2. CAPITULO 1
GENERALIDADES:
OBJETIVOS Y ALCANCE
ARTÍCULO 1: En-core es una empresa de investigación tecnológica con sede
principal en la ciudad de Medellín, el objetivo principal del manual de seguridad de
la información es gestionar la integridad, disponibilidad y confidencialidad de los
datos aplicando los estándares necesarios para permitir alcanzar los logros de la
organización evitando inconvenientes en el manejo de datos.
ARTÍCULO 2: La seguridad de la información es el conjunto de medidas
administrativas, organizativas, físicas, técnicas, legales y educativas dirigidas a
prevenir, detectar y responder a acciones que pongan en riesgo la
confidencialidad, integridad y disponibilidad de la información que se procese,
intercambie, reproduzca y conserve a través de las tecnologías de información.
ARTÍCULO 3: Las políticas y reglamentos estarán alineados a las normas de
manejo de datos conforme a la legislación colombiana y las recomendaciones
internacionales en el manejo de la seguridad de la información.
ARTÍCULO 4: La información, documentos u otros datos que se procese,
intercambie, reproduzca y conserve a través de los medios técnicos de
computación es propiedad intelectual de En-Core. Por lo tanto se considerará
llevar a medidas judiciales el robo o salida de información sin permiso alguno de
las personas a cargo de los productos de información e investigación.
3. CAPITULO II
POLÍTICAS Y PLANES DE SEGURIDAD
INFORMÁTICA Y DE CONTINGENCIA
SECCIÓN 1: GENERALIDADES DE LAS POLÍTICAS, PLAN DE ACCIÓN
Y PLAN DE CONTIGENCIA DE SEGURIDAD INFORMÁTICA EN EN-
CORE.
ARTÍCULO 5: Solo el personal a cargo del manejo del área de tecnología y
sistemas establecerá las regulaciones que rijan sobre la seguridad de la
información que sea procesada, intercambiada, reproducida o almacenada a
través de las tecnologías de información, determinando los tipos de información y
recursos para su protección. También se creará los mecanismos de control para
garantizar el cumplimiento de las regulaciones previstas en este manual.
ARTÍCULO 6: Siempre que se considere necesario se evaluará los elementos de
red y usuarios con el fin de mantener actualizada las políticas de la seguridad de
la información en EN-CORE en casos como:
Cambios en físicos o de organización.
Cambios o nuevos flujo de la información.
Cambio o nuevos recursos de tecnologías de información disponibles.
Nuevos usuarios.
Nuevas herramientas para velar por la seguridad e integridad de la red.
ARTÍCULO 7: El plan de seguridad informática será la base para la dirección de
procedimientos y garantizar los conocimientos mediantes lecciones aprendida
donde se reflejan las políticas, estructura de gestión y el sistema de medidas, para
la Seguridad Informática, teniendo en cuenta los resultados obtenidos en los
análisis de riesgos y vulnerabilidad realizados.
4. ARTÍCULO 8: El Plan de Seguridad Informática su aplicación y cambios, serán
objeto de aprobación y control por parte de los directivos de EN-CORE.
ARTÍCULO 9: El Plan de Contingencia define los procedimientos a realizar ante
posibles amenazas a la seguridad de la información que impidan cumplir con la
disponibilidad, integridad y confidencialidad.
ARTÍCULO 10: El Plan de Contingencia, contendrá las medidas que permitan, en
caso de desastres, la evacuación, preservación y traslado, de los medios y
soportes destinados al procesamiento, intercambio y conservación de información
clasificada o sensible (Ver anexo: Análisis de riesgo).
ARTÍCULO 11: El Plan de Contingencia y su aplicación serán objeto de
aprobación y control por parte de las distintas instancias de EN-CORE.
SECCIÓN 2: SEGURIDAD FÍSICA A ÁREAS DE PRODUCCIÓN,
EXCLUSIVAS Y GESTIÓN DOCUMENTAL
ARTÍCULO 12: Se consideran áreas producción aquellas donde se procese,
intercambie, reproduzca y conserve información vital con cualquier recurso
tecnológico. En las áreas de producción se aplicarán contaran con las siguientes
características:
Serán áreas cerradas donde se manejen equipos con protección de sobre
carga de tensión, riesgo de inundaciones o derrame de líquidos.
En caso ventanas que se comuniquen con el exterior se debe velar por una
posición adecuada que evite que la información y recursos fiscos sean
dañados por acción de vientos o humedad.
ARTÍCULO 13: La entrada o permanencia en las áreas de producción estará en
correspondencia con el nivel de acceso a la información clasificada que se les
haya otorgado a las personas. En el caso del personal de servicios, mantenimiento
de equipos u otro que eventualmente precise permanecer en el área, lo hará
siempre en presencia de las personas responsables y con la identificación visible.
