MANUAL POLITICAS EMPRESA SERGO

HECTOR ESNEYDER MORALES

DIANA MARCELA PIRACHICAN ROBERTO

JENNY MILENA PARADA URIAN

LÍNEA DE ÉNFASIS II

TUNJA

2020
MANUAL POLITICAS EMPRESA SERGO

TUTOR

DANIEL RAMIREZ COLMENAREZ

UNIVERSIDAD UNIREMINGTON

LÍNEA DE ÉNFASIS II

TUNJA

2020
 INTRODUCCIÓN

La información puede existir en diversas formas: impresa o escrita en papel,

almacenada electrónicamente, transmitida por correo o por medios electrónicos,
mostrada en proyecciones o en forma oral en las conversaciones.
La seguridad de la información es la protección de la información contra una amplia
gama de amenazas con el fin de garantizar la continuidad del negocio, minimizar los
riesgos empresariales y maximizar el retorno de las inversiones y oportunidades de
negocio.

La entidad SERGO hará cumplir todas las normas y leyes legales dentro y fuera de
la entidad obteniendo conexiones con la autoridades para hacerlas cumplir.

La entidad SERGO buscará lo mejor forma de hacer cumplir la obligaciones legales

o interna de dichas normas para defender la empresa y a sus internos de problemas
ya sean laborales de infraestructura o de recursos laboral.

Las contramedidas que deben implementarse no solo son soluciones técnicas, sino
también reflejan la capacitación y la toma de conciencia por parte del usuario,
además de reglas claramente definidas.

Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo
tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este
Manual es brindar una perspectiva general de las diferentes políticas las cuales
ayudarán a prevenir los riesgos que se enfrentan en el manejo de la información.
 PROPÓSITO POLÍTICO

El siguiente documento tiene como propósito inicial facilitar a todo personal de la

empresa (SERGO) a sus activos e información requisito y pautas de actuación
necesarios para protegerlos

Estas políticas son útiles a la hora de auditar los sistemas de información de una
empresa, además debe cumplir debe cumplir con los determinados requisitos
legales dependiendo de la naturaleza del negocio y la filosofía de la gerencia.

ALCANCE

Dependiendo de las políticas de nuestra empresa se pueden nombrar diferentes

alcances para cada cargo de los empleados.

La empresa puede contar con diferentes tipos de alcance de sistema de gestión de

calidad para su excelente funcionamiento, para el encargado del área de sistemas
se podría llevar a cabo la mejora continua del software que se utiliza de forma
interna en la organización para poder dar un mejor servicio a sus clientes y así dar
un nuevo modelo de servicios, para los demás empleados de la organización se
establece diferentes metas y unos plazos de tiempo al igual que el estudio y
realización de informes del progreso de la organización basados en mediaciones de
los objetivos para la alta dirección y los contratistas.
 REFERENCIA NORMATIVA

LEY - NORMAS - DECRETOS DESCRIPCIÓN

ley 48 1975 (Convenio Universal sobre Derechos

de Autor, sus protocolos I y II ",
revisada en París el 24 de julio de
1971)

LEY ESTATUTARIA 1581 DE 2012 Por la cual se dictan disposiciones

(Octubre 17) generales para la protección de datos
personales

ley 603 2000 Es aquella que obliga a las empresas a

presentar un informe muy detallado de
gestión empresarial y donde se
demuestre la acreditación de legalidad
de los software utilizados en los
computadores y dispositivos, el gran
objetivo de proteger la propiedad
intelectual y evitar el incremento de la
piratería en el país.

ley 1266 Diciembre 2008 Por la cual se dictan las disposiciones

generales del hábeas data y se regula
el manejo de la información contenida
en bases de datos personales, en
especial la financiera, crediticia,
comercial, de servicios y la proveniente
de terceros países y se dictan otras
disposiciones.

ley 1273 5 Enero 2009 “Por medio del cual se modifica el

Código Penal, se crea un nuevo bien
jurídico tutelado – denominado “De la
Protección de la información y de los
datos”- y se preservan integralmente
los sistemas que utilicen las
 tecnologías de la información y las
comunicaciones, entre otras
disposiciones”.

ley 1341 2009 Por la cual se definen principios y

conceptos sobre la sociedad de la
información y la organización de las
Tecnologías de la Información y las
Comunicaciones TIC, se crea la
Agencia Nacional del Espectro y se
dictan otras disposiciones.

