1.2 Control de Acceso

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN CONTROL DE ACCESOS DEPARTAMENTO DESARROLLO MOVIL

DESIGN SERVICE APPLICATIONS

TIC01SV-16 Rodríguez Anaya Raymundo Rodríguez Rodríguez Jessica Trejo Guerrero César

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 1

Contenido Introducción .............................................................................................................. 2 Objetivo ...................................................................................................................... 3 Alcance ...................................................................................................................... 3 Definiciones................................................................................................................ 3 Política global de seguridad de la información .................................................. 4 Sanciones para las violaciones a las políticas de seguridad de la información ..................................................................................................................................... 5 1 Política de seguridad Control Acceso: .............................................................. 5

Elaborado por: Trejo Guerrero César

Revisado por: Rodríguez Rodríguez Jessica

Autorizado por:

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 2

Introducción La empresa Design Service Applications DSA identifica la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la entidad, razón por la cual es necesario que el instituto establezca un marco en el cual se asegure que la información es protegida de una manera adecuada independientemente de la forma en la que ésta sea manejada, procesada, transportada o almacenada. Este documento describe las políticas y normas de seguridad de la información definidas por la empresa DSA. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables, el capítulo décimo segundo del título primero de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, la norma ISO 27001:2013 y las recomendaciones del estándar ISO 27002:2013. Las políticas incluidas en este manual se constituyen como parte fundamental del sistema de gestión de seguridad de la información de la empresa DSA y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos. La seguridad de la información es una prioridad para la empresa DSA y por tanto es responsabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.

Elaborado por: Trejo Guerrero César

Revisado por: Rodríguez Rodríguez Jessica

Autorizado por:

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 3

Objetivo Establecer los criterios y comportamientos que deben seguir todos los empleados, contratistas y terceros de la Organización, con el fin de velar por la adecuada protección, preservación y salvaguarda de la información y de los sistemas corporativos, respondiendo a los intereses y necesidades organizacionales y dando cumplimiento a los 3 principios de la gestión de la información: Confidencialidad, Integridad y Disponibilidad, acogidos de la mejores prácticas de gestión de la información, implícitas en el estándar internacional ISO/IEC-27001:2005.

Alcance El alcance de las políticas y estándares contempladas en este documento aplica a: 1. Todas las Áreas de la Organización por su condición de gestoras, procesadoras y protectoras de todo tipo de información soportada en cualquier medio físico impreso o electrónico de la Organización. 2. Todos los empleados y contratistas de la Organización, y todo el personal tercero, que hagan uso de los sistemas, plataformas y servicios tecnológicos de la Organización.

Definiciones 

Política

Elaborado por: Trejo Guerrero César

Compendio de directrices que representan una posición de las directivas, para áreas de control específicas que permiten establecer un canal de actuación en relación con los recursos y servicios de la Organización, normalmente soportadas por estándares, mejores prácticas, procedimientos y guías.

Revisado por: Rodríguez Rodríguez Jessica

Autorizado por:

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 4



Seguridad

Determina los riesgos y pretende mitigar los impactos mediante el establecimiento de programas en seguridad de la información y el uso efectivo de recursos; es un proceso continuo de mejora y debe garantizar que las políticas y controles establecidos para la protección de la información deberán revisarse y adecuarse permanentemente ante los nuevos riesgos que se presenten.



Riesgo

Se considera vulnerabilidades, suceder.









como todo tipo de amenazas que pueden

Confidencialidad Se debe entender como la característica de prevenir la circulación de información a personas, entes o sistemas no autorizados. Integridad Se debe entender como la propiedad que busca mantener y proteger la exactitud y estado completo de la información; y garantizar métodos de procesamiento libres de modificaciones no autorizadas. Terceros Todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a la entidad. Vulnerabilidades Son las debilidades, hoyos de seguridad o flaquezas inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por el instituto (amenazas), las cuales se constituyen en fuentes de riesgo.

Política global de seguridad de la información Las Políticas de Seguridad de la Información, surgen como una herramienta institucional para sensibilizar a cada uno de los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algún tipo de relación con la empresa DSA sobre la importancia y sensibilidad de la Elaborado por: Revisado por: Autorizado por: Trejo Guerrero César Rodríguez Rodríguez Jessica

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 5

información y servicios críticos, de tal forma que le permitan desarrollar adecuadamente sus labores y cumplir con su propósito misional.