En caso de visitantes deberán registrarse en la entrada de EN-CORE para permitir
registrar su entrada o salida dentro de la empresa.
5. ARTÍCULO 14: El control e seguridad física incluye también la protección de
puntos de datos mediante asociación de direcciones MAC al puerto. Sin embargo
se podrá permitir el acceso de otros dispositivos mediante la solicitud al
departamento de tecnología y sistemas de EN-CORE, la política de acceso físico
a la red sea inalámbrico o cableado se guiara por la tendencia BYOD (Bring Your
Own Device).
ARTÍCULO 15: Se consideran áreas exclusivas aquellas donde los dispositivos de
almacenamiento y procesamiento de la información están ubicados, esta área
incluye el cuarto de datos donde encuentren los servidores, y otros elementos de
la red. Las características de las áreas serán las siguientes:
Protección a descargar eléctricas o sobre voltajes así como el manejo de
energía mediante UPS para evitar el riesgo de pérdida de información ante
apagones o problemas de la red eléctrica.
Suelo falso para evitar problemas de estática en los elementos.
Control físico de acceso mediante la seguridad de puertas de ingreso.
Control de la temperatura de los elementos mediante acondicionamiento de
refrigeración.
ARTÍCULO 16: La entrada o permanencia de las personas en las áreas
exclusivas debe ser controlada, requiriéndose la autorización expresa de la
persona facultada para ello. En el caso del personal de servicio, mantenimiento
de equipos u otro que eventualmente precise permanecer en el área lo hará
siempre en presencia de las personas responsables.
ARTÍCULO 17: Todos los documentos físicos que contengan información
clasificada serán controlados y conservados en la oficina de control de la
información clasificada o en el área responsabilizada, según lo establecido para su
protección y conservación. En lo posible se requerirá la gestión documental para
la digitalización de documentos y la conservación de soportes vitales que
requieran soporte físico según la ley.
6. SECCIÓN 3: SEGURIDAD DE RECURSOS Y APLICACIONES
ARTÍCULO 18: Los requerimientos para la seguridad técnica o lógica serán de
implementación a nivel de software y hardware y estarán en correspondencia
directa con las políticas y modelos de seguridad que para la información se
determinados por los directivos de EN-CORE.
ARTÍCULO 19: Los recursos tecnológicos (tablets, smartphones, computadores u
otros dispositivos) en que se procese, intercambie, reproduzca y conserve
información clasificada o sensible, se les implementarán mecanismos para
identificar y autenticar los usuarios.
ARTÍCULO 20: Siempre que sea factible, se implementarán mecanismos de
control (software de gestión de usuarios) que permitan contar con una traza o
registro de los principales eventos que se ejecuten y puedan ser de interés para la
detección o esclarecimiento ante violaciones de la Seguridad Informática.
ARTÍCULO 21: Solo las aplicaciones aprobadas por el departamento de
tecnología y sistemas serán instaladas o utilizadas en cada dispositivo destinado
al procesamiento de información clasificada o sensible, reunirán los requisitos
siguientes:
Registro de control de aplicación, licencias y funcionalidad.
Cuadro de niveles manejo de la información que permita la aplicación del
control, acorde a los niveles de acceso otorgado a los sujetos informáticos;
Capacidad de registrar todas las operaciones principales, realizadas en el
tratamiento de bases de datos que contengan información clasificada o
sensible.
ARTÍCULO 22: Se adoptarán de medidas de protección contra ataques o
alteraciones no autorizadas, a los mecanismos de seguridad técnica que se
apliquen, tanto a nivel de sistema operativo como de aplicaciones.
ARTÍCULO 23: La copias de respaldo de la información se realizaran diariamente
luego cada día de trabajo, con el fin de recuperarlas o restaurarlas en los casos de
pérdida, destrucción o modificación males intencionados o fortuitos, de acuerdo a
la clasificación o importancia de la información que protegen.
7. ARTÍCULO 24: Los recursos tecnológicos tendrán un registro de hoja de vida que
permita la trazabilidad dentro de la empresa así como los aplicativos requeridos
por cada usuario.
SECCIÓN 4: MANEJO Y VIGILANCIA DE SERVICIOS
ARTÍCULO 25: La reparación o mantenimiento de los equipos destinados al
procesamiento de información clasificada se realizará una vez borrada
físicamente la información. La nueva instalación del equipo se restaura según la
hoja de vida del recurso tecnológico y los permisos del usuario a los procesos.
ARTÍCULO 26: Se prohíbe la utilización, distribución o comercialización de
herramientas de Seguridad Informática que no cuenten con la aprobación del
personal encargado en EN-CORE. El escaneo y manejo de red solo debe ser
manejado por el personal asignado e incluso la persona dedicada dicha tarea,
cualquier software que se use en la organización puede generar una gran ventana
de vulnerabilidad y riesgo.
Las únicas herramientas autorizadas para supervisar los servicios de red serán las
designadas por el PSI autorizado. Se utilizan exclusivamente SATAN y NETLOG.
La gestión de la integridad se realizara únicamente con el software COP, por lo
tanto no se permiten otro tipo de software para el manejo de la integridad de la red
SECCIÓN 5: FUNCIONES Y RESPONSABLES DE LA SEGURIDAD
INFORMATICA.
ARTÍCULO 27: EN-CORE designará a una persona con la experiencia y
confiabilidad suficiente para ser Responsable de la Seguridad Informática.
Cuando las características propias de la entidad y el volumen y dispersión de las
tecnologías de información instaladas, así lo aconsejen, se podrá designar más
de un responsable para la atención de la Seguridad Informática en las diferentes
áreas de trabajo.
ARTÍCULO 28: Son funciones del Responsable de Seguridad Informática en
cada entidad las siguientes:
8. Ser responsable de la aplicación y mantenimiento de los planes de
seguridad informática y de contingencia.
Comunicar a la dirección de EN-CORE cuando en ella no se posean los
productos de seguridad informática actualizados y certificados, de acuerdo
a las normas recogidas en el presente Reglamento, y a las condiciones de
trabajo del área.
Apoyar el trabajo del área de tecnología y sistemas y la área administrativa,
en cuanto al estudio y aplicación del sistema de seguridad a los sistemas
informáticos, con el fin de determinar las causas y condiciones que
propician violaciones en el uso y conservación de estos sistemas y en
la información que se procese en ellos;
Proponer y controlar la capacitación del personal vinculado a esta actividad,
con el objetivo de contribuir al conocimiento y cumplimiento de las medidas
establecidas en el Plan de Seguridad Informática (Ver anexo: gestión de
usuarios).
ARTÍCULO 29: Toda red de computadoras deberá contar para su operación con la
existencia de un Administrador de red que tendrá entre sus funciones básicas:
Vigilar la aplicación de mecanismos que implementen las políticas de
seguridad definidas en la red;
Velar porque la misma sea utilizada para los fines que fue creada;
Activar los mecanismos técnicos y organizativos de respuesta ante los
distintos tipos de acciones nocivas que se identifiquen.
SECCIÓN 6: TRABAJO EN REDES
ARTÍCULO 30: Se prohíbe la conexión de dispositivos a elementos de la red en el
área exclusiva, solo puede ser utilizado por el personal a cargo de dicha área.
ARTÍCULO 31: Son de obligatoria implementación los mecanismos de seguridad
de los cuales están provistas las redes de datos; así como de aquellos que
permitan filtrar o depurar la información que se intercambie, de acuerdo a los
intereses predeterminados por cada una de ellas.
9. CAPITULO III
PRESTACIÓN DE SERVICIOS DE SEGURIDAD
INFORMATICA A TERCEROS.
ARTÍCULO 32: Solo estarán autorizadas a brindar servicios de Seguridad
Informática a terceros aquellas entidades que cuenten con el correspondiente
contrato vigente con EN-CORE según la naturaleza de la empresa de ofrecer
servicios tecnológicos de investigación.
10. ANEXO: ANÁLISIS DE RIESGO
NOMBRE RIESGO (R)
IMPORTANCIA
(W)
RIESGO
EVALUADO
(RXW)
DETALLE
BASE DE DATOS 10 10 100
Esta es la razón de ser de
la empresa porque allí
están almacenados los
detalles de los clientes y
los productos de la
empresa.
SERVIDOR WEB 8 10 80
Es un Equipo costoso por
el tema de los servicios
que están montados.
SWICTH 3 5 15
El swicth es un equipo
activo que se puede
cambiar, resetear y volver
a configurar.
PC 7 3 21
Son los equipos lo cual los
empleados procesan
información se puede
modificar y cambiar
piezas fácilmente.
IMPRESORA 2 1 2
Recurso para la
elaboración de trabajos lo
cual si se daña se cambia
con facilidad.
11. VER ANEXO: GESTIÓN DE USUARIOS
NOMBRE SERVICIO GRUPO DE USUARIOS TIPO DE ACCESO PRIVILEGIOS
Base de Datos
Empleados y
Administración
Local Solo Lectura
Base de Datos
Clientes, Producto y
Presupuesto
Local Solo Lectura
Acceso a Internet Usuario Local Solo Lectura
Servidor Pagina Web
Técnicos de
Mantenimiento
Local Lectura y Escritura.
Acceso a Servidor, Router y
Switch
Administradores de
red
Local y Remoto Lectura y Escritura
Acceso a Equipos Técnicos de Sistemas Local Todos