ley 527 1999 "Por medio de la cual se define y

reglamenta el acceso y uso de los
mensajes de datos, del comercio
electrónico y de las firmas digitales, y
se establecen las entidades de
certificación y se dictan otras
disposiciones".

ley 1581 2012 La presente ley tiene por objeto

desarrollar el derecho
constitucional que tienen todas las
personas a conocer, actualizar y
rectificar las
informaciones que se hayan recogido
sobre ellas en bases de datos o
archivos,
y los demás derechos, libertades y
garantías constitucionales a que se
refiere el
artículo 15 de la Constitución Política;
así como el derecho a la información
Consagrado en el artículo 20 de la
misma.

Iso 9126 Es un estándar internacional para la

evaluación del software, se establecen
características para productos de
software.

Iso 17799 Es una norma que fue emitida por la

International Standards Organization
con el lema "Tecnología de la
 Información – Técnicas de seguridad –
Código para la práctica de la gestión
de la seguridad de la información".
El objetivo de la norma ISO/IEC 17799
fue proporcionar una base común para
desarrollar normas de seguridad
dentro de las organizaciones y ser una
práctica eficaz de la gestión de la
seguridad.

Iso 15939 2007 Define un proceso de medición

aplicable a las disciplinas de ingeniería
y gestión de sistemas y software. El
proceso se describe a través de un
modelo que define las actividades del
proceso de medición que se requieren
para especificar adecuadamente qué
información de medición se requiere,
cómo se deben aplicar las medidas y
los resultados del análisis, y cómo
determinar si los resultados del análisis
son válidos. El proceso de medición es
flexible, adaptable y adaptable a las
necesidades de los diferentes
usuarios.

GENERALIDADES

La información es un recurso que, como el resto de los activos, tiene valor para la
Empresa SERGO y por consiguiente debe ser debidamente protegida.

El establecimiento, seguimiento, mejora continua y aplicación de la Política de

Seguridad de la Información garantiza un compromiso ineludible de protección a la
misma frente a una amplia gama de amenazas. Con esta política se contribuye a
minimizar los riesgos asociados de daño y se asegura el eficiente cumplimiento de
las funciones sustantivas de la entidad apoyadas en un correcto sistema de
información.
 DEFINICIONES

- Apelación: Procedimiento judicial mediante el cual se solicita a un juez o

tribunal superior que anule o enmiende la sentencia dictada por otro de
inferior rango por considerarla injusta.
- Activos de la información: Los activos de información son los recursos que
utiliza un Sistema de Gestión de Seguridad de la Información para que las
organizaciones funcionen y consigan los objetivos que se han propuesto por
la alta dirección.
- Sondeos: Averiguación de datos, especialmente mediante una encuesta.
- Revocar: es dejar sin efecto o valor una concesión, un mandato o una
resolución.
- Parametrizar: Declarar parámetros a un sistema de cualquier tipo
- Criptográfico: es en líneas generales, el arte y la técnica de crear mensajes
codificados con procedimientos o claves secretas con el objeto de que no
pueda ser descifrado salvo por la persona a quien está dirigido o que detenta
la clave
- Acceso remoto: consiste en acceder a una computadora a través de otra
diferente. De este modo, las acciones que se llevan a cabo en una
computadora también se ejecutan en la otra.
- Legible: Que se puede leer
- Concernientes quiere decir el que concierne, pertenece, relaciona, atañe,
refiere, compete, interesa o depende, que tiene un vínculo de relación o
pertenencia de algunos elementos o conceptos.
- Token: es una referencia (es decir, un identificador) que regresa a los datos
sensibles a través de un sistema de tokenización.
- Licenciamiento software es el conjunto de permisos que un desarrollador
da para la distribución, uso y/o modificación de la aplicación que desarrolló.
Puede indicar en esta licencia también los plazos de duración
 CUMPLIMENTO

La promulgación de estos políticas deben de estar con un cumplimento

satisfactorio en los siguiente fechas
- junio 2020 - 30%
- septiembre 2020 - 30%
- diciembre 2020 - 40%

POLÍTICAS DEL SGSI(sistemas de gestión de la seguridad de la información)

Alcance: entendiendo la importancia y una adecuada gestión información se ha

comprometido con la implementación de un sistema de gestión de seguridad
buscando establecer un marco de confianza en el ejercicio de sus deberes con el
estado y los ciudadanos , todo demarcado en el estricto cumplimento de las leyes
en corcondancia con la misión y visión de la entidad.
La protección de la información busca la disminución del impacto generado sobre
sus activos por los riesgos identificados de manera sistemática con objeto de
mantener un nivel de exposición que permita responder por la integridad,
confidencialidad y la disponibilidad de la misma.

Objetivos
- Minimizar los riesgos en las funciones más importantes de la empresa
SERGO.
- Cumplir con los principios de seguridad de la información.
- Cumplir con los principios de la función administrativa .
- Mantener la confianza de sus socios y empleados.
- Apoyar la innovación tecnológica
- Proteger los activos tecnológicos
- Establecer la cultura de la seguridad de la información en los funcionarios.
terceros aprendices, practicantes y clientes.
- Establecer las políticas, procedimientos e instructivos en materia de
seguridad de la información.
 POLÍTICAS

REVISIÓN POLÍTICA

La empresa SERGO hará la revisión cada semestre de las políticas planteadas y

así tener un mayor control y la seguridad de que las política se estén cumpliendo
a cabalidad.

ROLES Y RESPONSABILIDADES

ROL RESPONSABILIDAD

GERENTE GENERAL es el responsable legal de la empresa y

en ese sentido deberá velar por el
cumplimiento de todos los requisitos
legales que afecten los negocios y
operaciones de ésta. La duración del
cargo es indefinida pudiendo ser
removido en cualquier momento por el
Directorio o por la JGA.

GERENTE COMERCIAL En principio, los Gerentes Comerciales

dirigen y supervisan al personal de un
establecimiento comercial, en virtud de
ello, planifican, organizan, controlan,
ordenan y evalúan las operaciones del
comercio dedicado a la venta de
producto o prestación de servicios.

ASESOR COMERCIAL Conocer acertadamente los productos y

servicios de la organización. Asesorar
de manera real y objetiva a los clientes
y sus necesidades. Orientar, ayudar y
manejar el grupo de asesores del punto
de venta. Administrar coherentemente
su agenda de trabajo.

INGENIERO DE SISTEMA Diseñar, programar, aplicar y mantener

sistemas informáticos. Administrar
redes y sistemas de información.
Optimizar los datos que maneja una
empresa. Investigar para crear software
y hardware en una empresa u
organización.
 CONTACTO CON AUTORIDADES Y GRUPOS DE INTERÉS

La Entidad SERGO establecerá conexión con autoridades y grupos

para la protección y el cumplimiento de las leyes velando la información.

No se compartirá información con las empresas de la misma competencia

La Entidad SERGO se comunicara con la Policía en caso que haya fraude de
la información

Una de las funciones de la autoridad de protección de datos (APD) es publicar

asesoramiento experto sobre cuestiones relativas a la protección de datos. Esta
informa al público general sobre los derechos y obligaciones relacionados con la
protección de datos y, en particular, el Reglamento general de protección de datos
(RGPD)

La autoridad Gaula se tendrá en cuenta en dado que se presente un robo de la

información y se genere extorsión.
.
La Dirección de Investigación Criminal e INTERPOL de la Policía Nacional
ANTI PHISHING WORKING GROUP: Es una organización internacional sin ánimo
de lucro para entornos industriales y de cumplimiento de la ley con el objetivo de
eliminar el fraude , el crimen y el robo de identidad como resultado de las
actividades de phishing, pharming,malware y suplantación de correo electrónico.

CWE: Ofrece un conjunto unificado y medible de las debilidades de software que

permite una más eficaz discusión,descripción,selección y uso de herramientas de
seguridad de software y servicios.Permite una mejor comprensión y manejo de las
debilidades de software relacionados con la arquitectura y el diseño.

ESET: consejos de seguridad para el uso seguro del ordenador y de la información

sensible y personal.

MCAFEE: alerta de amenazas y advertirá sobre las descargas más

peligrosas,popups y el spam sospechoso para que pueda mantenerse a la
vanguardia de las actividades de delincuentes y mantener su pc y la información
segura y protegida.
 POLÍTICAS DE DISPOSITIVOS MÓVILES Y TELETRABAJO

ASIGNACIÓN DE DISPOSITIVOS: Elabora un procedimiento de solicitud y

asignación de los dispositivos móviles corporativos.

REGISTRO DE EQUIPOS: Mantiene un registro de los dispositivo móvil asignados.

Registra el uso que se le da al dispositivo móvil, así como el software y hardware
que son requeridos por el empleado.

MANTENIMIENTO DE DISPOSITIVOS: Elabora un formulario de solicitud de

cambios en el dispositivo.
PROTECCIÓN DE LA BIOS: Configurar el acceso a la BIOS mediante contraseña.
ALMACENAMIENTO DE LA INFORMACIÓN : No almacenar información
corporativa que no sea estrictamente necesaria el desarrollo del trabajo.
USO DEL PUESTO DE TRABAJO: Aplicar las normas recogidas en la políticas de
uso del puesto de trabajo.
RESPONSABILIDADES: conoce las responsabilidades que conlleva el uso de
dispositivos corporativos y aplicar las normas de seguridad correspondiente

Los dispositivos móviles que hagan uso de información de la Entidad SERGO o que
se conecten a su red se deben acoger a las políticas de seguridad de la información
definidas en el presente manual.
• Al conectar un dispositivo a la red de la Entidad SERGO, el propietario del
dispositivo acepta las políticas definidas en el presente manual y así mismo, las
disposiciones que éstas determinen.
• El Ingeniero de sistemas debe disponer de un mecanismo de conexión seguro que
garantice que las conexiones de teletrabajo autorizadas por la Escuela se realizan
de forma segura y se protegen los activos de información en uso

CAPACITACIÓN Y/0 ENTRENAMIENTO

Esta política se centra en la formación del personal en temas relacionados con la

seguridad de la información, cuya finalidad es disminuir las vulnerabilidades y
amenazas relacionadas con el recurso humano.

Dicha política debe contener los siguientes parámetros.

- Las capacitaciones debe ser realizadas por el encargado del Ingeniero de

sistemas, buscando con ellas la sensibilización y entrenamiento sobre la
seguridad de la información.
- Deben participar a los eventos y/o capacitaciones los miembros de la
empresa SERGO
Revisión periódica de resultados de capacitaciones para mejoramiento de los
procesos.
 - Definir los roles y responsabilidades de quienes diseñan los programa,
quienes los comunicarán.
- Documentación sobre planes de estudio y desarrollo de los programas.
- Compromisos y obligaciones por parte del personal capacitado.
- Contener políticas adicionales relacionadas directamente con el debido
comportamiento de los usuarios como las siguientes:
Política De Escritorio Limpio o Política De Uso Aceptable o Ética Empresarial

PROCESOS DISCIPLINARIOS

CITACIÓN DE AUDIENCIA DE DESCARGOS: Es un proceso disciplinario persona

a quien se imputan las conductas que conlleven a una posible sanción. La citación
por escrito al trabajador a una audiencia de descargo debe contener.
La fecha, hora y lugar en que va realizarse la audiencia.
Formulación de los cargos imputados,mostrar cada una de las pruebas que
fundamentan los cargos.
En el caso de proceder, la indicación de que puede estar acompañado por dos
compañeros de trabajo.
Firma del trabajador y de la persona facultada por el RIT, para efectuar procesos
disciplinarios
AUDIENCIA DE DESCARGOS Y LEVANTAMIENTO DE ACTA: Escuchado el
trabajador en descargos, practicadas las pruebas solicitadas por este y probada la
existencia de la falta disciplinaria, se decidirá, de conformidad con las normas del
reglamento interno de trabajo, la imposición de la sanción disciplinaria,notificando al
trabajador los efectos de las misma y advirtiéndole que puede impugnar la decisión
disciplinaria.
En materia de despidos el trabajador tiene la carga de demostrar que la terminación
del contrato fue a instancia del empleador, y este último le corresponde demostrar
que el despido se basó en la causas esgrimidas en el documento con el que
comunicó su decisión, de allí la importancia de contar con pruebas que permitan
demostrar la causa de terminación del contrato.
COMUNICADO DE LA IMPOSICIÓN DE LA SANCIÓN O CIERRE DEL PROCESO
DISCIPLINARIO: Si luego de haber realizado los descargos se decide no aplicar la
sanción debe comunicarse por escrito igualmente al trabajador, que se dará por
cerrado el proceso disciplinario.
RECURSO FRENTE A LA DECISIÓN Y TRÁMITE DEL MISMO: Ante el
comunicado de imposición de la sanción disciplinaria el trabajador debe tener la
oportunidad de convertir mediante recurso de apelación, en el término que se
indique en el reglamento interno de trabajo.
El uso masivo. de internet, ha propiciado que en la mayor parte de los casos se
produzcan intromisiones en la intimidad de la red personal o empresarial por parte
de personas y organizaciones con distintas finalidades.

Ataque solo con texto cifrado: esta es la peor situación posible para el criptoanalista,
ya que se presenta cuando solo conoce el criptograma.
Ataque con texto original conocido: consiste en que el criptoanalista tiene acceso a
una sola correspondencia del texto inicial y cifrado.ejemplo cuando se conoce el
tema de que trata el mensaje, pues eso proporciona una correspondencia entre las
palabras más probables y repetidas.
Ataque con texto cifrado escogido: se presenta cuando el enemigo puede obtener el
texto original correspondiente a determinados textos cifrados de su elección.
Retomando a estos casos se podría decir que rompiendo con las normas
establecidas de la empresa SERGO en el manual interno de ella, se hace los
respectivos seguimientos para las sanciones y detención de la persona que faltó a
faltó a la norma según el caso y la gravedad de la información que se hurto se inicia
se inicia un proceso como la denuncia ante los administrativos de la empresa que
que podría ser verbal o escrita, narrando de forma clara lo sucedido dependiendo la
dependiendo la gravedad de lo sucedido se podría llamar a las autoridades
competentes para así realizar los procedimientos que ellos acaten recordando que
recordando que la protección de datos ha sido violada por tal motivo es un delito
delito informático y tiene como consecuencia una sanción de 1 semana descontada
descontada del salario y si la información es de vital importancia se debe hacer el
hacer el despido inmediato con llamado de atención directo a la hoja de vida de la
de la persona que cometió el delito.

INTERCAMBIO DE INFORMACIÓN INTERNA- EXTERNA

La Entidad SERGO, asegurará la protección de la información en el momento de

ser transferida o intercambiada con otras entidades y establecerá los
procedimientos y controles necesarios para el intercambio de información; así
mismo, se establecerán Acuerdos de Confidencialidad o de Intercambio de
Información con las terceras partes con quienes se realice dicho intercambio. La
Entidad velará por el uso de tecnologías informáticas y de telecomunicaciones para
llevar a cabo el intercambio de información; sin embargo, establecerá directrices
para el intercambio de información en medio físico.
Cuando esto ocurra es necesario establecer una política que acoja a todos los
medios de intercambio que la organización emplee. Los aspectos que esta política
debería incluir son:
● Establecer acuerdos respecto al intercambio de información con personal
externo. La información suministrada debe ser por medio de correo
electrónico o en documentos no editables (PDF)
● Distribuidores: pedidos de venta, información sobre la competencia,
reclamaciones y quejas de cliente.
● Clientes: sondeos para una investigación de mercado, sugerencias,
reclamaciones y quejas
● Proveedores: información sobre nuevos productos y servicios, ofertas.
● Publicaciones especializadas sobre información empresarial general y
sectorial.
● Noticias divulgadas por los propios competidores.
● Las firmas de consultoría que venden información
● Realizar acuerdos con los transportadores para efectuar un envío de
información seguro e información verídica
● Un acuerdo entre partes que indique el modo de autenticación, los requisitos
de confidencialidad e integridad, evidencias de envío y recepción, y la
verificación de la información de pago.
● Protección de la información implicada.
● Utilizar protocolos de información seguros en la información intercambiada.
● Proteger la información que se pone a disposición del público contra
modificaciones no autorizadas.
● Definir controles de integridad de la información pública.
● Realizar pruebas que verifiquen la fortaleza del servidor.
● Establecer controles de mensajería física para que durante el
transporte verificar que no fue accedido por alguien no autorizado.
● Para garantizar a sus clientes que es seguro a través de controles de:
● Verificación. Integridad de la información.
● Confidencialidad de la información tratada.
● Certeza del envío.
● Métodos de pago.
● Aseguramiento de las responsabilidades de los incidentes producidos.
El Gerente General, en acompañamiento con el Ingeniero de sistemas, debe definir
los modelos de Acuerdos de Confidencialidad y de intercambio de información entre
la Entidad SERGO y terceras partes incluyendo los compromisos adquiridos y las
penalidades civiles o penales por el incumplimiento de dichos acuerdos.

• Entre los aspectos a considerar se debe incluir:

– La prohibición de divulgar la información entregada por parte de la Entidad a los

terceros con quienes se establecen estos acuerdos.

El Ingeniero de sistemas debe velar porque el intercambio de información con

entidades externas se realice en cumplimiento del Manual de Políticas de
Seguridad, los Acuerdos de Intercambio de Información y el procedimiento definido
para dicho intercambio de información.

• El Gerente General, Gerente Comercial y Asesores Comerciales deben utilizar

únicamente los mecanismos y herramientas proporcionadas por el Ingeniero de
sistemas para el envío o recepción de información confidencial para la Entidad.

• El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas no deben revelar o intercambiar información confidencial de la Entidad por
ningún medio, sin contar con la debida autorización.

.
 GESTIÓN DE ACTIVOS

La información, los sistemas, los servicios y los equipos (estaciones de trabajo,

equipos portátiles, impresoras, redes, Internet, Servidores, aplicaciones, teléfonos,
entre otros) de la Empresa SERGO , son activos de la entidad y se proporcionan a
los funcionarios y a terceros autorizados, para cumplir con los propósitos de la
entidad. Todos los activos de información de la Entidad, deben ser asignados a un
responsable, inventariados y posteriormente clasificados, de acuerdo con los
requerimientos y los criterios que se parametrizan en la GUÍA DE CLASIFICACIÓN
DE LA INFORMACIÓN.

RESPONSABILIDAD DE LOS ACTIVOS POR LA INFORMACIÓN

• El Gerente General, debe actuar como responsable de la información física

y electrónica de la dependencia a cargo, ejerciendo así la facultad de aprobar o
revocar el acceso a su información con los perfiles adecuados para tal fin.

• El Gerente General, como responsable de los activos de información debe

generar un inventario de dichos activos para las áreas o procesos que lideran,
acogiendo las indicaciones de la guía de clasificación de la información con el apoyo
del Ingeniero de sistemas

• El Gerente General y el Ingeniero de sistemas como responsable de los activos de

información debe monitorear periódicamente la validez de los usuarios y sus perfiles
de acceso a la información cada seis meses.

• El Gerente General, Gerente comercial y asesores comerciales deben utilizar los

recursos tecnológicos de la Entidad,con el único objetivo de llevar a cabo las labores
asignadas al cargo; por consiguiente,no deben ser utilizados para fines ajenos a
este.

• Si el Gerente General, Gerente comercial y asesores comerciales necesitan utilizar

equipos propios diferentes a los proporcionados por la Entidad, deben solicitar la
autorización, verificación y registro con el encargado

• Todos los miembros de la Entidad y terceros deben cumplir con los controles
mínimos de seguridad establecidos (antivirus, sistema operativo con ciertos parches
de seguridad), para poder conectarse a la red de la Entidad

• El Gerente General, Gerente comercial y asesores comerciales necesitan instalar,

hacer uso o compartir software (libre o propio) en los recursos proporcionados por la
Entidad, deben solicitar la autorización, verificación y registro con el Ingeniero de
sistemas

•El Gerente General, Gerente comercial y asesores comerciales en el momento de

desvinculación o cambio de labores, deben realizar la entrega de su puesto de
trabajo al Administrador o a quien éste delegue; así mismo, deben encontrarse a
paz y salvo con la entrega de los recursos tecnológicos y otros activos de
información suministrados en el momento de su vinculación.

• El Ingeniero de sistemas debe establecer un inventario con el software y sistemas

de información que se encuentran permitidos en las estaciones de trabajo de la
Entidad para el desarrollo de las actividades laborales, así como verificar
periódicamente que el software instalado en dichas estaciones de trabajo o equipos
móviles corresponda únicamente al permitido.

El Gerente General, Gerente comercial y asesores comerciales deben cumplir con

los lineamientos establecidos en el manual de clasificación de la Información para el
acceso, divulgación, almacenamiento, copia, transmisión, etiquetado y eliminación
de la información contenida en los recursos tecnológicos, así como de la
información física de la Entidad.

. • El Gerente General, Gerente comercial y asesores comerciales deben tener en

cuenta estas consideraciones cuando imprimen, escanean, saquen copias y envíen
faxes:

Verificar las áreas vecinas a impresoras, escáneres, fotocopiadoras y máquinas de

fax para asegurarse que no quedaron documentos relacionados o adicionales.

