Actividad AA12-3: Definición de las políticas de Seguridad.

Ángel Bello Pérez

Anderson Miguel Maza Castro

Noviembre De 2019

Sena

Sena Virtual

Gestión y Seguridad de Bases de Datos (1881765)

 Contenido
INTRODUCCION ..................................................................................................................... 1

OBJETIVOS .............................................................................................................................. 2

Objetivos generales ................................................................................................................ 2

Objetivos especificos ............................................................................................................. 2

ALCANCE ................................................................................................................................. 3

POLÍTICA DE RESPALDO DE DATOS ................................................................................. 4

POLÍTICA PARA LA DESTRUCCIÓN DE DOCUMENTOS ............................................... 6

POLÍTICA DE INTERNET Y USO DE LA DMZ ................................................................... 7

POLÍTICA DE RECUPERACIÓN DE DESASTRES .............................................................. 8

POLÍTICA DE PRIVACIDAD DE LOS DATOS .................................................................. 10

POLÍTICA DE ENCRIPTACIÓN DE LOS DATOS .............................................................. 12

POLÍTICA DE DISPOSITIVOS MÓVILES, TABLETAS, PORTATILES .......................... 13

POLÍTICA DE SEGURIDAD DE REDES ............................................................................. 15

POLÍTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA INFORMACIÓN Y

CONTRASEÑAS ......................................................................................................................... 16

POLÍTICA DE ACCESO REMOTO A LA RED ................................................................... 17

POLÍTICA DE SOFTWARE COMO UN SERVICIO ........................................................... 18

POLÍTICA DE SEGURIDAD DE REDES INALAMBRICAS .............................................. 19

Política de Roles para la seguridad informática ....................................................................... 21

CONCLUSIONES ................................................................................................................... 23
Bibliografía .............................................................................................................................. 24
 Actividad AA12-3: Definición de las políticas de Seguridad.

Esta actividad consiste en construir la definición de requisitos, que indiquen en términos

generales que está y que no está permitido en el área de seguridad asociada a los datos, durante la

operación general de los sistemas asociados a la Alcaldía. La propuesta debe contemplar:

Normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para

proteger la seguridad del sistema.

Delimitación de responsabilidades para las actuaciones técnicas y organizativas.

Elementos claves como: Integridad, Disponibilidad, Privacidad y aspectos de Control,

Autenticación y Utilidad.
 1

INTRODUCCION

La realización de este documento de políticas de seguridad de la Alcaldía “San Antonio del

SENA” tiene la finalidad de crear un ambiente seguro en las realizaciones de las tareas de cada

una de las dependencias, los requerimientos de seguridad que involucran las tecnologías de la

información, en pocos años han cobrado un gran auge, y más aún con las de carácter

globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de

nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la

aparición de nuevas amenazas en los sistemas computarizados.

Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales

desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y

recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando

problemas en los bienes y servicios de las entidades.

De esta manera, las políticas de seguridad de las TI de la Alcaldía “San Antonio del SENA”

emergen como el instrumento para concientizar a sus miembros acerca de la importancia y

sensibilidad de la información y servicios críticos, de la superación de las fallas y de las

debilidades, de tal forma que permiten a la alcaldía cumplir con su misión.

El proponer esta política de seguridad requiere un alto compromiso con la institución,

agudeza técnica para establecer fallas y deficiencias, constancia para renovar y actualizar dicha

política en función del ambiente dinámico que nos rodea.

 2

OBJETIVOS

Objetivos generales

Mantener la Integridad, Disponibilidad, Privacidad, Control y Autenticidad de la información

manejada en la Alcaldía “San Antonio del SENA”. Los usuarios deben tener disponibles todos

los recursos del sistema cuando así lo deseen.

Objetivos especificos

 Dotar de la información necesaria a los usuarios, empleados y personal en general, de las

normas y mecanismos que deben cumplir y utilizar para proteger el hardware y software de la
Red, así como la información que es procesada y almacenada en estos.

 Proteger los activos de información de la Alcaldía “San Antonio del SENA”, con base en los
criterios de Integridad, Disponibilidad, Privacidad, Control y Autenticidad.

 Administrar los riesgos de seguridad de la información para mantenerlos en niveles

aceptables.