Sanciones para las violaciones a las políticas de seguridad de la información Las Políticas de Seguridad de la Información pretenden instituir y afianzar la cultura de seguridad de la información entre los funcionarios, personal externo y proveedores de la empresa DSA. Por tal razón, es necesario que las violaciones a las Políticas Seguridad de la Información sean clasificadas, con el objetivo de aplicar medidas correctivas conforme con los niveles de clasificación definidos y mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.

1 Política de seguridad Control Acceso: Objetivo:  Garantizar que todo personal, proveedor y parte interesada, que tenga necesidad de acezar las redes instituciones o recursos de red de la empresa, realicen la actividad siguiendo una serie de lineamientos de seguridad, que contribuyen a preservar la confidencialidad, integridad y disponibilidad de la información del Instituto. Alcance: La Política de Acceso a Redes y Recursos de Red será aplicada por el área de Informática y Comunicaciones, Talento Humano, Contratación, Registro y Control, adicional por el Profesional de Seguridad de la Información, Supervisores de Contrato o Líderes de Área y servidores públicos, proveedores y partes interesadas, que necesiten acceder a las redes institucionales y recursos informáticos de la empresa. Elaborado por: Trejo Guerrero César

Revisado por: Rodríguez Rodríguez Jessica

Autorizado por:

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 6

1.2 Control de accesos a) Del acceso a áreas críticas El área de Informática y Comunicaciones, mediante su líder, debe autorizar las solicitudes de acceso al Data Center, Aula de Seguridad Informática, Centros de Cableado y/o Cuarto de Servidores, adicional, los Visitantes, Proveedores y/o Terceros, siempre deberán estar acompañados del encargado del área, durante su visita a dichas instalaciones. El área de Informática y Comunicaciones debe registrar el ingreso de los Visitantes, Proveedores y/o Terceros al Data Center, Aula de Seguridad Informática, Centros de Cableado y/o Cuarto de Servidores, que están bajo su custodia. El área de Informática y Comunicaciones debe velar porque los recursos de la plataforma tecnológica de la empresa, ubicados en el Data Center, Centros de Cableado y/o Cuarto de Servidores, se encuentran protegidos contra fallas o interrupciones eléctricas.

b) Del control de acceso al equipo de cómputo El Usuario es responsable de utilizar un protector de pantalla con contraseña para evitar que otras personas ingresen a sus archivos o en su defecto de bloquear la maquina mientras se mueva de su sitio de trabajo. Asimismo, siempre que sea posible el hardware deberá estar instalado de tal forma que no permita que visitantes o personas extrañas al INJUPEMP puedan tener acceso a ningún tipo de información, ya sea en pantalla, impresora o cualquier otro dispositivo. El Usuario es responsable de apagar el hardware que tenga asignado cuando tenga que abandonar su estación de trabajo por períodos de tiempo superiores a una (1) hora. Deberá

Elaborado por: Trejo Guerrero César

Revisado por: Rodríguez Rodríguez Jessica

Autorizado por:

DESIGN SERVICE APPLICATIONS

Folio: DM-01-17 Versión: 01 Fecha: 14-09-2017 Página: 7

además bloquear su estación de trabajo durante cualquier ausencia temporal de su puesto de trabajo. Es responsabilidad de la División de Recursos Humanos notificar a la Unidad Técnica de Informática tan pronto un empleado termine su relación laboral con la empresa y trabaje en un Hardware propio, para que proceda a eliminar la información propiedad de la empresa contenida en el equipo y realizar la desinstalación del software Institucional.

SANCIONES Las sanciones a que están sujetos los administradores, responsables de sistemas o usuarios por incumplimiento de sus obligaciones e incurrir en falta a las Políticas señaladas en este documento, son las siguientes: I. II. III. IV.

Llamada de atención de manera verbal o escrita. Suspensión desde 15 días hábiles, hasta el fin del periodo escolar de los servicios en centros y salas de cómputo. Suspensión definitiva de los servicios en salas y centros de cómputo. Reposición o pago de los bienes extraviados, destruidos o deteriorados.

Elaborado por: Trejo Guerrero César

Revisado por: Rodríguez Rodríguez Jessica

Autorizado por: