus
128.Los archivos digitales deben descomprimirse antes de examinar si están contaminados por
virus
Política: La Universidad Distrital precisa que todos los archivos digitales (programas, base de
datos y documentos de texto entre otros) deben ser descomprimidos antes de proceder a hacer
una evaluación de virus informáticos. A los programas o archivos comprimidos no se les puede
detectar con facilidad la existencia de virus.
Política: La Universidad Distrital precisa que todo el software de los computadores y servidores
debe copiarse antes de iniciar su uso y estas copias deben almacenarse en un lugar seguro y
confiable. Estas copias master no deben usarse para actividades comerciales ordinarias sino que
deben reservarse para cuando se presenten infecciones de virus, daño en el disco duro y otros
problemas en los computadores y servidores.
Política: La Universidad Distrital precisa que antes de distribuir cualquier software a los usuarios
los funcionarios de la entidad deberán primero someterlo a pruebas exhaustivas incluso a
pruebas que identifiquen la presencia de virus en la computadora.
Política: La Universidad Distrital precisa que los usuarios del sistema no deberán escribir o
ejecutar ningún programa o proceso automático que consuma demasiados recursos de máquina y
que puedan afectar el normal rendimiento de los trabajos de la entidad.
Política: La Universidad Distrital precisa que los usuarios del sistema no deberán escribir,
generar, compilar, copiar, propagar, ejecutar o intentar introducir intencionalmente cualquier
código a la computadora que haya sido diseñado para causar daño o impedir la normal actuación
de la memoria de la máquina, archivos de datos o programas, sistemas operativos o software
aplicativo. Estos programas nocivos son conocidos como virus.
Política: La Universidad Distrital precisa que antes de que un nuevo sistema se desarrolle o se
adquiera los directores de los departamentos usuarios de la entidad deberán haber especificado
los requerimientos de seguridad necesarios. Es conveniente tener en cuenta las alternativas
sugeridas por los diseñadores, vendedores y/o proveedores para que se obtenga un equilibrio
apropiado entre la seguridad y los objetivos de facilidad de uso, eficacia operacional, facilidad de
actualización, escalabilidad y costos aceptables entre otros.
Política: La Universidad Distrital precisa que todo software que se desarrolle o personalice en la
entidad y que produzca resultados no esperados, siempre deberá producir mensajes de error y
las acciones a seguir por parte del usuario deberán documentarse.
Política: La Universidad Distrital precisa que toda intervención que tenga un usuario con el
sistema deberá reportar un mensaje automático que indique si la transacción o evento se ejecutó
correctamente o presentó alguna falla.
Política: La Universidad Distrital precisa que se deberán definir previamente las especificaciones o
requerimientos formales para todo desarrollo de software. Estas especificaciones deberán ser parte
integral de un acuerdo entre los dueños de la información involucrada y los programadores del
software. El acuerdo deberá ser completado y aprobado antes de comenzar el desarrollo o
personalización del código del sistema.
Políticas: La Universidad Distrital precisa que para todo desarrollo de software se deberán
utilizar técnicas y herramientas de desarrollo conocidas en el mercado local del que se tenga certeza
que su comportamiento es seguro y confiable.
Política: La Universidad Distrital precisa que todo proyecto de desarrollo de software deberá
tener como meta secundaria que el desarrollo sea modular y confiable además que pueda ser
utilizado en un ambiente de software compartido.
Política: La Universidad Distrital precisa que se deberá utilizar convenciones estándar para
nombrar los archivos del ambiente de producción que permitan diferenciarlos claramente de los
respectivos archivos utilizados en los ambientes de desarrollo, pruebas o con propósitos de
entrenamiento.
Política: La Universidad Distrital precisa que las transacciones usadas para fines de auditoria,
pruebas, entrenamiento u otros propósitos diferentes a los de producción deberán ser rotuladas o
marcadas respectivamente de acuerdo a su propósito. De otra parte deberán ser separadas de las
transacciones usadas en los ambientes de producción. Estos registros servirán de garantía a la
entidad para no actualizar inapropiadamente transacciones no habilitadas para ambientes de
producción.
Política: La Universidad Distrital precisa que cada usuario que desarrolle o implemente software
o hardware para ser usado por la entidad en las actividades propias del negocio deberá
documentar el sistema de acuerdo con el avance de la implementación. La documentación
deberá ser escrita para que el sistema pueda ser utilizado por personas no familiarizadas con él.
La documentación deberá cubrir usuarios finales operativos y técnicos.
Política: La Universidad Distrital precisa que con excepción de algunos casos puntuales de
emergencia solamente las funciones descritas en el documento aprobado de especificaciones de
Política: La Universidad Distrital precisa que los discos y otros medios de almacenamiento en
línea usados en sistemas de computación en producción no deberán contener compiladores,
ensambladores, editores de texto, procesadores de palabra u otra utilidad de propósito general
que puedan utilizarse para comprometer la seguridad del sistema.
Política: La Universidad Distrital precisa que el acceso al software utilitario del sistema deberá
ser restringido a un pequeño número de usuarios conocidos y autorizados. Siempre que estos
utilitarios sean ejecutados la actividad resultante deberá registrarse secuencialmente en un
archivo log y seguido de esto el administrador del equipo deberá revisarlo.
Política: La Universidad Distrital precisa que en los casos donde el acceso a la información en
producción es requerido para probar los sistemas de aplicaciones nuevos o modificados
únicamente se les concederá acceso de lectura y copia al personal de pruebas. Este acceso
será permitido únicamente durante la duración de las pruebas y los trabajos relacionados con el
desarrollo del aplicativo y deberán ser revocados al culminarse con éxito dichas actividades,
estas operaciones deberán ser supervisadas y controladas por el administrador de los datos y
programas.
154.El personal de desarrollo de sistemas no debe ser el responsable de las pruebas formales
del software
Política: La Universidad Distrital precisa que funcionarios que estén vinculados específicamente
con el desarrollo del software no deberán ser los responsables del resultado de las pruebas formales
no de la operación diaria de la solución tecnológica.
155.Todos los sistemas automáticos que se encuentren en producción deberán cumplir con el
procedimiento formal de control de cambios
Política: La Universidad Distrital precisa que para todos los equipos de cómputo y sistemas de
comunicación utilizados en procesos de producción en la entidad se deberá aplicar un procedimiento
formal de control de cambios que garantice que solo se realicen los cambios autorizados. Este
procedimiento de control de cambios deberá ser aplicado al software, hardware,
comunicaciones, interfaces y a los procedimientos.
Política: La Universidad Distrital precisa que los usuarios finales no deberán instalar software en
sus computadores personales, servidores de red u otras máquinas sin que medie la autorización
del coordinador de seguridad de información.
Política: La Universidad Distrital precisa que las características que son innecesarias en el
ambiente informático de la entidad se deberán desactivar en el momento de la instalación del
software.
Política: La Universidad Distrital precisa que la documentación que refleja todos los cambios hechos
sobre los equipos de producción y los sistemas de comunicación en la entidad deberá prepararse
simultáneamente con el proceso de cambio. Esta documentación deberá contemplar las
propuestas de cambio, la aprobación de la dirección y la manera como el cambio fue
realizado.
Política: La Universidad Distrital precisa que los desarrollos y/o modificaciones hechas a los
sistemas de aplicación no deberán trasladarse al ambiente de producción si no se cuenta
primero con la documentación de entrenamiento y operación adecuados. La suficiencia de estos
materiales deberá ser determinada por los usuarios responsables de la dirección de la entidad.
Política: La Universidad Distrital precisa que los usuarios no podrán instalar ningún programa o
software desarrollado fuera de la entidad en sus propios microcomputadores, en sus estaciones
de trabajo, en servidores de la red o en computadores conectados a la red a menos que haya
sido aprobado por la dirección de la unidad de tecnología corporativa.
162.Todo software que ha sido primero probado externamente por terceros también debe ser
probado por la entidad
Política: La Universidad Distrital precisa que programas ejecutables (código objeto de software)
provistos por entidades externas deberán probarse por la entidad antes de la instalación en el
ambiente de producción. La lista de instrucciones de programa (código fuente de software)
provisto por entidades externas deberá ser revisado y probado en cuanto a sus compilaciones y
los programas ejecutables por el equipo de trabajo asignado por la dirección de tecnología antes
de su instalación en producción. Cada prueba y examen deberá ser consistentes con los
estándares de la entidad y deberá tener la documentación estándar mínima requerida.
Política: La Universidad Distrital precisa que todos los sistemas (sistemas grandes, sistemas
cliente/servidor, redes y computadores personales entre otros) deberán ser provistos de
software licenciado. Junto a la detección automática de copias de software no autorizadas, el
sistema administrativo de licencias central deberá ser configurado para detectar nuevos
desarrollos o modificaciones por parte de los usuarios finales.
Política: La Universidad Distrital precisa que antes de comenzar a instalarse nuevas o diferentes
versiones del sistema operativo y el relacionado con el software de los sistemas en producción
este deberá ser validado primero por el proceso de control de cambios establecido en la entidad.
Política: La Universidad Distrital precisa que los módulos ejecutables nunca deberán ser
trasladados directamente de las librerías de pruebas a las librerías de producción sin que
previamente sean probados, revisados y recompilados. Las actividades de revisión y
recompilación deberán ser ejecutadas por un nivel técnico no asociado con las pruebas del
proceso. Estos procesos ayudarán a descubrir y erradicar errores teniendo en cuenta los
requerimientos de los usuarios.
Política: La Universidad Distrital precisa que un proceso formal de control de cambio deberá tenerse
y aplicarse para asegurar que todo el software de aplicación que está en desarrollo sea trasladado
adecuadamente al ambiente de producción previa autorización y aprobación por escrito tanto
de la dirección de sistemas como de la dirección de los usuarios responsables.
Política: La Universidad Distrital precisa que Aantes de comenzar a usar un nuevo aplicativo en
producción o con cambios sustanciales deberá recibirse una aprobación escrita de la dirección
del departamento de seguridad de información para los nuevos controles y seguridades a ser
implementados.
Política: La Universidad Distrital precisa que la dirección especifica del usuario final con la
aceptación por parte de la auditoria de sistemas deben seguir los procedimientos administrativos,
operativos u de control establecidos antes de que un programa o aplicativo sea colocado en
ambiente multi-usuario.
Política: La Universidad Distrital precisa que todo software que maneje información sensible,
critica o valiosa desarrollado para los usuarios finales deberá tener controles debidamente
aprobados por la dirección de seguridad de información antes de comenzar a usarse en el
ambiente de producción.
Política: La Universidad Distrital precisa que las revisiones periódicas a los sistemas operativos
del ambiente de producción deberán ejecutarse para asegurar que únicamente los cambios
autorizados han sido realizados y no otros.
173.Se prohíbe el engaño a los controles de acceso al sistema a través de las puertas traseras
Política: La Universidad Distrital precisa que todos los problemas de seguridad de software, los
procedimientos de control para comandos de máquina y los proporcionados por los proveedores
del sistema operativo deberán ser resueltos prontamente por el equipo oficial responsable de
atención de emergencias computacionales (CERTs).
175.Todo cambio por terceros al software en producción deberá requerir aprobación especial
Política: La Universidad Distrital precisa que se deberá obtener primero un permiso por escrito
del director de sistemas para que el proveedor del software de aplicación efectué modificaciones
a este sistema. Cuando las modificaciones han sido aprobadas, el software modificado deberá
documentarse, probarse y en general ajustarse a los procedimientos de control de cambios
establecidos por la entidad antes de ser trasladado al ambiente de producción.
Política: La Universidad Distrital precisa que todos los cambios permanentes al software en
producción deberán hacerse con el código fuente en lugar del objeto u otro código ejecutable.
Política: La Universidad Distrital precisa que los procedimientos para el regreso a una versión
anterior “back off” deberán ser desarrollados para todos los cambios de software que se
encuentren en producción (del sistema operativo). Ellos permiten a las actividades de procesamiento
de datos un rápido y conveniente regreso a la anterior versión del software o estado de datos
par que las operaciones del negocio puedan continuar.
178.Todo software que se incorpore a producción debe tener su propio plan de contingencia
Política: La Universidad Distrital precisa que siempre que se pase al ambiente de producción un
nuevo software o uno significativamente modificado se requieren procedimientos contingentes
especiales para evitar considerables pérdidas en la entidad. La administración deberá preparar
un plan de contingencia de conversión que refleje las diferentes formas o maneras de asegurar
la continuidad del servicio a los usuarios que potencialmente se puedan ver afectados.
Política: La Universidad Distrital precisa que siempre que información sensible de la entidad sea
colocada en computadores y que éstas estén conectadas a redes deberá primero hacerse un
análisis sobre el impacto potencial de la seguridad relacionada así como también cuando la
misma vaya a ser usada de diferentes maneras donde se puedan presentar espionaje industrial,
sabotaje, fraude e interrupciones del servicio. Dicho análisis deberá involucrar también
consideraciones sobre la información de calidad del producto, la confidencialidad del cliente y la
imagen pública.
180.Instrucciones de seguridad para nuevas aplicaciones o para aquellas que han sido
modificadas
Política: La Universidad Distrital precisa que antes de ponerse en producción una nueva
aplicación bien sea que se trate de una nueva o una que significativamente haya sido modificada
se deberán implementar las seguridades necesarias teniendo en cuenta los estándares de
procedimientos normales que tenga la entidad.
Política: La Universidad Distrital precisa que si la obtención del software por parte de terceros
esta siendo considerada, la gerencia de tecnología deberá obtener instrucciones de integridad
por escrito suministradas por el proveedor. Estas instrucciones deberán proveer un
aseguramiento de que el software en cuestión no contiene indocumentadas técnicas, no contiene
mecanismos ocultos que pueden ser usados para comprometer la seguridad del software y no
requiere de la modificación o debilitamiento de controles del software del sistema aplicativo y
operativo bajo el cual se ejecuta.
182.Todo el software en custodia deberá ser verificado por una tercera parte independiente
Política: La Universidad Distrital precisa que cada actualización que se haga a la versión
software crítico de la entidad debe actualizar de igual manera el depositado en custodia a un tercero.
El software y su documentación deberán ser verificados y certificada su actualización. Este
proceso de verificación deberá confirmar que todo el software involucrado y su
documentación pertinente han sido recibidos por un agente custodio.
Política: La Universidad Distrital precisa que para prevenir copias de software no autorizadas y
el empleo de la propiedad intelectual, todo el software desarrollado por la entidad para ser usado
por sus clientes y otros terceros deberá ser distribuido únicamente el código objeto.
184.Todo acuerdo con terceros para utilizar el software de la entidad debe ser formal
Política: La Universidad Distrital precisa que para prevenir el uso no autorizado del software
desarrollado por la entidad por parte de los clientes y otros terceros este deberá distribuirse solo
después de que los destinatarios hayan firmado un acuerdo que declare que ellos no
desensamblaran, modificarán ni usarán indebidamente los programas entregados.
Política: La Universidad Distrital precisa que para reducir el riesgo de falsificación y otras
manipulaciones no autorizadas el acceso a los membretes de la entidad, a los cheques en
blanco o sin diligenciar y a otras formas de papelería de seguridad únicamente deberán estar
disponibles a funcionarios que demuestren la necesidad de utilizar cada forma.
187.Se prohíbe fumar, comer y beber en el centro de cómputo e instalaciones con equipos
tecnológicos.
Política: La Universidad Distrital precisa que todos los empleados y visitantes no deberán fumar,
comer o beber en el centro de cómputo o instalaciones con equipos tecnológicos. Al hacerlo estarían
exponiendo los equipos a daños eléctricos, así como a riesgos de contaminación sobre los
dispositivos de almacenamiento de datos.
Política: La Universidad Distrital precisa que es absolutamente esencial que la entidad proteja la
información para garantizar su exactitud, oportunidad y confiabilidad. La información deberá ser
manejada adecuadamente y ser accesible solo a las personas autorizadas de acuerdo con las
normas, políticas y procedimientos corporativos relacionados con los sistemas de información.