 Sensibilizar y capacitar al personal encargado de manejar las herramientas de las TI y partes

interesadas acerca del Sistema de Gestión de Seguridad de la Información, fortaleciendo el
nivel de conciencia de los mismos, en cuanto a la necesidad de salvaguardar los activos de
información de la Alcaldía “San Antonio del SENA”.

 Monitorear el cumplimiento de los requisitos de seguridad de la información, mediante el uso

de herramientas de diagnóstico, revisiones por parte de la Alta Dirección y auditorías internas
planificadas a intervalos regulares.

 Implementar acciones correctivas y de mejora para el Sistema de Gestión de Seguridad de la

Información de la Alcaldía “San Antonio del SENA”.
 3

ALCANCE

Este manual de políticas de seguridad es elaborado de acuerdo al análisis de riesgos y de

vulnerabilidades en las dependencias de la alcaldía, por consiguiente, el alcance de esta

política se encuentra sujeto a la Alcaldía “San Antonio del SENA”.

Esta política es aplicable a todos los empleados, contratistas, consultores, eventuales y otros

empleados de la Alcaldía “San Antonio del SENA”, incluyendo a todo el personal externo que

cuenten con un equipo conectado a la Red. Esta política es aplicable también a todo el equipo y

servicios propietarios o arrendados que de alguna manera tengan que utilizar local o

remotamente el uso de la Red o recursos tecnológicos de la Alcaldía “San Antonio del SENA”,

así como de los servicios e intercambio de archivos y programas.

Las elaboraciones de las Políticas de Seguridad están fundamentadas bajo la norma ISO/IEC

27002, han sido planteadas, analizadas y revisadas con el fin de no contravenir con las garantías

básicas de los usuarios, y no pretende ser una camisa de fuerza, y más bien muestra una buena

forma de operar los sistemas con seguridad, respetando en todo momento estatutos y reglamentos

internos de la Alcaldía “San Antonio del SENA”.

 Control de acceso (aplicaciones, base de datos, área del Centro de Cómputo, sedes de

Las Empresas filiales).

 Resguardo de la Información.

 Clasificación y control de activos.

 Gestión de las redes.

 Gestión de la continuidad del negocio.

 4

 Seguridad de la Información en los puestos de trabajo.

 Controles de Cambios.

 Protección contra intrusión en software en los sistemas de información.

 Monitoreo de la seguridad.

 Identificación y autenticación.

 Utilización de recursos de seguridad.

 Comunicaciones.

 Privacidad.

POLÍTICA DE RESPALDO DE DATOS

 Las Bases de Datos de la Alcaldía “San Antonio del SENA”, serán respaldadas

periódicamente en forma automática y manual, según los procedimientos generados

para tal efecto.

 Las Bases de Datos deberán tener una réplica en uno o más equipos remotos alojados

en un lugar seguro (Cloud) que permita tener contingencia y continuidad de las

actividades de las dependencias de la Alcaldía “San Antonio del SENA”.

 Los demás respaldos (una copia completa) deberán ser almacenados en un lugar

seguro y distante del sitio de trabajo, en bodegas con los estándares de calidad para

almacenamiento de medios magnéticos.

 Determinar la persona o personas responsables encargadas de realizar y mantener las

copias de seguridad.
 5

 Se deben aplicar los procedimientos que describen cómo hacer las copias y cómo

restaurarlas. De esta forma se minimiza el tiempo necesario de recuperación de los

datos en caso de necesitar una restauración. Se han de revisar anualmente y con cada

cambio importante del inventario de activos de información.

 Se Fijará una periodicidad para realizar pruebas de restauración en las dependencias

de la Alcaldía “San Antonio del SENA” para garantizar que la información necesaria

para la continuidad de las dependencias puede ser recuperada en caso de desastre.

 Se etiquetarán e identificaran los soportes dónde se realizan las copias de seguridad de

manera que se pueda llevar un registro de los soportes sobre los que se ha realizado

alguna copia. Así en el caso de tener que recuperar una información concreta,

agilizaremos el proceso al poder consultar fácilmente en qué soporte se ha

almacenado.
 6

POLÍTICA PARA LA DESTRUCCIÓN DE DOCUMENTOS

 La destrucción física de unidades (CD/DVD) o series documentales sólo debe

realizarse en la Alcaldía “San Antonio del SENA” una vez que han perdido

completamente su valor y su utilidad administrativa y no presenten valor histórico que

justifique su conservación permanente.

 La eliminación debe hacerse en seguimiento estricto a las normas establecidas por el

organismo con capacidad decisoria que establezca los plazos y si la documentación es

de conservación permanente o susceptible de ser eliminada.

 En el caso de que una estación de trabajo llegue al fin de su vida útil, sea transferido o

dañado, el disco de estaciones de trabajo debe ser limpiado de los datos bajo

parámetros de seguridad. Una práctica generalmente aceptada para la limpieza segura

de un disco es sobrescribir con ceros una vez, luego unos y luego datos diferentes al

azar. La desmagnetización es también una práctica aceptada para la limpieza de los

datos de una unidad de disco o de un disco magnético. Una norma de referencia es el

Departamento de Comercio de Estados Unidos, el Instituto Nacional de Normas y

Tecnología, NIST 800-88.

 Destruir los discos duros cuando estos lleguen al final de su vida útil, para garantizar

que los ladrones nunca tengan acceso a la información registradas en estos de la

Alcaldía “San Antonio del SENA”.

 7

POLÍTICA DE INTERNET Y USO DE LA DMZ

 Rechazar conexiones a servicios comprometidos.

 Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico, http, https).

 Proporcionar un único punto de interconexión con el exterior.

 Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet (Red

Interna).

 Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet

 Auditar el tráfico entre el exterior y el interior.

 Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de

red cuentas de usuarios internos.

 Los sistemas que necesiten ser para accedidos desde la Internet pública deben ser

colocados en un segmento de DMZ, el cual es dirigido usando direcciones IP

registradas públicamente. Administración / desktop / shell remoto se deben realizar

con más seguridad, canales autenticados seguros (por ejemplo, las conexiones de red

cifrados usando SSH o IPSEC) o acceso a la consola independiente de las redes DMZ.

Cuando una metodología para las conexiones de canal seguras no está disponible, las

contraseñas de un solo uso deben ser utilizados para todos los niveles de acceso.

 Cualquier información clasificada confidencial o superior de la Alcaldía “San Antonio

del SENA” no se debe almacenar en los dispositivos ubicados en la zona de distensión

(DMZ siglas en inglés). Los datos solo pueden existir en forma necesaria cuando estén

en tránsito hacia su ubicación de almacenamiento final.

 8

POLÍTICA DE RECUPERACIÓN DE DESASTRES

 Todas las aplicaciones de los planes de recuperación de desastres deben incluir lo

siguiente:

o Nombre del propietario de la aplicación e información de contacto

o Propietario técnico e información del contacto _

o Los objetivos de tiempo de recuperación

o Los objetivos de punto de recuperación

o Frecuencia de sincronización de un archivo o imagen _

o Si corresponde, el tipo de protección (replicación basada en archivo o en

bloque)

o Los requisitos de disco duro

 Lista de equipo completo que incluye:

o Procedencia y modelo del servidor

o Capacidad y uso del disco duro

o Ajustes de configuración (dirección IP, etc.)

o Tipo de servidor (web, app, db, etc)

o Arquitectura (física o virtual, 32 o 64 bits, etc)

o Lista de software, incluidas las versiones

 Manual de instrucciones para la recuperación (Reconstruir desde cero).

 Instrucciones de recuperación del sistema de recuperación de desastres aplicable.

 Priorización de todos los servidores del sistema.

 Lista de dependencias, incluyendo otras aplicaciones, red, LDAP, etc.

 9

 El propietario de las aplicaciones y el gerente de TI de la Alcaldía de San Antonio del

Sena son conjuntamente responsables de identificar las aplicaciones que deben

protegerse y comunicarse con el coordinador de recuperación de desastres apropiado.

 Cualquier sistema de recuperación de desastres que se propuesto debe cumplir con los

siguientes estándares globales para la recuperación de desastres, con el fin de considerarse

para su uso:

o Debe ser un sistema autónomo. No puede compartir el almacenamiento de datos con

otros sistemas de producción, de desarrollo o de prueba

o Debe apoyar la tecnología utilizada en los sistemas de producción

o No debe estar en la misma ubicación que los sistemas protegidos

o Debe ser capaz de proteger los datos durante la transferencia o sincronización (es

decir, la encriptación)

o El hardware debe ser suficiente como para apoyar a los sistemas que se están

protegidos (disco duro, memoria RAM, procesador, etc.)

o Credenciales de acceso independientes de los sistemas cubiertos.

 Todos los planes de recuperación de desastres deben ser almacenados digitalmente y

encriptados en un centro de almacenamiento "fuera de sitio", lo cual quiere decir que la

Alcaldía de San Antonio del Sena debe contar con servicios externos para el

Almacenamiento en la Nube como lo son Empresas Especializadas para el Almacenamiento

en la nube como Google, Amazon etc.

 10

POLÍTICA DE PRIVACIDAD DE LOS DATOS

 Minimizar el riesgo en las funciones más importantes de la entidad.

 Cumplir con los principios de seguridad de la información.

 Cumplir con los principios de la función administrativa.

 Mantener la confianza de sus clientes, socios y empleados.

 Apoyar la innovación tecnológica.

 Proteger los activos tecnológicos.

 La Alcaldía “San Antonio del SENA” ha decidido definir, implementar, operar y mejorar de

forma continua un Sistema de Gestión de Seguridad de la Información, soportado en

lineamientos claros alineados a las necesidades de la alcaldía, y a los requerimientos

regulatorios que le aplican a su naturaleza.

 Las responsabilidades frente a la seguridad de la información serán definidas, compartidas,

publicadas y aceptadas por cada uno de los empleados, contratistas o terceros.

 La Alcaldía “San Antonio del SENA” protegerá la información generada, procesada o

resguardada por los procesos de negocio y activos de información que hacen parte de los

mismos.

 La Alcaldía “San Antonio del SENA” protegerá la información creada, procesada,

transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos

financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental

la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o

en custodia.
 11

 La Alcaldía “San Antonio del SENA” protegerá su información de las amenazas originadas

por parte del personal.

 La Alcaldía “San Antonio del SENA” controlará la operación de sus procesos de negocio

garantizando la seguridad de los recursos tecnológicos y las redes de datos.

 La Alcaldía “San Antonio del SENA” implementará control de acceso a la información,

sistemas y recursos de red.

 La Alcaldía “San Antonio del SENA” garantizará que la seguridad sea parte integral del ciclo

de vida de los sistemas de información.

 La Alcaldía “San Antonio del SENA” garantizará la disponibilidad de los procesos de

negocio de las secretarias de la Alcaldía y la continuidad de su operación basado en el

impacto que pueden generar los eventos.

 12

POLÍTICA DE ENCRIPTACIÓN DE LOS DATOS

 El almacenamiento de Tokens en hardware almacenado llaves de cifrado será tratado

como equipo sensible de la Alcaldía “San Antonio del SENA”, como se describe en La

política de Seguridad Física de la empresa cuando se esté fuera de las oficinas de la

empresa. Además, todos los Tokens de hardware, tarjetas inteligentes, Tokens USB, etc.,

no se almacenarán junto o se dejan conectados a la computadora de ningún usuario final

cuando no esté en uso. Para los usuarios finales que estén viajando con los Tokens de

hardware, no deberán de ser almacenados o transportados en el mismo contenedor o bolsa

de la computadora portátil.

 Todos los PINs, contraseñas o pass phrases utilizadas para proteger las llaves de cifrado

deben cumplir con los requisitos de complejidad y longitud descritos en la Política de

Contraseñas de la Empresa.

 La pérdida, robo o posible divulgación no autorizada de cualquier llave/clave de cifrado

cubierto por esta política debe de ser reportado inmediatamente al equipo encargado de la

Alcaldía “San Antonio del SENA”

 Los sistemas simétricos de clave deben utilizar longitudes de clave de al menos 128 bits.
 13

POLÍTICA DE DISPOSITIVOS MÓVILES, TABLETAS, PORTATILES

 Para el uso de dispositivos móviles como equipos portátiles, teléfonos móviles, tabletas,

entre otros, las secretarias de la Alcaldía “San Antonio del SENA” implementaran

controles de acceso, técnicas criptográficas para cifrar la información crítica almacenada

en estos, mecanismos de respaldo de la información que contienen y los demás que se

consideren necesarios y pertinentes para garantizar la seguridad de la información.

 El personal que haga uso del dispositivo móvil, tabletas, portátiles para almacenar o

acceder a la información de la de la Alcaldía “San Antonio del SENA”, deberá:

 Solicitar a la Oficina de sistemas la autorización para ello, aceptando el cumplimiento

de la política de dispositivos móviles por medio de correo electrónico.

 Aceptar las configuraciones de seguridad del dispositivo por medio de correo

electrónico, y estas no podrán modificarse mientras se acceda o almacene información

de algunas de las secretarias de la Alcaldía “San Antonio del SENA”.

 Instalar y configurar un software de antivirus.

 Establecer un mecanismo de control de acceso como contraseña superior a 8 caracteres,

un patrón de seguridad de al menos 7 puntos de contacto, o huella digital.

 Configurar el bloqueo de pantalla para un mínimo de 2 minutos de inactividad.

 Configurar la opción de borrado remoto de información en los dispositivos móviles

institucionales, con el fin de eliminar los datos de dichos dispositivos de forma remota,

en caso de ser requerido.

 Es necesario realizar el cifrado del dispositivo móvil.

 14

 Está prohibido almacenar información personal en los dispositivos móviles, tabletas,

portátiles, etc, asignados por alguna de las secretarias de la Alcaldía “San Antonio del

SENA”.

 Está prohibido realizar instalación de aplicaciones no autorizadas.

 Está prohibido hacer volcado de pila o reinstalación del sistema operativo por parte del

usuario en el dispositivo.

 Configurar sólo las cuentas organizacionales en los dispositivos de la Alcaldía “San

Antonio del SENA” que tendrán acceso a la información de la Entidad.

 Para aquellos dispositivos que no son entregados por la Alcaldía “San Antonio del

SENA”, deben recibir correo de la persona que envió solicitud a Tecnología

“aceptando el cumplimiento la política de dispositivos móviles, así como las

configuraciones de seguridad establecidas”.

 En caso de pérdida o hurto de dispositivos móviles que se conecten o almacenen

información de la Alcaldía “San Antonio del SENA”, se debe reportar la perdida a la

Oficina de sistemas lo más pronto posible.

 15

POLÍTICA DE SEGURIDAD DE REDES

Las redes de diferentes niveles de confianza no se pueden conectar directamente entre sí. Los

dispositivos de filtrado de paquetes (es decir, firewall) se deben utilizar para controlar la

interconexión de estas redes.

 La política por defecto en los filtros de paquetes será de negar todo el tráfico entre

redes.

 Las desviaciones de la política de "negación predeterminada" para las conexiones

entre dispositivos a través de las redes de los diferentes niveles, incluidas las

conexiones físicas y virtuales, requieren aprobaciones de excepción por la alta

gerencia y personal de seguridad de la información. Las reglas de control de acceso

para estas conexiones deben especificar la red y direcciones de aplicación / servicio de

los sistemas que se conecten.

 Los equipos regionales de la red administrarán y mantendrán la distribución y

asignación de direcciones de red de acuerdo con el esquema de asignación de

direccionamiento IP global. Las direcciones empleadas fuera de las redes asignadas y

aprobadas no serán permitidas en la red de la Compañía.

Para estas políticas tomaremos de referencia la siguiente tabla.

Nivel Confianza Nombre Usuarios Sistemas

0 Ninguno Internet Todos Publico
1 Parcial Publico Todos Publico
2 Parcial Extranet Funcionarios Interno
3 Parcial Intranet Funcionarios Interno/Confidencial
4 Total Interno Funcionarios Interno/Confidencial
 16

POLÍTICA DE USO DE RECURSOS DE TECNOLOGIAS DE LA INFORMACIÓN Y

CONTRASEÑAS

 Los usuarios, deben acatar las políticas para el uso y selección de las contraseñas de

acceso, por lo tanto, son responsables de cualquier acción que se realice utilizando el

usuario y contraseña que le sean asignados.

 Las contraseñas son de uso personal y por ningún motivo se deberán prestar o

compartir a otros usuarios.

 Las contraseñas no deberán ser reveladas por vía telefónica, correo electrónico o por

ningún otro medio.

 Las contraseñas no se deben escribir en ningún medio.

 Reportar al área de sistemas sobre cualquier sospecha de que una persona esté

utilizando una contraseña o un usuario que no le pertenece.

 Las contraseñas se deberán cambiar según los requerimientos establecidos por la

Oficina de Tecnologías de la Información y las Comunicaciones de la Alcaldía “San

Antonio del SENA”.

 Los usuarios deberán cambiar las contraseñas la primera vez que usen las cuentas

asignadas.

 Las contraseñas estarán compuestas al menos por: una letra mayúscula, números o

caracteres especiales y su longitud debe ser de mínimo ocho (8) caracteres.

 17

POLÍTICA DE ACCESO REMOTO A LA RED

 El acceso remoto a todos los sistemas de datos de la Alcaldía “San Antonio del

SENA”, sólo se permite en las actividades de administración aprobadas.

 El acceso remoto a todos los sistemas de datos de la Alcaldía “San Antonio del

SENA”, deben adherirse a estrictos controles de contraseña y protección.

 Se requiere autenticación de usuario para obtener acceso a las redes corporativas y el

sistema. Cada usuario que está autorizado a utilizar el acceso remoto tendrá una cuenta

de inicio de sesión único. Queda prohibido el intercambio de cuentas de acceso.

 Equipos o sistemas que se utilizan para las conexiones de acceso remoto no deben

también estar conectados a otras redes durante la sesión de acceso remoto, con la

excepción de las redes personales que están bajo el control completo del usuario. En

circunstancias en las que esto ocurre, el sistema remoto debe estar asegurado por un

cortafuegos (Firewall).

 Todos los equipos que se utilizan para las conexiones de acceso remoto deben cumplir

con las normas de la empresa para la detección de virus.

 18

POLÍTICA DE SOFTWARE COMO UN SERVICIO

 Cumplimiento de la normativa aplicable.

 Acceso y confiabilidad de la red.

 Disposiciones del contrato y la fijación de precios.

 Seguridad de los datos y la ubicación física de los datos.

 Integración con los servicios existentes o planeados al interior de la Alcaldía “San

Antonio del SENA”, aplicaciones y capacidades de la empresa.

 Administración y gobierno de acceso a datos.

 Cumplimiento del contrato del cliente en el uso de estos servicios, según corresponda.

 Cumplimiento de las políticas de la Alcaldía “San Antonio del SENA”.

 Fiabilidad del servicio, compromiso SLA, mantenimiento de la integridad de los datos

y propiedad y control de datos.

 Revisión de las capacidades de seguridad, certificaciones y prácticas del proveedor.

 Revisión de las prácticas y procesos de desarrollo de aplicaciones de los proveedores.

Uso de procesos y herramientas de desarrollo de aplicaciones seguras.

 Capacidades de los proveedores para realizar copias de seguridad y recuperación de

desastres.
 19

POLÍTICA DE SEGURIDAD DE REDES INALAMBRICAS

 Las redes inalámbricas deben emplear el uso de al menos uno de los siguientes

mecanismos de autenticación.

o Implementar protocolo de autenticación extensible (EAP) y IEEE 802.1X para

proporcionar control de acceso autenticado en el punto de acceso inalámbrico

(AP).

o Donde se implementen huéspedes inalámbricos se requiere autenticación de

usuario y autorización de acceso.

 Las redes inalámbricas deben emplear el uso de los siguientes mecanismos de

encriptación.

o AES - Estándar de encriptación avanzado

o WPA2-empresarial con EAP-TTLS - Wi-Fi protegido

o Acceso2.

 La encriptación es obligatoria para cualquier acceso a la red WLAN corporativa.

 Redes de huéspedes inalámbricos no pueden tener acceso a la red de la Alcaldía de

San Antonio del Sena.

 Los Puntos de Acceso (AP) deben estar asegurados físicamente para evitar el robo.

 Sólo se puede usar dispositivos inalámbricos, puntos de acceso, y las redes aprobados

por la administración. El uso y la instalación de los dispositivos inalámbricos o

sistemas no autorizados están prohibido. La instalación o el uso de estos dispositivos

"clandestinos" están sujetos a una acción disciplinaria.

 20

 Las redes WLAN son susceptibles a ataques de negación de servicios; los dispositivos

que requieren alta disponibilidad no deben confiar en redes WLAN como el único

método de conexión.

 Todo el acceso a redes WLAN debe estar registrado y regularmente auditado para

determinar que se cumplan todos los requisitos de la política y que los usuarios no

autorizados sean detectados.

 21

POLÍTICA DE ROLES PARA LA SEGURIDAD INFORMÁTICA

implementar Seguridad de la Información como un sistema real, el primer escalón es la

definición de una estructura organizacional con funciones y responsabilidades para la ejecución

de las actividades que esto conlleve, puesto que la designación del personal a estas tareas es

necesario a tal punto que si no se entregan las responsabilidades para ciertos perfiles no se

obtendrá la eficacia y efectividad que se requiere.

En el momento de asumir un rol, un individuo tiene la responsabilidad de alcanzar ciertos

objetivos trazados conforme a unas determinadas funciones y capacidades descritas para ello, es

así como el establecer los roles y la asignación de un responsable para cada acción definida

dentro de la planeación de seguridad de la información en cada entidad es un aspecto clave para

el correcto funcionamiento del Modelo de Seguridad de la Información.

Otro aspecto a contemplar en esta definición de roles y responsabilidades es la de hacer una

segregación de funciones ya que permite detectar errores involuntarios, y sobre todo evitar

fraude interno en el momento en el cual un solo personaje no tiene la capacidad operacional por

asignación de privilegios, para generar todas las fases de una transacción.

Dado el contexto anterior, las entidades tendrán asegurado que cada actividad establecida

dentro de la etapa de planeación, tenga un responsable claro y de igual forma que cada uno de los

miembros del equipo responsable de la ejecución entiendan claramente sus roles y

responsabilidades.

El Responsable de Seguridad de la información será el líder del proyecto, escogido dentro del

equipo mencionado anteriormente en cada entidad y tendrá las siguientes responsabilidades:

 22

 Aplicar conocimientos, habilidades, herramientas, y técnicas a las actividades propias del

proyecto, de manera que cumpla o exceda las necesidades y expectativas de los

interesados en el mismo.

 Identificar la brecha entre el Modelo de seguridad y privacidad de la información y la

situación de la entidad.

 Generar el cronograma de la implementación del Modelo de Seguridad y privacidad de la

información.

 Coordinar las actividades diarias del equipo y proporcionar apoyo administrativo.

 Encarrilar el proyecto hacia el cumplimiento de la implementación del Modelo de

Seguridad y privacidad de la Información para la entidad.

 Velar por el mantenimiento de la documentación del proyecto, su custodia y protección.

 Liderar la programación de reuniones de seguimiento y velar por la actualización de los

indicadores de gestión del proyecto.

Dentro de la definición de responsables en cada uno de los Dominios entregados en el Marco

de arquitectura Empresarial, está contemplado el papel del responsable de seguridad y privacidad

de la información de la ellos siguientes perfiles:

o Personal de seguridad de la información.

o Un representante del área de Tecnología.

o Un representante del área de Control Interno.

o Un representante del área de Planeación.

o Un representante de sistemas de Gestión de Calidad.

o Un representante del área Jurídica.

o Funcionarios
 23

CONCLUSIONES

Para asegurar la continuidad de operaciones de la alcaldía San Antonio del Sena y cualquier

empresa se deben contar con una política de gestión de calidad que dentro de sus procesos

incluya de manera obligatoria los lineamientos estándar que permitan políticas de seguridad

claras robustas y confiables para el respaldo de la información.

La alta gerencia debe facilitar o brindar los recursos necesarios para la planeación, diseño,

revisión y aprobación de las políticas de seguridad informática.

 24

BIBLIOGRAFÍA

Help Systems. (s.f.). ¿Cómo crear una política de ciberseguridad para su empresa?

https://www.helpsystems.com/es/blog/como-crear-una-politica-de-ciberseguridad-para-

su-empresa.

Universidad Internacional De Valencia. (s.f.). Como Crear Un Plan De Seguridad Informatica

Facilmente. https://www.universidadviu.com/crear-plan-seguridad-informatica-

facilmente/.

Consulta roles y responsabilidades https://www.mintic.gov.co/gestionti/615/articles-

5482_G4_Roles_responsabilidades.pdf fecha recuperación 17-11-2019