Política: La Universidad Distrital precisa que todos los derechos de propiedad intelectual de los
productos desarrollados o modificados por los empleados de la institución durante el tiempo que
dure su relación laboral son de propiedad exclusiva de la entidad.
Política: La Universidad Distrital precisa que sin excepción alguna todo el software y su
documentación generada y desarrollada por funcionarios, consultores, proveedores o
contratistas para el beneficio y uso corporativo es propiedad exclusiva de la entidad. La dirección
de sistemas deberá asegurarse que todos los funcionarios, consultores, proveedores o
contratistas proporcionen a la entidad una declaración escrita en constancia de aceptación de
esta política antes de iniciar el proceso de desarrollo de software o de la documentación
generada.
191.Todos los derechos de propiedad legal sobre archivos fuentes de aplicación y mensajes son
exclusivos de la entidad
Política: La Universidad Distrital precisa que la entidad tiene propiedad legal sobre el contenido
de todos los archivos almacenados en los equipos de cómputo y sistemas en red así como de
todos los mensajes que viajan a través de estos sistemas. La entidad se reserva el derecho de
permitir el acceso a esta información a terceras personas.
devuelto formalmente a la entidad todo el hardware, software, información y otros materiales que
le fueron entregados para la realización de su trabajo.
Política: La Universidad Distrital precisa que los funcionarios de la entidad siempre deberán dar
el crédito pertinente a las fuentes de obtención de información utilizadas con propósitos corporativos.
Política: La Universidad Distrital precisa que todos los empleados que coloquen información en
áreas públicas de la entidad tales como sistemas de correo electrónico, sistemas tablero de
boletines electrónicos (BBSs), etc. Deberán conceder a la entidad el derecho de editar, revisar,
copiar, publicar y distribuir tal información. Si un tercero posee también derechos de propiedad
intelectual o derechos adicionales sobre esta información el usuario deberá indicarlo en el
momento en que la información se publica. La ausencia de este aviso implica que los usuarios
no conocen ningún otro derecho sobre esta información.
195.Todo software institucional y su documentación deberá tener un aviso sobre los derechos de
autor y propiedad literaria
Política: La Universidad Distrital precisa que todo el software y la documentación que posea la
entidad deberán incluir avisos de los derechos de autor y propiedad literaria.
Política: La Universidad Distrital precisa que es prohibido hacer copias múltiples de cualquier
tipo de información institucional sin la autorización previa del estamento corporativo facultado.
Política: La Universidad Distrital precisa que los contratos de licenciamiento de software deberán
ser revisados periódicamente por la unidad usuaria responsable en la entidad en el cumplimiento
de los compromisos asumidos por las partes.
198.Toda adquisición de software deberá tener su licencia por escrito a nombre de la entidad
Política: La Universidad Distrital precisa que siempre que la entidad haya adquirido un software
integral el proveedor deberá proporcionar por escrito la licencia del software.
Política: La Universidad Distrital precisa que todos los productos de hardware y software
adquiridos por al entidad deberán ser registrados por proveedor. Para asegurar que el soporte y
los descuentos en actualizaciones de versiones sean obtenidas con facilidad.
200.Adquirir las licencias de software necesarias para desarrollar las actividades corporativas
Política: La Universidad Distrital precisa que la dirección de sistemas deberá adquirir licencias
de software de uso generalizado adicionales para lo casos en que los funcionarios las soliciten.
201.No es permitido hacer copias del software sin autorización escrita del proveedor
Política: La Universidad Distrital precisa que ningún software corporativo deberá copiarse a
menos que sea previamente autorizado por el proveedor en el contrato de compra, o las copias
que se realicen sean para propósitos de apoyar el plan de contingencia corporativo.
Política: La Universidad Distrital precisa que los usuarios finales no deberán copiar software
proporcionado por la entidad en ningún medio de almacenamiento magnético o transferir
software de un equipo a otro a través de algún sistema de comunicación o divulgar software sin
autorización escrita del director de sistemas.
Política: La Universidad Distrital precisa que la entidad deberá apoyar la estricta adherencia y
cumplimiento a los contratos con los proveedores de software y los derechos de autor y
propiedad intelectual. La entidad sólo permitirá la reproducción de material legalmente licenciado
en la magnitud considera como de “uso justo” o con el permiso del autor o dueño.
Política: La Universidad Distrital precisa que los funcionarios de la entidad no deberán adquirir,
poseer, comercializar o usar herramientas de hardware o software que pudieran emplearse para
evaluar o comprometer la seguridad de los sistemas de información sin la debida autorización del
departamento de seguridad de información. Si la entidad considera utilizar este tipo de
herramientas tecnológicas para la evaluación de la seguridad de los sistemas estas deberán
ejecutarse en el ambiente de pruebas.
Política: La Universidad Distrital precisa que la información de la entidad tal como bancos de
datos, envíos de listas de correo electrónico, software corporativo, documentación de los
sistemas, etc., solo deberán usarse para propósitos específicamente por la dirección.
209.Para el intercambio de software y/o datos con terceros se requiere de acuerdos por escrito
Política: La Universidad Distrital precisa que los intercambios de software y/o datos entre la
entidad y cualquier tercero no se deberán realizar sin un acuerdo por escrito. Tal acuerdo debe
especificar los términos del intercambio, así como las formas que el software y/o datos serán
manejados y protegidos.
211.El derecho para examinar los datos guardados en los sistemas de la entidad
Política: La Universidad Distrital precisa que todos los mensajes enviados a través de los
computadores y sistemas de comunicaciones de la entidad son de propiedad de la entidad. Para
mantener un adecuado manejo de esta propiedad, la dirección se reserva el derecho de
examinar todos los datos guardados o transmitidos en sus sistemas. Como los computadores y
los sistemas de comunicación de la entidad deben ser usados únicamente para los propósitos
del negocio los empleados podrían no tener la expectativa de la privacidad asociada con la
información que ellos guardan y envían a través de estos sistemas.
Política: La Universidad Distrital precisa que los usuarios institucionales deben permitir que toda
la información que este en su poder dentro de la entidad pueda ser divulgada por instrucciones
de ley o a discreción de la entidad.
Política: La Universidad Distrital precisa que recopiar información personal sobre un aspirante a
ser empleado en la entidad y que sirva de base para tomar la decisión sobre el empleo ofrecido.
Esta Política se dirige a datos sobre el estado matrimonial, planes sobre la familia, actividades
en tiempo libre, afiliaciones políticas, actuación en trabajos anteriores, patrones anteriores,
historial crediticio, educación y otros detalles personales.
Política: La Universidad Distrital precisa que la entidad deberá recoger, almacenar y difundir solo
la información personal que sea necesaria para su funcionamiento.
Política: La Universidad Distrital precisa que la entidad no debe recolectar información sobre las
creencias y afinidades ideológicas y de comportamiento netamente personal de sus funcionarios,
independientemente a los deberes, responsabilidades y compromisos con la entidad.
216.La necesidad de recolectar cualquier tipo de información privada deberá ser justificada
Política: La Universidad Distrital precisa que siempre que la entidad necesite recolectar
información privada sobre empleados, clientes u otras personas deberá existir una justificación
real documentada y aprobada por la dirección.
Política: La Universidad Distrital precisa que la entidad nunca debe recolectar datos privados de
terceros sin haber obtenido primero su consentimiento.
Política: La Universidad Distrital precisa que la recolección de información personal sobre los
clientes potenciales y otros con quien la entidad tiene negocios habituales o potenciales y su
acceso a esta deberá ser controlada estrictamente sobre el fundamento de la necesidad de
conocer el cliente y solo debe usarse la información para los propósitos comerciales internos y
no para su distribución o venta.
219.No es permitido recolectar información en forma automática sobre el desempeño del trabajo
de los funcionarios sin su autorización
Política: La Universidad Distrital precisa que la dirección no debe usar equipos de cómputo para
recolectar información automáticamente sobre el desempeño de sus empleados a menos que
éstos estén de acuerdo.
Política: La Universidad Distrital precisa que en cualquier momento y sin previo aviso la
dirección de la entidad se reserva el derecho de examinar el correo electrónico, los directorios de
archivos personales, el disco duro, archivos y otra información guardada en los sistemas de
información de la entidad. Este examen se realizará para asegurar la conformidad con las
políticas internas, el apoyo a la ejecución de investigaciones internas y ayudará al control de la
administración de los sistemas de información corporativos.
a. Exista una legítima necesidad comercial y no pueda ser satisfecha a través de otros
medios.
b. El funcionario involucrado no esta disponible y el tiempo es crítico para una actividad
comercial.
c. Exista una causa razonable para sospechar de una actividad delictiva o violación a las
políticas.
d. La supervisión es requerida por la ley, regulación o el acuerdo con una tercera parte.
Política: La Universidad Distrital precisa que la dirección de la entidad no deberá espiar las vidas
de sus funcionarios ni su conducta fuera del trabajo a menos que las actividades extra-laborales
sean nocivas para su normal desempeño o afecten el buen nombre de la entidad de una manera
significativa.
Política: La Universidad Distrital precisa que no deben usarse herramientas automáticas para
supervisar o monitorear las actividades de los usuarios del sistema sin que éstos sean notificaos
con la debida anticipación. La única excepción permisible a esta Política involucra
investigaciones de actividades delictivas sospechosas.
225.Todos los usuarios investigados deberán ser reportados al director del área y registrados en
una bitácora especial
Política: La Universidad Distrital precisa que siempre que un usuario del sistema o de la red sea
monitoreado o supervisado con propósitos investigativos o disciplinarios el director del área
implicada deberá ser informado inmediatamente de esta actividad. Esta información deberá ser
registrada para futuras revisiones o acciones administrativas, disciplinarias o legales en una
bitácora especial.
Política: La Universidad Distrital precisa que periódicamente se deberán revisar los registros de
los sitios (web) visitados, los archivos transmitidos y la información que fue intercambiada a
través de Internet. Los directores de departamento recibirán reportes de dicha información para
tomar las medidas pertinentes.
Política: La Universidad Distrital precisa que la entidad no deberá intervenir o grabar conversaciones
telefónicas que no estén expresamente autorizadas.
Política: La Universidad Distrital precisa que los empleados, contratistas y consultores deberán
ser notificados durante la entrevista inicial para su cargo que su trabajo puede ser
electrónicamente supervisado. Esta notificación deberá hacerse por escrito e incluir el tipo de
información que se extraerá y cómo se usará en relación con las normas existentes en
producción y las expectativas para cada individuo involucrado.
Política: La Universidad Distrital precisa que mediante solicitud escrita cada empleado deberá
tener acceso a su propia hoja de vida.
Política: La Universidad Distrital precisa que la revelación de información privada sobre los
empleados a terceras personas no deberá permitirse a menos que sea requerida por la ley o con
consentimiento explicito del empleado.
Política: La Universidad Distrital precisa que la entidad no revelará nombres, títulos, números de
teléfono, localización u otra información particular de sus empleados a menos que sea requerida
para propósitos del negocio. Se harán excepciones cuando dicha revelación sea exigida por ley
o cuando las personas involucradas hayan consentido previamente tal revelación de la
información.
233.Restricción de revelar la razón de terminación del contrato de trabajo con los empleados
Política: La Universidad Distrital precisa que para conservar la privacidad de la información del
personal sobre la razón de la terminación de contratos de trabajo con los empleados esta no
deberá revelarse a terceros. Las dos excepciones permitidas son la aprobación previa del Rector o
si dicha revelación es requerida por la ley.
Política: La Universidad Distrital precisa que los detalles del cambio del cargo de un empleado
son estrictamente confidenciales y no deberá revelarse a nadie excepto a personas que tienen
una buena razón para saberlo. El detalle del cambio de posición incluye las razones para
terminaciones, jubilaciones, resignaciones, hojas de ausencia, los resultados de una
investigación, restablecimiento o cambios de rol a posiciones de consultor/contratista.
235.Concesión a los empleados para revelar sus propios archivos de datos privados
Política: La Universidad Distrital precisa que deberá darse a los empleados el permiso para
revelar los archivos que reflejan su propia información privada a terceras partes. Además, deberá
permitírsele a los empleados información suficiente los resultados de una investigación,
traslados, restablecimiento o cambios de rol a posiciones de consultor/contratista.
Política: La Universidad Distrital precisa que hasta que se avance en la acusación o sean
tomadas acciones disciplinarias todas las investigaciones que se declaran delictivas o de
conducta abusiva deberán guardarse confidencialidad para preservar la reputación de la parte
sospechosa.
Política: La Universidad Distrital precisa que la dirección deberá revelar totalmente a los
empleados involucrados los resultados de pruebas de substancias tóxicas y otra información que
esta relacionada con la salud y protección de los empleados.
Política: La Universidad Distrital precisa que los mensajes enviados a través de sistemas de
correo electrónico internos no están sujetos al derecho de privacidad por lo tanto pueden ser
leídos por los directivos de la entidad y/o administradores del sistema.
Política: La Universidad Distrital precisa que la entidad permitirá el acceso a los mensajes
enviados por medio del correo electrónico a terceras personas solo si el remitente o el
destinatario han establecido el permiso.
Política: La Universidad Distrital precisa que sin la debida autorización por parte de un nivel
jerárquico de la entidad los funcionarios no deberán suministrar información a ninguna empresa
externa.
Política: La Universidad Distrital precisa que cuando se duda sobre cualquier acción realizada a
través de un computador, se deberá informar a quienes la acción perjudicará mediante comunicación
escrita la cual deberá incluir una descripción de las acciones que se proponen o sugieren adoptar
para solucionar el impacto del error o evento. Las soluciones a implementar solo pueden ser
ejecutadas previa autorización del afectado mediante comunicación escrita, de lo contrario se
deberá abstener de su ejecución.
Política: La Universidad Distrital precisa que la entidad deberá informar al usuario como se
usará la información confidencial antes de ser suministrada a terceros.
Política: La Universidad Distrital precisa que los funcionarios pueden observar o realizar copias
de la información que les aparece en los archivos personales.
246.Condiciones bajo las que se permite a los funcionarios examinar sus archivos
Política: La Universidad Distrital precisa que todos los funcionarios que deseen examinar los
archivos personales deberán solicitarlo por escrito al director de recursos humanos. Las
revisiones del archivo solo deberán realizarse en los horarios fijos y en presencia de un
representante de recursos humanos.
Política: La Universidad Distrital precisa que si los empleados objetan la exactitud, relevancia o
integridad de la información que aparece en su archivo personal deberán realizar sus
observaciones que contengan no más de 200 palabras.
Política: La Universidad Distrital precisa que la Rectoría deberá hacer esfuerzos razonables para
asegurar que toda la información del personal sea exacta, oportuna, pertinente y completa.
Política: La Universidad Distrital precisa que la Rectoría deberá realizar esfuerzos razonables
para asegurar la información contenida en los archivos personales solo sea usada por las
personas autorizadas para tal fin previniendo el uso inapropiado de la misma.
Política: La Universidad Distrital precisa que la información personal sobre los funcionarios,
consultores o contratistas que se haya recogido para un propósito específico no puede ser usada
para propósitos diferentes sin el previo consentimiento de los directamente involucrados.
Política: La Universidad Distrital precisa que todo proyecto de desarrollo o mejora de los
sistemas que pudiera afectar la privacidad de los individuos debe ser revisado con anterioridad
por un comité independiente. Este comité debe:
a. Determinar si los individuos serán puestos “en riesgos” o “en desventaja” como resultado
del proyecto.
b. Cuando sea necesario recomendar las medidas correctivas y
c. Si es necesario recomendar la cancelación del proyecto.
Política: La Universidad Distrital precisa que todos los empleados, consultores, contratistas y
personal temporal deben firmar un acuerdo de confidencialidad de la información al iniciar su
trabajo con la entidad.
Política: La Universidad Distrital precisa que toda la información interna de la compañía debe ser
protegida contra revelaciones a terceros. Solo puede darse acceso a la información de la
compañía a terceros personas cuando sea demostrable la necesidad o se sepa que existe y
cuando esta se de a conocer debe haber sido autorizado expresamente por la rectoría.
Política: La Universidad Distrital precisa que los funcionarios no deben revelar a ninguna
persona fuera de la compañía ni los controles del sistema de información que son usados ni la forma
en que están implementados. Las excepciones serán hechas únicamente si se obtiene primero un
permiso del director del departamento de seguridad de la información.
Política: La Universidad Distrital precisa que los funcionarios no deben revelar públicamente
información acerca de los individuos, organizaciones o sistemas específicos que han sido
dañados por fraudes informáticos y abusos de computadores. Así mismo, los métodos
específicos usados para detectar las vulnerabilidades del sistema no se deben revelar públicamente.
Política: La Universidad Distrital precisa que todo software que comprometa la seguridad del
sistema (tal como virus de computador, caballos de Troya y otras rutinas) se custodiará y
administrará únicamente por personal autorizado. Así mismo, los análisis técnicos de dichas
rutinas de software únicamente se revelarán a personas autorizadas.
Política: La Universidad Distrital precisa que la entidad en todo momento se presentará segura
ante los clientes y terceras partes. La existencia y naturaleza de los activos importantes de la entidad
únicamente debe ser accesible a personas autorizadas.
Política: La Universidad Distrital precisa que el sistema de control de acceso se debe diseñar de
tal forma que si la seguridad de alguno de sus componentes se ve comprometida la seguridad
integral del sistema no lo sea.
Política: La Universidad Distrital precisa que si la información que está grabada en medio de
almacenamiento clasificado como de alta sensibilidad es movida a un medio con una
clasificación inferior estos medios se deben mejorar y reclasificar como medios de alta
sensibilidad.
Política: La Universidad Distrital precisa que los datos se deben clasificar en cuatro categorías
de sensibilidad según los requerimientos de manejo así: SECRETO, CONFIDENCIAL, PRIVADO
y SIN CLASIFICAR.
SECRETO: Aplica a la información de la mas alta sensibilidad del negocio que por ninguna razón
debe salir de la entidad, es decir que su uso es estrictamente dentro de la entidad. Su
divulgación no autorizada podría incidir sería y adversamente en la entidad, sus actividades y/o
socios.
CONFIDENCIAL: Aplica a la información menos sensible del negocio que es destinada al uso dentro
de la entidad. Su divulgación no autorizada podría incidir adversamente en la entidad.
SIN CLASIFICAR: Esta clasificación aplica a toda la información restante que no se adapta
claramente en ninguna de las anteriores clasificaciones siempre y cuando su divulgación no
autorizada este en contra de la política y no incida seria y adversamente en la entidad y sus
empleados.
Política: La Universidad Distrital precisa que los prefijos como “Financiero”, “Administrativo” y
“Jurídico” entre otros se deben usar como parte de la categoría de clasificación de datos
aprobada. Estos prefijos se utilizan como indicadores generales para identificar la naturaleza de
la información y las personas autorizadas a acceder la información.
Política: La Universidad Distrital precisa que toda información secreta, confidencialidad y privada
debe etiquetarse (marcarse) según normas emitidas por el departamento de seguridad
informática. La información que no se encuentra dentro de alguna de las categorías no necesita
ser marcada como “sin clasificar”. Estas marcas deben mantenerse para cualquier tecnología
usada ya sea en captura, almacenamiento o procesamiento de la información.
Política: La Universidad Distrital precisa que los funcionarios que crean o actualizan la
información son los responsables de escoger la clasificación apropiada de la información y
etiquetarla. Esta etiqueta debe ser consistente con las decisiones tomadas por los dueños de la
información. La etiqueta debe también ser consistente con los estándares de clasificación de
datos de la entidad.
Política: La Universidad Distrital precisa que todas las cintas, disquetes y otros medios de
almacenamiento de computador que contengan información secreta, confidencial o privada se
deben marcar externamente con la respectiva clasificación de sensibilidad.
Política: La Universidad Distrital precisa que toda impresión, escritura a mano, documentos
manuscritos o similares de información secreta, confidencial o privada deben tener una marca de
sensibilidad apropiada puesta en la esquina superior derecha de cada página.
Política: La Universidad Distrital precisa que todas las impresiones, escrituras a mano u otras
manifestaciones tangibles de información secreta, confidencial o privada deben tener una marca
apropiada de sensibilidad sobre la portada anterior, la pagina de título y la portada trasera.
Política: La Universidad Distrital precisa que desde que la información se crea hasta que se destruye
o reclasifica se debe identificar con una marca de sensibilidad ya sea secreta, confidencial
o privada.
Política: La Universidad Distrital precisa que cada vez que se hacen copias adicionales de
información sensible se debe llevar un registro en un log donde se indique el número de copias y
cantidad de receptores de éstas. Se debe informar a cada uno de los receptores sobre la
distribución o copia adicional que se realice después que se ha obtenido el permiso del
propietario de la información.
Política: La Universidad Distrital precisa que si una fotocopiadora o impresora se atasca o sufre
desperfectos cuando los funcionarios están sacando las copias de información secreta, ellos no
deben abandonar la máquina hasta que todas las copias de la información sean removidas o
destruidas.
Política: La Universidad Distrital precisa que todas las copias de desecho de información secreta
que se generan en el copiado, impresión o cualquier otra forma similar se deben destruir de
acuerdo con los procedimientos aprobados.
Política: La Universidad Distrital precisa que las impresoras no se deben descuidar cuando la
información sensible está siendo impresa o pronto se imprimirá. Cuando el proceso de impresión
se realiza sin la debida atención de algún funcionario autorizado deben existir controles de
acceso físico para impedir que personas no autorizadas estén alrededor de la impresora y
visualicen el material que esta siendo impreso.
Política: La Universidad Distrital precisa que todo papel con información sensible de la entidad debe
indicar la primera y la última página (por ejemplo, “página X de Y”).
Política: La Universidad Distrital precisa que con anterioridad a enviar cualquier información
secreta, confidencial o privada a terceros para copiar, imprimir, formatear o cualquier otro
manejo, los terceros deben firmar con la entidad acuerdo de no divulgación.
Política: La Universidad Distrital precisa que la información privada y confidencial enviada por el
correo interno o externo se debe remitir en un sobre opaco sellado y marcado con el mensaje:
“Para ser abierta únicamente por el destinatario”.
Política: La Universidad Distrital precisa que el documento con información secreta se debe
enviar por correo certificado o por mensajería de confianza. Se prohíben otros métodos tales
como correo regular.
Política: La Universidad Distrital precisa que la información privada, confidencial o secreta generada
por sistemas de computación debe entregarse personalmente a los destinatarios. Esta información
nunca debe enviarse a un escritorio no atendido o dejada en una oficina abierta o desocupada, como
alternativa la información puede ser dejada únicamente a los destinatarios a través de armarios
cerrados u otros métodos de seguridad física.
Política: La Universidad Distrital precisa que todos los envíos de información secreta se deben
realizar de tal forma que el receptor indique formalmente que la información ha sido recibida
(acuse de recibo).
Política: La Universidad Distrital precisa que los receptores de información secreta deben enviar
acuse de recibo formalmente y por escrito en el mismo momento en que se recibe. Se prohíbe la
distribución de información secreta con intermediarios.
Política: La Universidad Distrital precisa que cuando información secreta es involucrada un log debe
mantener el reflejo de las copias hechas, la localización de las copias, los nombres de los receptores,
la dirección de los receptores y de cualquier persona que vea las copias. Estos logs se deben
clasificar como información secreta y se debe guardar tanto tiempo como la información se
mantenga clasificada como secreta.
Política: La Universidad Distrital precisa que todas las copias de documentos secretos deben ser
numeradas individualmente con un número secuencial para que las personas responsables
puedan localizar rápidamente los documentos e identificar algún faltante de la misma.
Política: La Universidad Distrital precisa que los funcionarios que custodian la información
sensible de la entidad deben asegurar que esos materiales no están disponibles para personas
no autorizadas. La información sensible debe ser rotulada como “Confidencial” o “Secreta”.
290.Cuidados previos y operación para atender el envió de información sensible por fax
Política: La Universidad Distrital precisa que cuando la información secreta se envía por fax el
receptor debe haber sido notificado del momento en el cual se hará la transmisión y además
estar de acuerdo en que una persona autorizada estará presente en la máquina de destino
cuando el material sea enviado. Excepto cuando el área que se encuentra alrededor del fax está
restringida físicamente de tal forma que no puedan entrar personas que no estén autorizadas
para ver el terminal.
Política: La Universidad Distrital precisa que los Documentos sensibles no se deben enviar por
fax a menos que una de las siguientes condiciones prevalezca en ambas partes, el sitio de
origen y en el de destino:
a. Un miembro del personal autorizado está listo para manipular apropiadamente los
documentos, o
b. Una clave que protege la máquina de fax es usada para restringir la liberación no
autorizada de los documentos.
Política: La Universidad Distrital precisa que cuando se envíe información sensible por fax se
debe enviar primero una portada o página inicial la cual debe ser reconocida por el receptor. Después
se puede enviar la información sensible por medio de otra llamada realizada inmediatamente el
reconocimiento.
Política: La Universidad Distrital precisa que la información sensible puede ser enviada por fax
sobre líneas no encriptadas solo cuando:
a. El tiempo es lo esencial y primordial.
b. No hay alternativa, ni los métodos de transmisión de alta seguridad están disponibles.
Política: La Universidad Distrital precisa que la información secreta NO debe enviarse por fax a
menos que viaje encriptada o se utilicen métodos aprobados por el departamento de seguridad
informática de la entidad.
Política: La Universidad Distrital precisa que la información secreta no se debe enviar por fax a
menos que se envíe exitosamente una contraseña con anterioridad a la iniciación de la
transmisión.
298.La hoja de portada del fax debe contener aviso de restricción de difusión
Política: La Universidad Distrital precisa que todo fax que se envíe debe incluir una hoja de
portada previamente aprobada por el departamento de sistemas de información.
299.Las firmas obligatorias deben ser enviadas por medios tradicionales de papel
Política: La Universidad Distrital precisa que todas las firmas de un contrato, orden de compra y
otros documentos igualmente importantes obligatoriamente se deben enviar en papel original.
Legalmente las cortes pueden no reconocen las formas que se comprometen cuando son
enviadas por fax.
Política: La Universidad Distrital precisa que la información no se debe discutir por altavoz
telefónico a menos que los participantes confirmen que alrededor no hay personas no
autorizadas que podrían escuchar la conversación.
Política: La Universidad Distrital precisa que debido a que las líneas telefónicas pueden ser
interceptadas por personas no autorizadas los funcionarios deben tomar medidas para evitar
hablar de información sensible por teléfono. En caso de ser absolutamente necesario los
funcionarios deben ser cautos en los términos y abstenerse de mencionar detalles sensibles más
allá de aquellos necesarios para realizar el trabajo.
Política: La Universidad Distrital precisa que asuntos que involucren información secreta de la
entidad nunca se deben discutir en teléfonos inalámbricos o celulares análogos a menos que el
departamento de seguridad informática apruebe alguna línea de comunicación encriptada.
Política: La Universidad Distrital precisa que la información secreta únicamente se debe revelar
después que se ha obtenido la autorización explicita por parte del propietario. Si un individuo ha
obtenido acceso a la información secreta no implica que éste este autorizado para revelarla a
otras personas.
Política: La Universidad Distrital precisa que a menos que exista una aprobación específica de la
administración los funcionarios deben evitar llevar información secreta de la entidad en
transporte público.
Política: La Universidad Distrital precisa que los funcionarios no deben abandonar o dejar sin
atención los computadores portátiles a su cargo que contengan información secreta de la entidad
a menos que la información esté encriptada. Se conocen como computadores portátiles los
laptop, notebook, palmtop y handbook entre otros.
Política: La Universidad Distrital precisa que todos los computadores portátiles (laptop,
notebook, palmtop y handbook entre otros) de la compañía que contengan información sensible
deben emplear encripción en el disco duro para sus archivos y protección para el arranque del
sistema.
Política: La Universidad Distrital precisa que la información sensible de la entidad no debe ser
removida a menos que haya sido aprobada por el propietario de la información. Esta política
incluye computadores, servidores, disquetes, documentos escritos, memos en papel y similares.
Una excepción se hace para backups externos autorizados.
Política: La Universidad Distrital precisa que siempre que la información sensible de la entidad
vaya a ser removida se debe dejar un registro de la fecha, información involucrada y personas
que poseen dicha información.
Política: La Universidad Distrital precisa que las copias de información sensible que no se
encuentre en la entidad y no se esté usando se deben llevar en un maletín o caja cerrada con
llave. Dicha información no se debe dejar en vehículos, salones, oficinas u otras ubicaciones aún
si el lugar se encuentra cerrado.
Política: La Universidad Distrital precisa que todos los medios magnéticos de computador que
se envían a terceras personas se deben formatear antes de grabar la información que va a ser
transferida.
Política: La Universidad Distrital precisa que cuando una entidad externa requiere que los
medios magnéticos (cintas, discos, CD-ROMs, etc) en los que se envió la información sean
devueltos la gerencia de la entidad debe enviar a la entidad externa una comunicación escrita
asegurando que la información suministrada ha sido destruida.
Política: La Universidad Distrital precisa que si la información secreta puede leerse directamente
no se debe enviar por correo electrónico a menos que lo autorice la oficina de seguridad informática.
Si se cuenta con un método de encripción aprobado y adicionalmente se encripta la información al
enviar y se desencripta únicamente en el destino entonces la información secreta se puede enviar
por el sistema de correo electrónico.
Política: La Universidad Distrital precisa que para evitar que la información sensible en un rango
de tiempo pueda ser conocida por personas no autorizadas no se debe manejar por correo
electrónico, correo de voz, llamadas telefónicas u otros sistemas computarizados hasta que se
vuelva pública.
Política: La Universidad Distrital precisa que fuera de las horas de trabajo todos los funcionarios
deben dejar limpios sus propios escritorios y áreas de trabajo de tal forma que todos los datos
sensibles o valiosos queden asegurados adecuadamente.
Política: La Universidad Distrital precisa que durante horas no laborales los empleados de áreas
que manejan información sensible deben dejar bajo llave toda la información. A menos que la
información la esté usando personal autorizado, los escritorios deben estar absolutamente
cerrados y limpios durante horas no laborales.
Política: La Universidad Distrital precisa que la información sensible que no se esté usando
siempre debe protegerse para que no sea divulgada sin autorización. Cuando la información se
encuentre en una sala desatendida se debe guardar bajo llave en lugares de almacenamiento
apropiados. Si la persona que custodia la información necesita retirarse por menos de treinta minutos
la información se debe dejar sobre un escritorio o en algún otro sitio visible, siempre y cuando todas
las puertas y ventanas de la sala desatendida estén cerradas y/o bajo llave.
Política: La Universidad Distrital precisa que si la información sensible está almacenada en la unidad
de disco duro u otros componentes internos de un computador personal ésta debe estar protegida
por un control de acceso de contraseña o estar encriptada. Cuando la información sensible se graba
en disquetes cintas magnéticas, tarjetas inteligentes u otros medios de almacenamiento éstos se
deben clasificar en el nivel más alto de sensibilidad. A menos que dicha información esté
encriptada estos medios se deben guardas en muebles cerrados cuando la información no se
encuentre en uso.
Esta Política también aplica para esas circunstancias donde la información se degrada a una
clasificación menos sensible.
Política: La Universidad Distrital precisa que la clasificación de sensibilidad de todos los documentos
de la entidad se debe reclasificar con la periodicidad descrita en la siguiente tabla. Existen
excepciones cuando hay documentos que hacen parte de listas especiales y cuando el propietario
de la información ha dado otras instrucciones para reclasificar o degradar la
información.
Política: La Universidad Distrital precisa que para determinar si la información sensible se puede
reclasificar en un nivel inferior al menos una vez al año (o con una periodicidad determinada), los
propietarios de la información deben revisar las clasificaciones de sensibilidad asignada a la
información de la cual ellos son responsables.
Política: La Universidad Distrital precisa que desde el punto de vistan de sensibilidad se puede
reclasificar en un nivel inferior tan pronto como sea posible como sea posible ya que mantener la
información clasificada en altos niveles de seguridad genera altos costos en seguridad.
Política: La Universidad Distrital precisa que a toda la información secreta se le debe asignar un
periodo de retención sin importar el medio en el cual se encuentre almacenada (documentos,
archivos de computador, etc).
Política: La Universidad Distrital precisa que los funcionarios no deben almacenar información
privada, confidencial o secreta en los discos duros del microcomputador o estación de trabajo a
menos que el administrador de seguridad informática haya determinado las medidas de
seguridad adecuadas que se emplearán para su protección.
Política: La Universidad Distrital precisa que los funcionarios no deben almacenar información
confidencial, secreta o privada junto con información no sensible en medios de almacenamiento
como disquetes u otros medios de almacenamiento removibles.
Política: La Universidad Distrital precisa que cuando se requiera eliminar información secreta,
confidencial o privada los medios magnéticos que almacenan dicha información se deben formatear,
defragmentar o destruir en cualquier otra forma aprobada por el departamento de seguridad
informática de la entidad.
Política: La Universidad Distrital precisa que las copias de información secreta, confidencial o
privada que se encuentra en medios como papel, microfilm, microfichas u otros similares se debe
picar o incinerar.
Política: La Universidad Distrital precisa que los desechos de información sensible que se
separan para una destrucción especial no se deben clasificar en categorías para destruir y no
destruir. Todos los materiales de desecho de información sensible se deben destruir de acuerdo
con los procedimientos aprobados sin importar las consecuencias de reciclamiento.
Política: La Universidad Distrital precisa que toda la información sensible o de valor para la
entidad que no se ha necesitado por largos periodos de tiempo se debe destruir en forma segura
usando procedimientos aprobados por el departamento de seguridad informática.
337.Uso de cajas o lockers metálicos para retener información sensible que va a ser destruida
Política: La Universidad Distrital precisa que toda la información secreta, confidencial y privada
que no se ha usado o no se ha necesitado por mucho tiempo (no importa en que medio se encuentre
– discos, documentos, etc) se debe guardar en cajas metálicas con llave hasta cuando personal
autorizado de la entidad o de la empresa de servicio contratada la recoja.
Política: La Universidad Distrital precisa que los funcionarios no deben destruir o disponer de la
información que es potencialmente importante para la entidad sin tener una aprobación
específica. El individuo que realice una destrucción no autorizada de los registros o información
de la entidad estará sujeto a acciones disciplinarias incluyendo la terminación del contrato y
procesos legares. Los registros y la información de debe conservar sí:
339.Prohibición para destrucción de registros a menos que se esté autorizado en una lista o en
una planilla de programación.
Política: La Universidad Distrital precisa que los funcionarios no deben destruir los archivos de la
entidad a menos que estos registros:
Política: La Universidad Distrital precisa que todos los materiales usados en la manipulación de
la información sensible que puedan ser analizados para recuperar la información se deben
destruir de una manera similar a la utilizada para destruir información sensible. Esta Política
cubre cintas de máquina de escribir, papeles carbón, papel para mimeógrafos o esténciles,
negativos de fotografía, fotocopias desechas o impresiones abortadas o no necesitadas, etc.
Política: La Universidad Distrital precisa que el acceso a la información secreta se debe otorgar
únicamente a personas específicas y no a un grupo de ellas.
Política: La Universidad Distrital precisa que los privilegios del sistema de computación y
comunicación se deben otorgar únicamente por una jerarquía clara de delegación de autoridad.
346.La información que se publica debe tener una fuente oficial y única
Política: La Universidad Distrital precisa que la información generada por la entidad y divulgada
al público debe estar acompañada por el nombre del funcionario asignado para tal fin actuando
como única fuente oficial y de contacto. Todas las actualizaciones y correcciones a esta
información que se libera al público deben fluir mediante esta fuente oficial.
Política: La Universidad Distrital precisa que para revelar cualquier información interna de la
entidad a los medios de comunicación o a terceros se debe obtener un permiso por escrito de un
alto dirigente de la entidad.
Política: La Universidad Distrital precisa que si un ente externo solicita información interna a la
entidad se debe realizar el siguiente procedimiento, el propietario de la información y el
departamento de seguridad informática deben evaluar los méritos en un lapso de cinco días
hábiles si no hay una objeción por parte de este grupo de evaluación la información puede ser
liberada.
Política: La Universidad Distrital precisa que toda la información pública debe ser revisada
primero por la administración con un proceso establecido y documentado.
351.Acuerdos de confidencialidad firmados por una tercera parte sin la debida aprobación
Política: La Universidad Distrital precisa que los funcionarios no deben firmar acuerdos de
confidencialidad que provienen de una tercera parte sin la autorización de la oficina jurídica de la
entidad la cual ha sido designada para manejar los derechos de propiedad intelectual.
Política: La Universidad Distrital precisa que el acceso a información sensible de la entidad debe
permitirse únicamente a empleados a término indefinido a menos que una de las siguientes
condiciones prevalezca:
353.Derecho de los funcionarios a conocer todos los riesgos del lugar de trabajo
Política: La Universidad Distrital precisa que los funcionarios tienen derecho a conocer la naturaleza
de todos los riesgos a que se pueden enfrentar en el lugar de trabajo. La administración
debe informarles acerca de la existencia de estos riesgos, proveer protecciones para disminuir el
riesgo y entrenarlos en el apropiado uso de las protecciones.
Política: La Universidad Distrital precisa que como regla general la información de políticas de
seguridad y procedimientos se deben revelar únicamente a funcionarios de la entidad y a entes
externos seleccionados (por ejemplo auditores). Una excepción se hace cuando se involucran
datos privados de las personas; en este caso la entidad tiene el deber de comunicar las políticas
de seguridad de información y procedimientos empleados. Adicionalmente la entidad tiene el
deber de divulgar la existencia de sistemas que contienen información y la manera que esta
información debe ser usada.
Política: La Universidad Distrital precisa que personas que no estén específicamente invitadas a
reuniones no deben asistir a las mismas cuando se va a discutir información secreta. Existe una
excepción únicamente cuando se obtiene el permiso y aprobación de la dirección.
Política: La Universidad Distrital precisa que las reuniones de trabajo donde se discute y maneja
información sensible se deben realizar en salas totalmente cerradas para que los visitantes que
se encuentren cerca al lugar no puedan escuchar o tener acceso a la información.
Política: La Universidad Distrital precisa que los funcionarios no deben examinar los sistemas de
computador o redes de la entidad. Por ejemplo, se prohíbe que individuos curiosos busquen archivos
o programas en los directorios de otros usuarios. Se autoriza la búsqueda cuando se necesita ubicar
información para realizar un trabajo.
360.Autorización a los administradores del sistema para examinar archivos privados de los
usuarios
Política: La Universidad Distrital precisa que los administradores de sistemas están autorizados
para examinar archivos privados de los usuarios para manejar emergencias como infección de
virus y caídas del sistema. Sin embargo a los usuarios involucrados se les debe notificar cuando
los archivos de usuarios son examinados de esta manera. Después que el problema se ha
resuelto todas las copias de los archivos realizadas por el administrador se deben destruir.
Política: La Universidad Distrital precisa que todos los computadores que han sido usados para
el procesamiento de información sensible se deben apagar al final del día o al finalizar la sesión.
Esta acción borra el residuo de la información que queda en la memoria del computador
previniendo que sea revelada a personal no autorizado. Una excepción puede hacerse para
computadores independientes (stand-alone) localizados en áreas con un estricto control de
acceso físico el cual previene el acceso a personas no autorizadas al sistema.
de trabajo el funcionario debe tomar medidas preventivas para ocultar la información. Si está en
forma física debe ser cubierta con otro material o si la información está desplegada en la pantalla
del computador se debe cerrar la pantalla, dar log-off o invocar un protector de pantalla.
Política: La Universidad Distrital precisa que para reducir la posibilidad de una divulgación no
autorizada de información, los empleados no deben grabar información sensible con máquinas
grabadoras o dispositivos similares. Si el uso de estos dispositivos es una necesidad operacional
la clasificación de esta información debe especificarse al comienzo y al final de cada segmento
de la información y el medio de grabación debe ser marcado con la más estricta clasificación que
exista. Adicionalmente, esta información debe ser borrada del medio tan pronto como sea
posible.
Política: La Universidad Distrital precisa que los sistemas de computación críticos deben ser
evaluados frecuentemente en cuanto a su disponibilidad, los usuarios deben poder acceder a los
sistemas de computación compartidos al menos en un 95% del tiempo en horas normales de
trabajo tomando como base el tiempo de uso del sistema en un mes de trabajo.
Política: La Universidad Distrital precisa que las actividades que realizan los usuarios de
sistemas de tiempo compartido deben ser causa para que estos sistemas demoren o
interrumpan excesivamente la prestación del servicio a otros usuarios. Una excepción debe
hacerse para los administradores de la seguridad de los sistemas, los administradores del
sistema y los operadores del computador quienes tienen privilegios para realizar sus trabajos.
Política: La Universidad Distrital precisa que se debe establecer que los utilitarios del sistema
solo se usen en circunstancias excepcionales y que los controles a utilizar los controles a utilizar
se diseñen que manera que se garantice la continuidad de las operaciones del negocio. El
manejo de estos utilitarios del sistema debe estar severamente restringido y se deben usar
únicamente cuando sea absolutamente necesario.
Política: La Universidad Distrital precisa que cuando los controles del sistema han sido
modificados se debe generar un log que registre los cambios hechos y los comando privilegiados
que fueron usados. Un administrador de seguridad debe revisar oportuna y periódicamente estos
logs y hacer un informe que contemple entre otros los siguientes aspectos:
- El uso de dichos utilitarios fue garantizado.
- Los utilitarios fueron usados correctamente.
368.Equipo requerido para soportar el medio ambiente donde se encuentran los equipos de
computo
Política: La Universidad Distrital precisa que la administración debe proveer y mantener los
sistemas de protección necesarios para asegurar la continuidad del servicio en los sistemas de
computación críticos (sistemas de detección y eliminación de fuego, de potencia eléctrica
suplementaria, de aire acondicionado u otros equipos de protección de sistemas de computo).
Política: La Universidad Distrital precisa que todos los microcomputadores (Pc’s) u estaciones
de trabajo se deben equipar con unidades suplementarias de corriente (UPS), filtros eléctricos o
supresores de picos de corriendo aprobados por la red de datos UDNET.
Política: La Universidad Distrital precisa que la parte administrativa del área de operaciones
tecnológicas debe establecer un esquema lógico para segmentar los recursos de información de
acuerdo a su prioridad de recuperación o disponibilidad, esto permitirá recuperar primero los
recursos más críticos. Todas las áreas de la organización deberán usar este mismo esquema en
los planes de recuperación de sus sistemas de información.
372.Clasificar en forma anual las aplicaciones multi-usuario de acuerdo con su nivel de criticidad
Política: La Universidad Distrital precisa que en conjunto con los usuarios mas experimentados
el departamento de sistemas de información deberá realizar periódicamente una revisión del
grado de criticidad de las aplicaciones multi-usuario en producción. Este proceso de clasificación
permitirá llevar acabo un plan de contingencia coordinado y organizado.
Política: La Universidad Distrital precisa que todas las aplicaciones deben ser clasificadas en
una de las siguientes cinco categorías, cada una con requerimientos de manejo diferentes:
Misión Critica, Critica, Prioritaria, Requerida, Aplazable.
Política: La Universidad Distrital precisa que para los sistemas de computo y comunicaciones la
administración de la entidad debe preparar y actualizar periódicamente el plan de emergencia así
como probarlo regularmente. Estos planes deben asegurar la continuidad de las operaciones críticas
del negocio en el evento de una interrupción de las operaciones críticas del negocio en el evento de
una interrupción o degradación del servicio.
Política: La Universidad Distrital precisa que cuando un administrador del sistema tenga una
buena razón para creer que el sistema de seguridad de un ambiente cualquiera está
comprometido el computador debe ser inmediatamente removido de la red. El administrador del
sistema debe ejecutar un utilitario de comparación de archivos para identificar todos los cambios
al software del sistema y luego recuperar el software ambiental (sistema operacional, redes y
aplicativos de una fuente confiable entre otros). Antes de volverlo a conectar a la red los
sistemas de control de acceso deben ser reiniciados (por ejemplo todas las contraseñas fijas
deben ser cambiadas). La bitácora del sistema o log debe ser copiada y almacenada en un lugar
seguro.
378.Los usuarios no deben distribuir información acerca de las vulnerabilidades del sistema
Política: La Universidad Distrital precisa que todos los funcionarios deben informar en forma
inmediata al Help Desk de seguridad las alertas de sistemas de seguridad, advertencias,
posibles vulnerabilidades y todo lo pertinente a intentos sospechosos de intromisión. Queda
terminantemente prohibido a los usuarios distribuir este tipo de información entre personal
interno o externo de la entidad.
379.Notificar a la administración cualquier condición que pueda alterar la operación del negocio
Política: La Universidad Distrital precisa que todos los trabajadores (empleados, contratistas,
consultores, temporales, etc.) están obligados a informar a la administración sobre cualquier
condición que pueda afectar la operación de la entidad.
Política: La Universidad Distrital precisa que se espera que los usuarios estén presentes y
colaboren con lo mejor de sus habilidades con la recuperación de la actividad normal del negocio
después de una emergencia o desastre en la entidad. Después que los empleados salvaguarden
sus recursos familiares y personales se espera que ellos trabajen horas extras, trabajen bajo
altas condiciones de stress y hagan lo que se tenga que hacer para mantener la operatividad de
la entidad.
Política: La Universidad Distrital precisa que todos los miembros del departamento de sistemas
de información que viajen fuera de la ciudad, deben informar a su jefe directo y secretaria los
teléfonos y direcciones donde puedan ser localizados, esta información debe darse antes del
viaje sin importar el motivo de este. Esta política asegura que todos los miembros de este
departamento estén disponibles en caso de una emergencia o desastre.
Política: La Universidad Distrital precisa que la administración de la entidad debe contar con un
inventario anual de los cargos técnicos claves de ésta y los nombres de los empleados que
normalmente desempeñan estas funciones.
Política: La Universidad Distrital precisa que en todo momento debe existir por lo menos dos
miembros del staff técnico en capacidad de cumplir con las tareas de un cargo técnico crítico, si
menos de dos personas en la entidad pueden cumplir con esta política se debe en forma
inmediata elaborar un plan de capacitación o contratación de outsourcing o cualquier otra
alternativa para logar tener dos personas técnicas capacitadas en cargos críticos.
387.Regreso a procedimientos manuales cuando sea factible desde el punto de vista de costo
Política: La Universidad Distrital precisa que si las actividades críticas del negocio de la entidad
pueden ser realizadas (aún para un corto tiempo) con procedimientos manuales en lugar de
sistematizados, un plan de contingencia debe ser desarrollado, probado y periódicamente
actualizado. En la mayoría de los casos este plan debe estar integrado a los planes de
contingencia para computadores y comunicaciones.
Política: La Universidad Distrital precisa que se debe realizar en forma regular un mantenimiento
preventivo a los sistemas de comunicación y computadores de tal forma que el riesgo de fallas
sea mantenido en una probabilidad baja. La dirección de la red UDNET debe estipular este plan
de mantenimiento a todos los equipos y su periodicidad.
Política. La Universidad Distrital precisa que todos los miembros del departamento de sistemas
de información deben mantener informados a sus jefes inmediatos y personal de secretarias con
los números de teléfono y dirección donde puedan ser localizados en caso de ausencias sin importar
su causa. Esta política garantiza que todos los miembros del departamento de sistemas de
información estén siempre disponibles en caso de emergencia y/o desastres.
Esta información debe clasificarse como confidencial y accesarlo únicamente al nivel directo del
plan de contingencia.
Política: La Universidad Distrital precisa que si a los usuarios finales les está permitido restaurar
sus propios archivos de información se les debe restringir la capacidad para restaurar la
información de otros usuarios o inclusive mirar que archivos o inclusive mirar que archivos de
otros usuarios han sido respaldados.
Política: La Universidad Distrital precisa que toda la información de valor confidencial y crítica de
la entidad debe ser periódicamente respaldada en medio magnético. Este proceso de respaldo
debe ser realizado al menos mensualmente.
Política: La Universidad Distrital precisa que los usuarios que usen computadores portátiles
deben hacer respaldo de su información crítica antes de ser llevados fuera del lugar de trabajo
debido a que el robo y pérdida de computadores portátiles se ha vuelto algo muy común.
Estos respaldos deben permanecer en el sitio de trabajo y deben ser hechos en forma adicional a
los procedimientos de respaldo preestablecidos.
Política: La Universidad Distrital precisa que toda información de valor, confidencial o crítica que
sea respaldada y almacenada en un lugar externo a la entidad debe ser respaldada en forma
encriptada para prevenir que esta sea divulgada o usada en forma no autorizada por otras
entidades o personas.
397.Deben existir por lo menos dos copias de respaldo de la información de valor, confidencial o
crítica de la entidad
Política: La Universidad Distrital precisa que todos los usuarios son responsables por realizar
una copia de respaldo del original de la información de valor, confidencial o crítica a su cargo.
Estas copias separadas deben ser hechas cada vez que un número significativo de cambios
sean hechos a la información.
Política: La Universidad Distrital precisa que al menos dos copias recientes completas (no
incrementales) de la información crítica de la entidad deben ser almacenadas en forma externa.
399.Proceso de revisión de los backups de usuario final por parte de las áreas administrativas
Política: La Universidad Distrital precisa que las direcciones de cada departamento o sus delegados
deben asegurar que se haga un backup de la información de valor, sensible y crítica contenida en
los microcomputadores (PCs), estaciones de trabajo u otros sistemas menores.
Política: La Universidad Distrital precisa que se deben llevar a cabo backups incrementales de
toda la información de los usuarios finales diariamente de los días laborales por parte del
administrador de backups. Un backup total de toda la información con una periodicidad mensual.
401.Hacer como mínimo una copia de la información crítica o a la que se le ha hecho backup
antes de volverla a usar
Política: La Universidad Distrital precisa que los backups de información crítica no se deben usar
para efectos de restauración a menos que otro copia de la misma información exista en otro
medio magnético. Si se sospecha de un virus o cualquier otro problema la copia adicional debe
ser realizada en otro computador. Esta política previene que la única copia de la información
crítica sea destruida en un proceso de restauración.
Política: La Universidad Distrital precisa que los backups de información de alto valor, sensitiva y
crítica deben ser almacenados en un sitio a por lo menos cinco (5) Kilómetros de distancia de
donde reside la información original. El sitio de respaldo debe tener las protecciones ambientales
adecuadas y su acceso debe ser controlado.
Política: La Universidad Distrital precisa que los backups de los computadores y redes deben
ser almacenados en una zona de fuero diferente de donde reside la información original, las
zonas de fuego varían de edificio a edificio y son definidas por el departamento de seguridad.
Política: La Universidad Distrital precisa que a menos que esté explícitamente definido el
periodo de retención de información, ésta debe ser retenida por el periodo de tiempo necesario
pero no indefinidamente. Si no se especifica el periodo de retención el tiempo mínimo debe ser
de dos (2) años.
Política: La Universidad Distrital precisa que toda la información de la entidad debe ser destruida
o borrada después de que no se necesite. Para soportar esta política la administración debe
velar porque los periodos de retención se cumplan en forma estricta.
406.Destrucción de información
Política: La Universidad Distrital precisa que toda la información contable, de impuestos y de tipo
legal debe ser conservada de acuerdo con las normas de ley vigentes, el resto de información
debe ser almacenada por lo menos cinco (5) años.
Política: La Universidad Distrital precisa que toda la información de la entidad debe ser
almacenada en una forma segura de acuerdo con los programas de retención establecidos por la
oficina jurídica.
Política: La Universidad Distrital precisa que los funcionarios responsables de cada área
administrativa deben identificar y mantener una lista completa de los registros vitales de su área
en caso de un proceso de restauración después de desastre.
Política: La Universidad Distrital precisa que toda información almacenada en un sitio externo
debe estar relacionada en un directorio actualizado que muestre la fecha de la última
modificación y su naturaleza.
Política: La Universidad Distrital precisa que todos los medios físicos donde la información de
valor, sensitiva y crítica sea almacenada por periodos mayores a seis (6) meses, no deben estar
sujetos a una rápida degradación o deterioro. Por ejemplo el papel térmico usado en el fax no es
un medio de almacenamiento recomendado o el papel químico usado en documentos.
Política: La Universidad Distrital precisa que el backup de información de valor, sensible o crítica
que esté almacenada por algunos periodos de tiempo debe ser validada en forma anual de tal
forma que se pueda garantizar que no ha sufrido ningún deterioro.
Política: La Universidad Distrital precisa que los dispositivos electrónicos usados para hacer
backup de información de valor, sensible o crítica debe ser de alta calidad y probados
regularmente para garantizar que cumplan su objetivo de respaldo de la información establecida.
Dispositivos que no garanticen esta calidad no deben ser usados para hacer copias de
información para recuperación.
Política: La Universidad Distrital precisa que en forma periódica las áreas responsables deben
definir los atributos de integridad de la información tales como vigencia, autenticidad y veracidad.
Política: La Universidad Distrital precisa que si los controles de integridad fallan o se sospecha
de alguna anomalía con estos la administración debe ser informada inmediatamente y anexar
un informe completo del caso.
Política: La Universidad Distrital precisa que si la información que usa la entidad para su
operación es modificada por alguna razón (cambio de precios, tarifas u otros) los destinatarios
afectados con este cambio deben ser informados antes de efectuar el cambio para poder trabajar
con la información real.
418.La información usada para tomar decisiones importantes debe ser marcada con la fecha y la
fuente de información
Política: La Universidad Distrital precisa que toda la información usada para la toma de
decisiones que involucren cantidades superiores a $10.000.000 debe ser marcada con el origen
de la información y la fecha correspondiente. El marcado debe ser conservado sin importar la
tecnología que se use para registrar, almacenar y procesar la información.
Política: La Universidad Distrital precisa que toda información incompleta, obsoleta o en desuso
debe ser suprimida y no distribuida al usuario a menos que este acompañada de una explicación
que describa la naturaleza de dicha información como informes preliminares, resultados sujetos a
validación, etc.
Política: La Universidad Distrital precisa que debe existir procedimientos para garantizar que
toda entrada de datos a un sistema de producción computarizado haya sido debidamente
autorizado.
Política: La Universidad Distrital precisa que toda transacción que afecte información de valor,
sensible o crítica debe ser procesada únicamente cuando se valide la autenticidad del origen
(usuario o sistema) y se compruebe su autorización mediante un mecanismo de control de
acceso o perfiles. Los procesos de autenticación pueden ser realizados a través de contraseñas,
tarjetas inteligentes, lectores biométricos, firmas digitales o validación de autenticación de
mensajes (MAC)
Política: La Universidad Distrital precisa que todas las transacciones que ingresen a un sistema
de producción computarizado deben ser sujetas a un chequeo razonable de edición y/o
validación de control. Las transacciones que no pasen estos controles deben ser:
Política: La Universidad Distrital precisa que para reducir la probabilidad de ingreso erróneo de
datos de alta sensibilidad todos los procedimientos de ingreso de información deben forzar que estos
sean ingresados dos veces, por ejemplo el cambio de contraseñas.
425.Numeración de las líneas de una pagina cuando se manipula información crítica, de valor o
sensible en forma libre
Política: La Universidad Distrital precisa que en mensajes de texto en formato libre (cartas,
memorandos, etc.) enviados por correo electrónico o fax y que impliquen información crítica o de
alta importancia para el negocio cada línea no debe ser numerada. Este procedimiento evitará la
omisión o remoción deliberada de ciertas partes del texto.
Política: La Universidad Distrital precisa que las transacciones que afecten información de valor,
crítica o sensible deben ser originadas únicamente desde documentos y mensajes electrónicos
en los que el individuo o sistema que origine la transacción este explícitamente definido.
Política: La Universidad Distrital precisa que todos los datos de entrada a las bodegas de
información de la entidad deben estar acompañados de información acerca de su origen,
clasificación de sensibilidad, veracidad (firmas, sello) y la fecha de su más reciente revisión.
Política: La Universidad Distrital precisa que todos los documentos oficiales de la entidad
preparados a mano deben ser escritos con tinta. Si una parte requiere corrección se debe
señalizar, colocar las iniciales, firma de la persona y la fecha en que se realizo el cambio. Los
correctores líquidos para hacer estas correcciones están prohibidos.
Política: La Universidad Distrital precisa que las fotografías presentadas como una reflexión de
la realidad no deben estar alteradas. Si son alteradas el espectador debe poder determinar
prontamente los cambios efectuados.
Política: La Universidad Distrital precisa que los datos y programas de producción de la entidad
deben ser modificados únicamente por personal autorizado de acuerdo con los procedimientos
establecidos.
432.Todas las transacciones en producción deben ser autorizadas por la dirección del área
responsable
Política: La Universidad Distrital precisa que todas las transacciones que actualicen o
modifiquen los registros de la entidad deben ser autorizadas por la dirección del área
responsable.
Política: La Universidad Distrital precisa que la dirección del área responsable mediante
procedimientos bien definidos debe revisar en una forma razonable y precisa los cambios hechos a
los registros internos de la entidad. Por ejemplo, cuentas de cobro, información contable e
inventarios entre otros.
Política: La Universidad Distrital precisa que para asegurar la integridad de los registros de
información de negocios de la entidad todos los empleados deben tener una única forma de
identificación con su nombre, dirección y otra información personal y debe ser usada
consistentemente en todas las funciones dentro de la entidad.
Política: La Universidad Distrital precisa que la información importante de la entidad debe ser
comparada con fuentes externas o llevarse a cabo validaciones cruzadas en forma periódica
para asegurar que este lo mas actualizada y vigente posible.
437.Toda información al público debe ser validada por el departamento de relaciones públicas
Política: La Universidad Distrital precisa que toda información importante al público como
paginas W EB, propaganda en medios escritos, electrónicos y hablados de la entidad debe ser
validada por el departamento de relaciones públicas.
440.Todo tipo de información nueva de la entidad debe ser catalogada en los diccionarios de
datos de la compañía
Política: La Universidad Distrital precisa que todo tipo de información nueva de la entidad que
sea usada en el día a día del negocio debe ser catalogada en los diccionarios de datos de la
compañía.
442.La entidad no se responsabiliza por el monitoreo periódico y continuo del contenido de todos
los sistemas de información
Política: La Universidad Distrital precisa que la entidad no se hace responsable por el contenido
de los mensajes que aparecen en las carteleras de anuncios así como no se genera ninguna
responsabilidad por el contenido de estos. Con respecto a éstas la entidad actúa como una empresa
de difusión de información y como tal no controla el contenido de los mensajes expuestos
allí así como no se responsabiliza por la veracidad, exactitud o validez de la información
contenida en ellos.
445.Los comentarios de los empleados en las carteleras de anuncios u otros medios no reflejan
la posición de la entidad
Política: La Universidad Distrital precisa que los comentarios que los empleados hagan a través
de sistemas de correo electrónico, carteleras de anuncios u otros sistemas electrónicos no son
necesariamente declaraciones formales o posiciones oficiales de la entidad.
Política: La Universidad Distrital precisa que si existe la posibilidad de que el contenido de una
grabación en el contestador automático, correo de voz, carta o cualquier otro medio de difusión
de información de la entidad ofenda o moleste a algún segmento de la población a que este
dirigido el mensaje se debe incluir en la portada, introducción o cualquier otro lugar un mensaje
de advertencia para que el usuario su criterio reciba o no la información.
Política: La Universidad Distrital precisa que cuando la entidad provee servicios de red de
comunicaciones está actuando como un proveedor de transporte de información y actúa como
proveedor de servicios de comunicación y no de servicios de protección de información. Por lo
tanto la entidad no se responsabiliza por la privacidad y envió oportuno de la información vía red
o sistemas de comunicación de la entidad.
Política: La Universidad Distrital precisa que la persecución étnica, racial o sexual incluyendo
llamadas telefónicas anónimas y mensajes de correo anónimo están estrictamente prohibidas y
pueden causar sanciones e incluso la terminación del contrato de un empleado. La
administración debe hacer que esta política sea clara a todos los empleados e investigar en
forma inmediata cualquier ocurrencia sospechosa.
450.Todos los computadores de la red deben contar con un mecanismo de control de acceso
lógico
Política: Si los empleados dejan en funcionamiento sus computadores y estos están conectados
a la red éstos deben estar protegidos con un software de control de acceso aprobado por el
departamento de seguridad informática.
Política: Todos los computadores de la entidad que puedan ser accedidos por terceros a través
de mecanismos como líneas conmutadas, redes de valor agregado, Internet y otros deben ser
protegidos por mecanismos de control de acceso aprobados por el departamento de seguridad
informática. Esta política no aplica para computadores que usen modems para conectarse en
forma de terminales de salida a otros sistemas.
Política: Todas las líneas conmutadas que permitan el acceso a la red de comunicaciones o
sistemas multi-usuario deben pasar a través de un punto adicional de control como un firewall,
servidor de acceso o gateway.
Política: Toda conexión entre los sistemas de comunicación de la entidad e Internet o cualquier
red pública de datos debe incluir un firewall y otros mecanismos adicionales de control de
acceso.
Política: La conexión directa entre un computador de la entidad y otras organizaciones vía redes
públicas de datos como Internet requieren de la aprobación del departamento de seguridad
informática quienes estipularan los mecanismos de seguridad apropiados como firewalls y
tunneling.
455.Prohibir el uso de comandos entre redes como finger cuando son ejecutados desde
computadores externos a la entidad
Política: Para detener el acceso no autorizado a los sistemas internos de la entidad y otros
problemas relacionados todo comando ejecutado desde un computador externo a la red debe ser
ejecutado después de hacer el procedimiento establecido de ingreso al sistema (login).
457.Los clientes deben estar de acuerdo en forma explicita sobre los nuevos servicios o mejoras
dadas por la entidad.
Política: Los servicios de comunicación de información de la entidad deben ser provistos en una
forma contractual y no basados en los estándares tradicionales de las empresas transportadoras
de datos e información tradicionales.
459.Cualquier comunicación externa vía modems o cualquier otro medio de comunicación debe
estar aprobada
Política: Los empleados y contratistas no deben llevar a cabo ningún tipo de instalación de
nuevas líneas telefónicas o canales de transmisión de datos sin haber sido formalmente
aprobados por el director de la red de datos UDNET.
Política: Los empleados no deben establecer carteleras electrónicas de anuncios, redes locales,
conexiones vía modem a la red interna de la entidad sin la aprobación de la dirección de
seguridad informática de la entidad.
Política: La conexión en tiempo real entre dos o más computadores de la red de la entidad debe
ser explícitamente aprobada por el departamento de seguridad informática con el fin de evitar la
omisión de controles de acceso lógico.
Política: La conexión entre sistemas internos de la entidad y otros de terceros debe ser
explícitamente aprobada y certificada por el departamento de seguridad informática con el fin de
no comprometer la seguridad interna de la información de la entidad.
Política: como requisito para interconectar las redes de la entidad con las de terceros los
sistemas de comunicación de terceros deben cumplir con los requerimientos establecidos por la
entidad. La entidad se reserva el derecho de monitorear estos sistemas de terceros sin previo
aviso para evaluar la seguridad de los mismos, al igual que cancelar y terminar la conexión a
sistemas de terceros que no cumplan con los requerimientos internos establecidos por la
entidad.
Política: El uso de los computadores, software, periféricos e información de los empleados para
realizar funciones de la entidad debe ser autorizado por la dirección de cada área administrativa.
Política: El trabajo desde la casa es una decisión del director del área responsable. Para ello se
deben tener en cuenta las siguientes consideraciones: Seguridad física e informática par los
recursos de la entidad, un ambiente de trabajo que no distraiga al empleado, procedimientos
para evaluar el rendimiento del empleado y mecanismos apropiados para estar en contacto con
otros empleados.
Política: Antes de usar los sistemas de la entidad para intercambio electrónico de datos (EDI)
con terceros se debe hacer un contrato que establezca los términos y condiciones de uso de
EDI. Este contrato debe ser aprobado por el consejo legal.
Política: Si las transacciones son enviadas y procesadas en forma automática (vía EDI por
ejemplo) se debe tener en cuenta lo siguiente para aceptar un mensaje o transacción:
a. Que se compruebe que el mensaje venga de una fuente autorizada para negociar con la
entidad por medio de un archivo de perfiles de negociación
b. Que en forma adicional se valide la exactitud y autenticidad del mensaje
1.4.2. ENCRIPCIÓN
1.4.2.1. CUANDO USAR LA ENCRIPCIÓN
Política: La información de la entidad no puede ser encriptada a menos que este explícitamente
aprobado por el departamento de seguridad informática.
471.Uso de utilidades de encripción con contraseñas o palabras claves dadas por el usuario
Política: Para prevenir la perdida de información crítica los empleados de la entidad nunca
deben utilizar procesos de encripción que requieran por parte del usuario la entrada de una clave
o contraseña. Si la información sensible necesita ser protegida se deben usar mecanismos de
protección especificados por el departamento de seguridad informática como SMART – DISK
entre otros.
472.Cualquier información secreta enviada por la red de amplia cobertura geográfica debe ser
encriptada por equipos hardware especializados para este tipo
474.La información secreta de la entidad debe permanecer encriptada cuando no se este usando
Política: Toda información secreta de la entidad debe permanecer encriptada cuando no se este
usando, por ejemplo cuando no se esta manipulando con la ayuda de un software de oficina o
especifico como en utilitarios del sistema.
477.La divulgación de las llaves de encripción a la entidad requiere de una aprobación especial
de rectoria
Política: Las llaves de encripción son información de la más alta sensibilidad y el acceso a ellas
debe ser estrictamente controlado solo a personal autorizado, a menos que lo autorice Rectoria
las llaves de encripción no deben ser dadas a consultores, contratistas u otros terceros.
Política: Los sistemas de encripción de la entidad no deben estar diseñados de tal forma que
una única persona tenga el conocimiento de cualquiera de las llaves de encripción de la entidad.
Se deben establecer claramente separación de funciones y un control de doble intervención.
Separación de funciones se refiere a la intervención de más de un individuo en ciertas
actividades del negocio mientras que doble intervención se refiere a que dos personas deben
estar simultáneamente presentes para realizar una actividad especifica.
Política: La responsabilidad de administrar llaves puede ser únicamente delegada a una persona
que ha pasado pruebas de conocimiento del tema, una auditoria de seguridad operativa y que ha
firmado un contrato de confidencialidad de la información a la entidad.
Política: Si se una encripción la información cifrada debe ser enviada por un canal de
comunicación diferente al usado para distribuir las llaves a menos que se tenga un proceso
independiente de cifrado para el envió de las llaves de encripción.
Política: Cuando se usen mecanismos de encripción para proteger los datos de la entidad las
llaves deben ser cambiadas al menos cada noventa (90) días.
483.Todas las llaves de encripción debe tener una fecha establecida de vida o expiración
Política: Todas las llaves de encripción deben tener una fecha límite de expiración y deben ser
establecidas a priori. Esta política es para asegurar que la llave se este cambiando con bastante
anterioridad.
Política: Cuando se use mecanismos de encripción las llaves deben ser generadas con base a
un procedimiento que no sea fácilmente duplicado por un adversario de tal forma que le sea
imposible adivinar las llaves de encripción. Un ejemplo es la generación aleatoria de llaves de
encripción basadas en un generador que toma la semilla de una parte del reloj del computador.
Política: Cuando se usen llaves de encripción escogidas por el usuario la longitud de la llave no
debe ser inferior a ocho (8) caracteres.
Política: En caso de usar llaves de encripción los materiales usados en la generación de las
llaves deben ser destruidos, así mismo las llaves deben ser guardadas con los procedimientos
apropiados para guardar información confidencial. Otro material de tipo lógico como llaves maestras,
vectores de inicialización, semillas para la generación de números aleatorios y otros deben ser
borrados o destruidos para evitar que caigan en malas manos que puedan en forma inteligente tratar
de reconstruir el proceso de generación de llaves de encripción.
Política: Las llaves maestras son llaves para encriptar las llaves de encripción usadas en el
ciframiento de la información. Como tal están en el nivel más alto de la jerarquía de llaves de
encripción y pueden ser manejadas manualmente con controles de doble intervención con el
conocimiento fraccionado de la llave maestra. En forma alterna pueden ser almacenadas en módulos
especiales a prueba de intrusos. En todo otro evento deben permanecer en forma encriptada.
Política: Los funcionarios responsables de la custodia del material usado para el intercambio de
llaves de encripción deben destruir todo el material de acuerdo a los procedimientos establecidos
en un periodo razonable de tiempo (no mayor a diez (10) días) seguidos a la verificación del
intercambio existo de las llaves de encripción.
Política: Si las llaves de encripción son transmitidas por líneas de comunicación, deben ser
enviadas en un formato encriptado. Las llaves de encripción podrían ser hechas con un algoritmo
más fuerte del que es usado para encriptar otros datos sensibles protegidos por la encripción.
493.Los sistemas de encripción para propósitos generales deben incluir custodia de llaves
Política: Todos los procesos de encripción de propósito general que están funcionando en los
sistemas de información de la entidad deben incluir funciones de custodia de llaves. Estas
funciones especiales le permiten al administrador de la entidad recuperar información encriptada
en caso que existan errores de sistema, humanos u otra clase de problemas.
494.La firma digital y las llaves de autenticación del usuario no deben estar custodiadas
Política: Las llaves utilizadas para firmas digitales, certificados digitales y autenticación del
usuario nunca deben ser incluidas en un arreglo de seguridad para custodia de llaves. Al estar
estas llaves disponibles a terceras personas les permite la suplantación de identidad lo cual
facilita el fraude y falsedad.
Política: Cuando se utiliza la encripción los empleados no pueden borrar solamente la versión legible
de datos a menos que ellos hallan demostrado que el proceso de encripción puede resultar
una versión ilegible de los datos originales.
Política: Cuando la encripción es utilizada para proteger datos sensibles el (los) dueño(s) de los
datos debe (n) explícitamente asignar responsabilidad para el manejo de la encripción de llaves.
Política: Todos los procesos relacionados con al encripción debe ser desarrollados
preferiblemente en módulos de hardware resistentes a alteraciones ilegales en lugar de software.
Este sistema minimiza la amenaza de un reverso de ingeniería del software y una revelación
desautorizada de la(s) clave(s).
Política: Los números telefónicos de las comunicaciones por computador de la entidad deben
ser cambiados periódicamente.
Política: Para identificar positivamente la persona que llama a cualquier conexión de llamada a
la red interna de información de computación de la entidad es necesario usar el sistema
extendido de autenticación de usuarios. Estos sistemas incluyen funciones de devolución de
llamadas, tarjetas inteligentes, biométrica (lector de huella digital, lector de iris e identificar de voz
entre otros) y otras tecnologías aprobadas que proveen más seguridad que los sistemas
tradicionales de código de acceso fijos.
Política: Los trabajadores tienen prohibido conectar modems a estaciones de trabajo que estén
simultáneamente conectadas a la red de comunicación interna.
504.Conexiones de discado directo prohibidas a menos que sea utilizando un modem autorizado
Política: Los usuarios no pueden dejar los modems conectados a computadores personales en
función de contestación automática porque estos son capaces de recibir llamadas entrantes de
discado directo.
506.Llamadas entrantes de discado directo no deben ser contestadas hasta el cuarto repique
Política: Todos los modems de discado directo en la entidad no deben contestar llamadas
entrantes hasta el cuarto repique. Esto frustrará que la gente busque acceso no autorizado en
los computadores de la entidad que tienen programas que identifican líneas de teléfono con conexión
a computadores, porque los modems no contestan inmediatamente, estos programas concluirán
erróneamente que las líneas de los modems son líneas de voz.
507.Aprobación requerida para sistemas que aceptan entrada de llamadas de discado directo
Política: Las conexiones de discado directo a sistemas internos y las redes deben ser
establecidos por personal de desarrollo, administradores de sistemas y otros siempre y cuando
estos sean consistentes con los estándares internos publicados. Antes de que las conexiones de
discado directo sean activadas el personal del departamento que este efectuando la instalación
debe asegurarse de que estos estándares han sido seguidos. Todas las variaciones de estos
estándares deben ser aprobadas con anticipación por el personal encargado del departamento
de seguridad de información.
Política: Si un usuario de computador que entra a través de una línea de discado directo no da
un código de paso correcto luego de tres (3) intentos consecutivos la conexión debe ser
inmediatamente terminada.
Política: los administradores a cargo de los sistemas de correo de voz en la entidad deben hacer
arreglos con la compañía de teléfonos para que las llamadas por cobrar sean prohibidas en las
líneas telefónicas con correo de voz.
513.Deshabilitar llamada con código de área 900 en todos los PBX (conmutadores) de la entidad
Política: Los administradores a cargo de los conmutadores en la entidad deben programar los
sistemas de tal manera que todas las llamadas con códigos de área 900 sean prohibidas. Esto
evitara que se hagan llamadas no autorizadas a sistemas de información (algunos de los cuales
son muy costosos) que luego la entidad tendrá que pagar.
Política: Para reducir la incidencia de fraude los números accesibles utilizando el conmutador de
la entidad deben ser restringidos únicamente a aquellos números necesarios para propósitos de
negocios.
Política: Los empleados se deben abstener de dejar mensajes que contienen información
sensible en contestadores automáticos o sistemas de correo de voz. Esto ayudara a asegurar
que la información llegara únicamente a la persona indicada.
517.Utilizar tarjetas de crédito en los sistemas de los teléfonos del sistema PBX (Conmutador)
Política: Los empleados deben evitar hacer llamadas de discado directo usando tarjetas de
crédito telefónicas a través del conmutador como lo hacen algunas organizaciones y hoteles.
Estos conmutadores pueden grabar el número de la tarjeta de crédito y el número de
identificación personal. Esta información puede ser usada periódicamente para hacer llamadas
fraudulentas. Donde se sabe la existencia de conmutadores los trabajadores deberían hacer sus
llamadas desde teléfonos públicos u otras líneas directas.
Política: Cuando se usan teléfonos públicos si las circunstancias lo permiten los empleados
deben deslizar las tarjetas de crédito en lugar de oprimir o dictar los números para la información
de cobro.
Política: Cuando se use el teléfono los trabajadores no deben utilizar el altavoz del teléfono,
micrófonos, altavoces, grabadoras o tecnología similar a menos que se halla obtenido el permiso
del originado y e receptor de la llamada.
Política: Las sesiones de videoconferencia no deben ser grabadas a menos que esta grabación
ha sido:
Política: Los teléfonos de la entidad tienen la función de facilitar las actividades propias. Los
teléfonos no deben ser utilizados para propósitos personales, a menos de que estas llamadas no
puedan efectuase fuera de las horas de trabajo. En estos casos las llamadas personales deben
ser de una duración razonable.
Política: Los teléfonos de la entidad no deben ser utilizados para hacer llamadas personales
especialmente llamadas de larga distancia. Es necesario enfatizar en las llamadas de larga
distancia por que es allí donde se encuentra el mayor gasto en cuanto a llamadas personales se
refiere. Esta política permite explícitamente llamadas personales locales sin necesidad de
reportarlas o de reembolso.
Política: A menos que la voz de la persona que llama es definitivamente reconocida la entidad
de las personas haciendo llamadas telefónicas pidiendo soporte de computador debe ser
autenticado utilizando un código especial de identificación. Este código de identificación es y
debe ser diferente de un código de acceso de computador y que este intencionado para el
conocimiento exclusivo del personal interno autorizado.
Política: Los empleados no deben utilizar una cuenta de correo electrónico que ha sido asignada
a otro individuo no para enviar ni para recibir información. Si hay necesidad de leer el correo de
otra persona (por ejemplo cuando están en vacaciones) la remisión de mensajes a otra dirección u
otros métodos pueden ser usados preferiblemente.
Política: Los empleados no pueden crear o remitir sus propios mensajes de correo electrónico
proveídos externamente que puedan ser considerados como acoso o que puedan contribuir a un
ambiente de trabajo hostil. Un ambiente de trabajo hostil puede ser creado cuando comentarios
derrogativos sobre el sexo, raza, religión o preferencias sexuales son circulados.
528.Retención de mensajes de correo electrónico por parte del usuario para referencia futura
529.Usuarios no deben emplear el sistema de correo electrónico como una base de datos
Política: Los usuarios deben regularmente cambiar información importante de archivos de correo
electrónico a un documento de procesador de palabra, base de datos y otros archivos. Los
sistemas de correo electrónico no están intencionados para guardar archivos de información
importante. Los mensajes de correo electrónico pueden ser destruidos periódicamente por el
administrador del sistema cuando existan problemas en el sistema.
Política: Los trabajadores deben tratar los archivos y los mensajes de correo electrónico como
información privada. El correo electrónico se debe manejar como comunicación directa y privada
entre el originador y el receptor.
Política: A menos que el material este encriptado los usuarios deben abstenerse de enviar
información de investigación y desarrollo, de tarjetas de crédito, códigos de acceso e información
confidencial vía correo electrónico.
este trabajo sea específicamente asignado por los jefes de dependencia el monitoreo de los
mensajes de correo electrónico esta prohibido por cualquier otro trabajador.
Política: Los empleados tienen prohibido enviar o remitir por medio del sistema de información
de la entidad cualquier mensaje que una persona razonable pueda considerar difamatorio, hostil o
explícitamente sexual. Los empleados también tienen prohibido enviar o remitir mensajes o
imágenes por medio del sistema de la entidad que puedan ofender las creencias de raza,
género, nacionalidad, orientación sexual, religión, creencias políticas o discapacidad.
Política: La entidad utiliza rutinariamente herramientas que examinan el correo electrónico para
identificar palabras claves seleccionadas, tipos de archivos y otra información. Los usuarios
deben restringir sus comunicaciones a asuntos de trabajo en reconocimiento a este monitoreo
electrónico.
Política: Los empleados son animados a responder directamente al originador del correo electrónico
ofensivo llamadas telefónicas y/o cualquier otro tipo de comunicación. Si el originador no para de
enviar mensajes ofensivos prontamente el trabajador debe reportar la comunicación a su jefe directo
y al departamento de recursos humanos.
Política: El sistema de correo electrónico de la entidad debe ser usado únicamente para
propósitos de trabajo. Todos los mensajes enviados por medio del correo electrónico son
registros de la entidad. La entidad se reserva el derecho de acceder y revelar todos los mensajes
enviados por medio del sistema de correo electrónico para cualquier propósito. Los supervisores
deben revisar las comunicaciones de correo electrónico de los trabajadores supervisados para
determinar si han atentado contra la seguridad, violado políticas de la entidad o ejecutando
cualquier otra acción no autorizada. La entidad también debe revelar los mensajes electrónicos a
los oficiales de la ley sin notificación previa a los trabajadores que hayan enviado o recibido este
tipo de mensajes.
Política: Todos los mensajes de correo electrónico que contengan una aprobación administrativa
formal, autorización, delegación o manejo de responsabilidad o cualquier transacción similar
deben ser copiados al departamento de archivo de registros.
Política: El sistema de correo electrónico esta creado con el propósito de ser utilizado principalmente
para cuestiones de trabajo. Cualquier uso personal no debe interferir con las actividades
normales del trabajo, no debe involucrar solicitud, no debe ser asociado con ningún beneficio fuera
de las actividades propias de trabajo y no debe avergonzar a la entidad.
540.Autorización para hacer público un mensaje a través de correo electrónico y correo de voz
Política: Los empleados que laboren para la entidad en sitios de trabajo alternos deben utilizar
equipos de computación y red proveídos por la entidad. Se hará una excepción únicamente si
otros equipos han sido aprobados como compatibles con el sistema de información y los
controles de la entidad.
Política: Los equipos de cómputo de la entidad no deben ser alterados ni mejorados en ninguna
forma sin el consentimiento y autorización del responsable del departamento.
Política: Los trabajadores deben reportar a su superior prontamente sobre cualquier daño o
pérdida del equipo, software o información que tengan a su cuidado y sean propiedad de la
entidad.
Política: Aunque el Internet es un ambiente de comunicación informal aplican las leyes para
derechos de reproducción, patentes, marcas registradas y todo lo relacionado. En este punto los
empleados que utilicen sistemas de la entidad deben por ejemplo:
a. Publicar material únicamente después de obtener permiso de la fuente.
b. Indicar la fuente si ésta es identificada.
c. Revelar información interna de la entidad en Internet solo si la información ha sido
aprobada oficialmente en un comunicado público.
Política: Los funcionarios que se preocupen por acecho, acoso u otra invasión de su privacidad
no deben revelar sus nombres reales, direcciones o números telefónicos en boletines
electrónicos, sesiones de charla o cualquier otro foro público en Internet.
Política: Las páginas World Wide Web (WWW) no oficiales que tengan que ver con
procedimientos o servicios de la entidad son prohibidas a menos que el patrocinador de estas
páginas tenga un contrato firmado por el director de relaciones públicas. Los trabajadores que se
den cuenta de una nueva referencia o servicio de la entidad en Internet deben informar tan
pronto como sea posible al director de relaciones públicas.
Política: Todos los cambios que se hagan en la página Web de la entidad en Internet deben ser
aprobados por un comité especial antes de ser publicados. Dicho comité es establecido por el
departamento de relaciones públicas. Este comité debe asegurarse que todo el material puesto
en la página Web contenga una apariencia consistente y pulida, esté de acuerdo con las metas
de la empresa y protegido por las medidas de seguridad adecuadas.
Política: Todas las páginas Web de la entidad en Internet deben ajustarse a estándares de
diseño, navegación, redacción legal y requerimientos similares establecidos por el comité de
administración de la página Web en Internet.
Política: Información secreta, propietaria o privada de la entidad nunca se debe enviar por
Internet si primero no ha sido encriptada por medio de métodos apropiados. A menos que se
tenga un conocimiento específico de estar en el dominio público, el código fuente debe estar
encriptado siempre antes de ser enviado por Internet.
Política: El correo electrónico enviado por los empleados de la entidad a grupos de discusión de
Internet, boletines electrónicos y cualquier otro foro público debe ser revisado y removido en
caso que se determinen inconsistencias con los intereses propios de la entidad o la política
existente en la compañía. Los mensajes de esta categoría incluyen:
a. Declaraciones políticas.
b. Declaraciones religiosas.
c. Lenguaje mal hablado.
d. Afirmaciones vistas como acoso a creencias de raza, credo, color, edad, sexo,
impedimento físico o inclinaciones sexuales.
La decisión de borrar correo electrónico debe ser tomada por el director de seguridad de información,
el director de recursos humanos o la persona que se delegue para tal fin. Cuando sea práctico y
posible se informará a las personas responsables por el mensaje de la decisión y se les dará la
oportunidad de que sean ellos mismos quienes los eliminen.
Política: Todo el software y archivos bajados desde fuentes diferentes a la entidad a través de
Internet o cualquier otra red pública deben ser protegidos con software de detección de virus.
Esto debe realizarse antes de empezar a ejecutar o examinar a través de cualquier otro
programa como por ejemplo un procesador de palabra.
Política: Toda la información sacada a través de Internet debe considerarse sospechosa hasta tanto
no se confirme con otra fuente. No existe un proceso de control de calidad en Internet y una
cantidad considerable de información de Internet no esta actualizada, es errónea y deliberadamente
falsa.
entidad y una tercera parte a menos que se haya llegado a algún acuerdo escrito y éste haya
sido firmado por el vicerrector. Dicho acuerdo debe especificar tanto los términos como las
formas en que el software y/o datos deben ser manejados y protegidos.
Política: Las conexiones de Telnet (También conocidas como conexiones de acceso remoto en
sistemas Unix) en Internet a través de los computadores de la entidad están prohibidas sin
ninguna excepción.
561.La ejecución del programas Java está prohibido a menos que se haya validado la firma
digital
Política: Los trabajadores tienen prohibido ejecutar applets de Java bajados desde Internet a
menos que:
562.El acceso a Internet utilizando los computadores de la entidad se debe hacer a través de un
firewall
Política: A menos que se cuente con una aprobación por adelantado del director del
departamento de servicios de información y una nota explicita en la página de intranet en
cuestión todos los contenidos publicados en intranet de la entidad son propiedad de la misma.
Política: Antes de publicar material de la entidad en intranet los trabajadores deben chequear a
fondo toda la información y programas para asegurar que no incluyan virus, caballos de Troya y
cualquier otro código malicioso. Antes de publicar la información los empleados también deben
confirmar la actualidad, oportunidad y relevancia de la misma.
Política: Debido a que la tecnología de intranet e Internet presenta altos niveles de ataque la
información secreta de la entidad no debe quedar residente en los servidores de intranet y/o Internet.
Política: Antes de conectarlos a la red interna todos los servidores intranet de la entidad deben
ser preautorizados por el administrador de servicios de red en la red de datos.
Política: Todos los trabajadores que desarrollen en intranet debe observar consistentemente la
guía de estilo de intranet y utilizar los recursos encontrados en el sitio de implementación de intranet.
2. SEGURIDAD GERENCIAL
2.1. SEGURIDAD ADMINISTRATIVA
2.1.1. ENTRENAMIENTO Y CONOCIMIENTO
Política: Todos los empleados, consultores y contratistas deben contar con suficiente
entrenamiento y material de referencia de soporte que les permita proteger adecuadamente los
recursos de información de la entidad.
Política: La administración debe ubicar suficiente tiempo para que los empleados se pongan al
corriente de las políticas, procedimientos y forma relacionada con como proteger la información
de la entidad.
Política: Cada trabajador debe entender las políticas y procedimientos de la entidad con respecto
a la seguridad de la información y debe estar de acuerdo en escribir para desarrollar su trabajo
de acuerdo con dichas políticas y procedimientos.
Política: Cada trabajador debe atender a una clase de conciencia sobre seguridad en la
información dentro de los tres primeros meses una vez haya iniciado a laborar con la entidad.
Para que exista una evidencia de que cada empleado ha atendido a dicha clase, cada uno debe
firmar un acuerdo que especifique que ellos han asistido a clase, entendido el material
presentado y han tenido la oportunidad de hacer preguntas.
Política: Como una condición de relación de trabajo continuo continuado con la entidad, todos
los trabajadores deben leer, entender y comportarse de acuerdo con el código corporativo de
conducta.
Política: Todos los trabajadores deben indicar su entendimiento del código de conducta firmando
anualmente una forma de reconocimiento que especifique que ellos están de acuerdo con el
código a suscribir el código.
Política: Todo aquel que deje información a cargo de la entidad debe estar pendiente de sus
responsabilidades con la seguridad de su información, por medio de un leguaje específico que
aparezca en sus contratos, el cual define sus relaciones con la entidad.
Política: Los trabajadores de la entidad tienen la tarea de reportar todas las violaciones y
problemas con la seguridad de la información al departamento de seguridad de información en
un tiempo prudente para que así se pueda tomar una acción que los solucione prontamente.
Política: Todas las vulnerabilidades conocidas – además de todas las violaciones conocidas –
deben ser comunicadas en forma rápida y confidencial al departamento de seguridad de información.
Adicionalmente todas las revelaciones de información de la entidad no autorizadas deben ser
reportadas a los propietarios de la información involucrados. Está estrictamente prohibido
reportar violaciones de seguridad, problemas o vulnerabilidades a cualquier parte fuera de la
entidad (exceptuando auditores externos) sin la previa aprobación escrita de la oficina jurídica.
Política: La entidad protegerá a los trabajadores que reporten de buena fe lo que ellos creen es
una violación de las leyes o regulaciones, o condiciones que pueden poner en peligro la salud o
seguridad de otros trabajadores. Esto significa que dichos trabajadores no pueden ser
despedidos, amenazados o disciplinados porque ellos reporten lo que perciben que esta errado o
puede causar situaciones peligrosas. Antes de tomar cualquier otra acción estros trabajadores
deben reportar el problema a su jefe directo o al departamento de auditoria interna y luego dar a
la organización el tiempo para solucionar la situación.
investigación debe proveer información suficiente para que el administrador pueda tomar los
pasos que aseguren que:
Política: La información que describe todos los problemas de seguridad reportados y violaciones
debe ser conservada por un periodo de tres años.
Política: Un análisis anual del reporte de problemas de seguridad y violaciones debe ser
preparado por el departamento de seguridad de información.
Política: Normalmente la información que muestra los efectos de fallas del sistema, caídas y
problemas relacionados con computadores debe estar disponible a los usuarios. Un proceso
formal de administración del sistema debe estar en capacidad de registrar problemas, reducir su
incidencia y prevenir su recurrencia.
Política: Todas les medidas de seguridad de comunicaciones y computadoras deben ser simples y
fáciles de utilizar, administrar y auditar.
Política: Todos los controles de seguridad de la información deben ser aceptados y apoyados
tanto por las personas a quienes se monitorean como por quienes trabajan con los controles.
Política: Para todos los sistemas aplicativos administrativos, la seguridad debe hacerse por
diseñadores y desarrolladores del sistema desde el inicio del proceso de diseño de sistemas
hasta la conversión a un sistema en producción.
Política: Para garantizar conformidad con los estándares de seguridad de la información propios
se debe conseguir todo el hardware y software a través de canales estándares de compra.
Política: Para tomar ventaja de mejoras recientes de seguridad, después de una demora de algunos
meses, la entidad debe utilizar la versión mas reciente de todos los sistemas operativos del
computador multiusuario.
Política: siempre que sea factible y efectivo en costos, los desarrolladores del sistema deben
contar con servicios de sistema para la funcionalidad de la seguridad antes que incorporar tal
funcionalidad en los aplicativos. Ejemplos de servicios de sistemas incluyen sistemas operacionales,
sistemas operativos de redes, sistemas de administración de bases de datos, paquetes de
control de acceso, procesadores front-end. Firewall, salidas y enrutadores.
Política: Para mantener los costos bajos y para facilitar el desarrollo de sistemas, la entidad
debe comprar soluciones de seguridad de información disponibles comercialmente antes que
desarrollarlas. Las excepciones a esta política solo se deben hacer cuando la relación costo-
beneficio de una solución personalizada ha sido claramente analizada, documentada y aprobada
por la administración del departamento de seguridad informática.
Política: Como mínimo todos los sistemas de información de la entidad deben incluir controles
estándar encontrados en organizaciones con circunstancias similares. Más allá de esto, los
únicos riesgos afrontados serán los orientados con soluciones personalizadas de la entidad.
Política: Para cada riesgo de seguridad de sistemas de información significativo, se debe hacer
una decisión específica del grado en el cual la entidad deberá estar así:
a. Auto asegurada.
b. Mirar seguros externos.
c. Ajustar controles para recudir las pérdidas esperadas.
Política: Se debe obtener un cobro adecuado del seguro y forzar a que se mantenga para cada
enfrentamiento con una amenaza mayor en la confidencialidad e integridad y la disponibilidad del
manejo de la información por parte de los sistemas de computación y de comunicaciones de la
entidad.
Política: Todos los controles de seguridad de sistemas de información se deben reforzar antes
de ser adoptados como parte de un procedimiento operativo estándar.
Política: Todos los tratos de acuerdo con el manejo de información de la entidad por terceras
partes deben incluir una cláusula especial. Esta cláusula debe permitir que la entidad audite los
controles utilizados para esa actividad del manejo de la información y que especifique la forma
en la cual se protegerá la información de la entidad.
Política: Cuando se asume que la primera violación de las políticas de seguridad e información
es accidental o inadvertida se debe hacer una amonestación. Una segunda violación sobre el
mismo tema hará que se envíe una carta al archivo del empleado. Una tercera violación
ocasionará la suspensión de trabajo por varios días sin pago. Una cuarta violación ocasionará el
despido. Violaciones intencionales o a propósito sin importar el número de las mismas puede resultar
en acciones disciplinarias que debe llegar hasta el despido.
Política: A menos que exista un permiso especial del rector o vicerrector, todos los trabajadores
que hayan robado propiedad de la entidad, actuado con insubordinación, convicto de delito, se deben
despedir inmediatamente. Tales despidos deben incluir escolta tanto para que la persona se retire
de la entidad como para que retire sus efectos personales.
Política: En todos los casos en los cuales se cancela involuntariamente el trabajo de las
personas que atienden el computador, a ellos se les debe relevar inmediatamente de todas sus
obligaciones, se les debe requerir la devolución de la información y equipo y deben ser
escoltados mientras que ellos empacan sus pertenencias y persuadirlos para que abandonen la
entidad.
Política: Hasta la culminación del empleo, los empleados no pueden retener, traicionar o retirar
desde las instalaciones de la entidad cualquier información de la entidad, diferente a copias
Política: En el momento en que cada empleado, asesor o contratista termina su relación con la
entidad, debe devolver todo lo que sea propiedad de la empresa. Esto incluye computadores
portátiles, libros de biblioteca, llaves de edificios, tarjetas magnéticas de acceso, prestamos
pendientes y similares. Estos individuos que terminan su contrato laboral deben informar a la
administración acerca de todo lo que se encuentra en sus manos que es propiedad de la entidad,
de igual forma los privilegios del sistema de computador, los privilegios de acceso a edificios y
otros privilegios que les hayan sido concedidos.
1. Asegurarse de que toda la propiedad en custodia del trabajador sea regresada antes de
que el trabajador deje la entidad.
Política: Como condición de continuidad los empleados, asesores y contratistas deben firmar
anualmente un acuerdo de cumplimiento de la seguridad de la información.
Política: Todos los procesos asistidos por computador deben incluir intervención humana antes
que se origine cualquier acción cuyo resultado podría ser un evento de amenaza contra la vida u
la seguridad del individuo.
627.Se requiere que cada año se disfruten las vacaciones legales durante un periodo
consecutivo
Política: Para dar a otros una oportunidad de adquirir conocimientos y para prevenir la
probabilidad de ilícitos, todos los trabajadores deben disfrutar de sus vacaciones
obligatoriamente cada año.
628.Seguros para personal que ocupa posiciones de confianza relacionadas con la informática
Política: Todos los empleados tienen la obligación de reportar prontamente a su jefe inmediato todos
los cambios en su estado personal que puedan afectar su elegibilidad para mantener su posición
actual. Si los empleados falla en la divulgación material de la información acerca de su cambio de
estado, se supeditan ellos mismos a todas las acciones disciplinarias incluyendo la terminación de
su trabajo. Ejemplos de tales cambios de estado incluyen pruebas de culpabilidad para delitos
relacionados con el trabajo y actividades fuera del negocio.
Política: Los trabajadores que han notificado su intención de dejar el empleo en la entidad, así como
aquellos que están concientes de una inminente terminación involuntaria del trabajo, se deben
transferir a puestos en los cuales puedan hacer el mínimo daño sobre los activos de la entidad. Esta
política también aplica para aquellos trabajadores que son conocidos por estar descontentos. La
opción del supervisor con aquellos individuos puede ser colocarlos alternativamente con licencia
remunerada.
Política: No se debe extender la oferta de trabajo a individuos que son convictos de delitos que
incluyen violencia, si se repitiera, podría ocasionar daños físicos a la propiedad o a los
empleados de la entidad.
Política: Personas que hayan sido convictas de felonía no pueden ser contratadas, promovidas
o utilizadas como asesores, contratistas para posiciones de confianza relacionadas con la
informática.
Política: Todos los trabajadores que sean ubicados en posiciones de confianza relacionadas con
la informática, deben primero pasar un chequeo de conocimiento. Este proceso puede incluir el
examen de criminales convictos, de litigios, de oficinas de crédito, de licencias de tráfico, así
como la verificación de los empleos anteriores. Esta política aplica a los empleados nuevos,
reenganchados, así como a contratistas y asesores.
Política: A todos los trabajadores con problemas personales tales como la adicción a las drogas,
alcoholismo o divorcio entre otros, se les debe suministrar los servicios de un consejero
confidencial gratis.
Política: Hasta una nueva orden, un comité de administración de seguridad de información debe
estar compuesto por administradores senior o sus delegados de cada una de las divisiones
principales de la entidad. Este comité se reunirá periódicamente para:
Política: Toda la información de producción poseída u organizada por una unidad organizacional
particular debe tener designado un dueño. Los dueños deben determinar clasificaciones de
sensibilidad apropiadas, así como clasificaciones de criticidad. Los dueños también deben tomar
decisiones sobre a quienes les será permitido el acceso a la información y el uso que se le podrá
dar a la misma. Los dueños deben adicionalmente tomar precauciones para asegurarse de que
se utilizan controles apropiados para el almacenamiento, manejo, distribución y uso corriente de
la información.
Política: La administración dentro de cada unidad funcional de la entidad debe preparar una
planeación anual para mantener sus sistemas de comunicación de acuerdo con los estándares y
políticas publicados.
Política: Los administradores son responsables por los controles de los sistemas de información
implementados de tal forma que sean consistentes con las prácticas del negocio generalmente
aceptadas. Además, los administradores son responsables por la implementación de esos
controles de tal forma que sean consistentes con la criticidad, el valor y la sensibilidad de la
información que se maneja.
Política: Los administradores son los responsables de informar las variaciones en relación con
las prácticas de control generalmente aceptadas del sistema de información y también por el
inicio inmediato de las acciones correctivas.
Política: La responsabilidad por la seguridad de la información sobre la base del día a día es una
obligación de cada trabajador. La responsabilidad específica de la información esta conferida
únicamente en el departamento de seguridad informática.
Política: Todos los problemas de seguridad de información deben ser manejados con la
colaboración y cooperación de los directivos de seguridad de informática de la entidad. La
utilización de asesores externos, grupos de respuesta de seguridad del computador u otros de
afuera esta prohibido específicamente a menos que hayan sido aprobados por el departamento
de seguridad informática de la entidad.
Política: Los usuarios del computador deben revisar rápidamente los detalles de las cuentas de
computadores y de comunicaciones (incluyendo ítems de cargos internos revestidos) para
asegurarse que los cargos son apropiados, esto no significa que hayan cometido y tampoco significa
que ocurrido una utilización no autorizada.
Política: Contratistas, temporales y asesores externos deben ser materia de los mismos
requerimientos de seguridad de información, y tener las mismas responsabilidades de seguridad
de información que los empleados de la entidad.
Política: Cada sistema multiusuario de la entidad con un sistema de acceso de control debe
tener un empleado designado quien es el responsable de la asignación de los nombres de
usuario y de los privilegios de acceso. Este administrador del sistema debe tener también un
empleado designado y entrenado de respaldo que pueda reemplazarlo cuando sea necesario.
Política: Antes que a cualquier usuario le sea permitido alcanzar los sistemas de la entidad vía
conexiones de computador en tiempo real, se requiere la aprobación escrita del administrador
del departamento de seguridad de información. Los requerimientos para las aprobaciones deben
especificar las responsabilidades relativas de seguridad de la entidad, las responsabilidades
relativas del mensajero (si se utiliza) y las responsabilidades relativas de seguridad de cualquier
otra parte involucrada. Estas normas de seguridad deben también direccionar el riesgo de la
exposición de las partes involucradas.
Política: Se debe obtener periódicamente una revisión independiente de los controles del
sistema de información. Estas revisiones deben incluir tanto los esfuerzos para determinar tanto
la adecuación como el cumplimiento de los controles. Las revisiones no deben ser ejecutadas
por personal que ha sido responsable de implementar y mantener los controles.
661.Construcción de sistemas de tal forma que los errores en manipulaciones salgan a la luz
Política: Los sistemas de computadores de la entidad deben ser construidos de tal forma que
ninguna persona peda hacer un error o manipular los registros sin que tales eventos sean
detectados por alguna otra persona durante la ejecución de la rutina de responsabilidades de
otra persona.
Política: Siempre en la práctica, nunca una persona deberá ser responsable por terminar una
tarea que involucre información valiosa, sensitiva o crítica desde el comienzo hasta el fin. Así mismo,
una persona sola debe ser responsable por la aprobación de su propio trabajo. En todo lo posible
para cada tarea que incluya información crítica, valiosa o sensitiva se requiere al menos dos
personas que coordinen las actividades de manejo de información.
Política: Todos los usuarios de la información de la entidad deben cumplir con los
requerimientos de control especificados por los dueños o custodios de la información. Los
usuarios pueden ser empleados temporales, contratistas, asesores o terceras partes con los que
se hayan hecho arreglos especiales.
Política: El acceso a la información de la entidad debe siempre estar autorizado por el dueño
designado de tal información, y debe estar limitado sobre la base de la necesidad de saber por
un razonablemente restringido numero de personas.
Política: Una responsabilidad del dueño de la información para la especificación de los controles
apropiados de la información no se puede delegar a proveedores de servicios externos a la
entidad.
3. SEGURIDAD FÍSICA
3.1. SEGURIDAD DE ACCESO FÍSICO
3.1.1. CONTROL DE ACCESO EN INSTRALACIONES
3.1.1.1. BARRERAS Y BLOQUEOS
Política: El acceso a cada oficina, cuarto de computadores y área que contiene información
sensitiva, debe ser físicamente restringido. El administrador responsable por el trabajo del
personal del área técnica o directivos en esas áreas debe consultar al departamento de
seguridad para determinar el método de control apropiado de acceso (recepcionistas, chapas de
llave metálica, chapas de tarjeta magnética, etc.).
Política: Todos los computadores multiusuario y los equipos de comunicación deben estar
ubicados en lugares asegurados para prevenir alteraciones y usos no autorizados.
Política: El acceso a las oficinas de la entidad por parte de visitantes u otras personas a áreas
que contengan computadoras y otras áreas de trabajo que contengan información sensible debe
estar controlada por guardias, recepcionistas u otras personas del área técnica o directiva. A los
visitantes y demás no se les debe permitir el uso de las entradas u otras vías de acceso no
controladas a áreas que contienen información sensitiva.
674.Se debe utilizar distintivos en un lugar visible de acuerdo con las premisas de la entidad
Política: Siempre en los edificios o instalaciones de la entidad todas as personas deben utilizar
un distintivo en un lugar visible en sus prendas externas de tal forma que la información del distintivo
o escarapela sea claramente visible.
Política: Aquellos trabajadores que hayan olvidado su distintivo de identificación deben obtener
un distintivo temporal suministrando un documento de identidad u otra pieza de identificación que
tenga fotografía. Tan distintivo temporal es válido por un solo día únicamente.
Política: Los distintivos de identificación y las tarjetas de acceso físico que hayan sido perdidas o
robadas – o que se sospeche que hayan sido perdidas o robadas – se deben reportar al
departamento de seguridad inmediatamente. Desde luego, todas las fichas de acceso a los
computadores o a los sistemas de comunicación (tarjetas inteligentes con contraseñas
dinámicas, tarjetas de crédito telefónicas, etc.) que hayan sido perdidas o robadas o que se
sospeche que hayan sido perdidas o robadas deben ser reportadas inmediatamente al
departamento de seguridad.
Política: Los controles de acceso físico para los edificios de la entidad se hacen con la intención
de restringir la entrada de personal no autorizado. Los trabajadores no deben permitir que
personas no autorizadas o desconocidas pasen a través de puertas, compuertas y otras
entradas a áreas restringidas al mismo tiempo que personas autorizadas acceden por esas
entradas. Esto es esencial que sea mantenido por todos los trabajadores para la seguridad de la
entidad.
678.Se requiere la presencia de una guardia cuando se mantengan las puertas abiertas en el
cuarto de cómputo.
Política: Cuando las puertas del centro de cómputo estén abiertas completamente (quizás por
movimiento de equipos de cómputo, decoración, suministros o ítems similares), la entrada debe
estar continuamente monitoreada por un empleado o por un guardia contratado por el departamento
de seguridad física.
Política: Los trabajadores no deben intentar entrar a áreas restringidas de acceso en los
edificios de la entidad para los cuales ellos no hayan recibido autorización de acceso.
Política: Nunca se debe permitir que un trabajador trabaje solo en áreas restringidas que
contienen información sensitiva.
Política: Si el acceso a las instalaciones particulares de la entidad ha sido restringido por causa
de que allí se maneja información sensitiva, crítica, o valiosa, sólo se permitirá que los
trabajadores tengan acceso únicamente a estas instalaciones solamente durante horas oficiales o
normales de trabajo.
Política: Todos los medios de almacenamiento de información (tales como drives de discos
duros, disquetes, cintas magnéticas y CD-ROMs) que contengan información sensitiva deben
estar asegurados físicamente cuando no se estén utilizando. Se hará una excepción si esta
información es protegida vía un sistema de encripción aprobado por el departamento de
seguridad de informática.
684.Los trabajadores deben mostrar el contenido de los maletines cuando se establece la salida
Política: Todas las carteras, maletines, bolsos de mano y otras maletas deben ser abiertos por
los guardias del edificio de la entidad para chequear cuando la gente abandona el
establecimiento. Esto asegurará que información valiosa o sensitiva no sea removida del
establecimiento.
Política: En el evento de que un trabajador esté terminando su relación con la entidad, todos los
códigos de acceso de seguridad físicos conocidos por el trabajador se deben cambiar o
desactivar. Por ejemplo, el número serial registrado en una cinta magnética incorporada en un
distintivo de identificación se debe cambiar antes de que el distintivo de identificación sea
entregado a otro trabajador.
687.Mantenimiento de la lista que muestra a quienes les está permitido conceder acceso físico
Política: Una lista de los administradores que están autorizados para conceder acceso a las
instalaciones de la entidad debe estar actualizada. Esta lista debe también ser revisada
periódicamente por los administradores de alto nivel quienes delegaron autoridad en estos
administradores.
Política: Cada cabeza de departamento debe recibir un listado mensual de todo el personal de
su área que haya tenido distintivos de identificación validos generalmente. Las cabezas de
departamento deben reportar inmediatamente al departamento de seguridad todos los distintivos
validos los cuales ya no sean necesarios.
Política: Todos los visitantes deben mostrar una identificación con fotografía y firmar antes de
obtener el acceso a las áreas restringidas controladas por la entidad.
Política: Los visitantes de las oficinas de la entidad deben ser escoltados durante todo el tiempo
por un empleado autorizado, asesor o contratista. Esto significa que se requiere de un escolta
tan pronto como un visitante entra a un área controlada y hasta que este mismo visitante sale de
dicha área. Todos los visitantes requieren un escolta incluyendo antiguos empleados, miembros
de la familia del trabajador, contratistas de recepción de equipos, empacadores de correo
personal técnico o directivo de la compañía y oficiales de policía.
Política: Individuos que nunca han sido empleados de la entidad, contratistas no autorizados,
asesores no autorizados deben ser supervisados siempre que ellos se encuentren en áreas
restringidas que contengan información sensitiva.
Política: Los centros de cómputo de la entidad son recintos cerrados. A los programadores y a
los usuarios no les está permitido encontrarse dentro de los cuartos de máquinas de
computador.
Política: Se prohíben los paseos públicos por las instalaciones del computador principal y de las
comunicaciones.
Política: Todos los centros de comunicaciones o de computadores nuevos de la entidad deben estar
localizados en áreas alejadas de experimentar desastres naturales, accidentes serios ocasionados
por el hombre (fugas químicas, movimientos peligrosos de material nuclear, etc.), motines y
problemas relacionados.
Política: Todos los centros de cómputo o de comunicaciones nuevos de la entidad deben estar
localizados de tal forma que ellos tengan acceso fácil a dos subestaciones de energía y a dos
centrales telefónicas. Tales centros no deben estar cerca de terrenos planos con inundaciones
fluctuantes, terrenos con fallas sísmicas, vías de ferrocarril, autopistas principales y otras fuentes
de fuego.
Política: Para minimizar el robo o daño por inundación, lo computadores multiusuario y las
instalaciones de comunicación deben estar localizados encima de la primera planta de los
edificios. Para minimizar el daño potencial por el humo y fuego las instalaciones de cocina deben
ser localizadas lejos de los sistemas multiusuario (Incluyendo que no sean arriba o abajo).
Igualmente para minimizar el daño potencial por agua, las instalaciones de los baños no deben
estar localizadas directamente arriba de esos sistemas. Para minimizar el daño potencial de
bombas y para minimizar el espionaje y la interferencia electromagnética no autorizada estos
sistemas no deben estar ubicados junto a un muro exterior de la entidad.
701.Se requiere un área de espera intermedia para restringir el acceso a la sala de computo
Política: No debe haber avisos que indiquen la ubicación de los centros de cómputo o de
comunicaciones.
703.El centro de computo debe ser resistente al fuego y todas las aberturas auto-cerrables
Política: Las paredes de fuego alrededor de las instalaciones del computador deben ser no
combustibles y resistentes al fuego por lo menos por una hora. Todas las aberturas de estas paredes
(puertas, ductos de ventilación, etc.) deben tener cerrado automático e igualmente resistir por
lo menos una hora.
704.Las puertas e instalaciones del computador deben ser resistentes a una entrada forzada
Política: Las instalaciones del cuarto del computador deben estar equipadas con puertas corredizas,
resistentes al fuego y resistentes a otro tipo de ingreso forzado.
Política: Las instalaciones del cuarto del computador deben estar equipadas con puertas que cierren
automáticamente en forma inmediata una vez se hayan abierto y las cuales disparen una alarma
audible cuando ellas se mantengan abiertas mas allá de cierto periodo de tiempo.
Política: El equipo de microcomputadores (PCs, laptos, etc.) no deben moverse o reubicarse sin
la aprobación previa del director de la oficina de recursos físicos.
Política: Los sistemas de la entidad que contienen información secreta deben emplear hardware
que reúna los estándares militares para el control de radiación (emanación). Estos sistemas
deben también estar protegidos dentro de recintos asegurados con llama de alambre u otro
material de bloqueo de radiación electromagnética como está especificado por los estándares
militares.
711.