Recoger de las impresoras, escáneres, fotocopiadoras y máquinas de fax,

inmediatamente los documentos confidenciales para evitar su divulgación no
autorizada

. • El Gerente General, Gerente comercial y asesores comerciales deben asegurar

que los documentos y medios de almacenamiento que contengan información
sensible, no queden de forma desprotegida en el momento de ausentarse de su
puesto de trabajo.

• El Gerente General, Gerente comercial y asesores comerciales deben proteger la

información física de la Entidad, utilizando los medios de almacenamiento y
resguardo de los que dispongan.
 ASIGNACIÓN DE ACTIVOS REDES

El Ingeniero de sistemas como responsable de las redes de datos y los recursos de

red de la Entidad, debe velar porque dichas redes sean debidamente protegidas
contra accesos no autorizados por medio de mecanismos de control de acceso
lógico.

• El Ingeniero de sistemas debe establecer un procedimiento de autorización y

controles para proteger el acceso a las redes de datos y los recursos de red de la
Entidad.

• El Ingeniero de sistemas debe asegurar que las redes inalámbricas cuenten con
mecanismos de autenticación que evite los accesos no autorizados.

• El Ingeniero de sistemas debe establecer controles para la identificación y

autenticación de los usuarios provistos por terceras partes a las redes o recursos de
red de la Entidad, así como velar por la aceptación de las responsabilidades de
dichos terceros en cuanto a las Políticas de Seguridad de la Información.

•El Ingeniero de sistemas debe suministrar una herramienta para realizar

conexiones remotas a la red de área local de la Entidad SERGO de manera segura
para los profesores y administrativos que por su labor así lo requiera, la cual debe
ser aprobada, registrada y auditada.

• El Ingeniero de sistemas debe contar con un procedimiento de creación de

cuentas, donde estén definidas las condiciones de autorización y acuerdos de
confidencialidad respectivos.

• El Gerente General, Gerente comercial y asesores comerciales deben contar con

el Acuerdo de Seguridad firmado, otorgado por recursos humanos y la autorización
de creación de cuentas otorgado por el jefe inmediato, para tener acceso lógico a
los sistemas de información de la Entidad SERGO, según sea el caso.

• El Gerente General, Gerente comercial , asesores comerciales y terceros que

deseen que los equipos de cómputo personales accedan a la red de datos de la
Entidad SERGO deben cumplir con todos los requisitos o controles para
autenticarse en ésta y únicamente podrán realizar las tareas para las que fueron
autorizados
 GESTIÓN DE MEDIOS REMOVIBLES

La Entidad SERGO evitará la divulgación no autorizada, la modificación, eliminación

o destrucción de la información almacenada en los medios de almacenamiento
dispuestos para tal fin.

El uso de medios removibles (Dispositivos USB, Discos Duros portátiles, CD, DVD,
Blu-ray, etc.) en SERGO está restringido en sentido de escritura de información, los
medios removibles no están autorizados como opción de respaldo de información.
Todo medio de almacenamiento removible usado en las estaciones de trabajo de la
Entidad SERGO debe ser escaneado mediante el software antimalware
suministrado por la entidad.

El Ingeniero de sistemas, como responsable de proporcionar los medios,

mecanismos o herramientas tecnológicas realizará la gestión de medios extraíbles
de acuerdo a las necesidades de cada usuario respecto a las labores
desempeñadas.

• Los equipos de cómputo tienen autorizado el manejo de USB y unidades

reproductoras de CD/DVD, por lo tanto, deben cumplir con los siguientes requisitos:

– Tener habilitado el escaneo automático de virus.

– Tener configurado en el software de antivirus el bloqueo de la reproducción
automáticas de archivos ejecutables.

Confidencialidad: Si el archivo pertenece a la Clasificación, Confidencial o Público

Reservado, debe hacerse uso del Software de Cifrado autorizado por SERGO.
Integridad: Si el archivo tiene una clasificación de Alto o Muy Alto en la propiedad
de Integridad debe ser comprobado por Resumen Criptográfico (HASH).
Disponibilidad: Consideraciones sobre quien recibe los datos y el formato en que
debe leerlos, teniendo en cuenta que si es cifrado, debe contar con las llaves de
acceso.
Activo: Cualquier elemento que tiene valor para la organización y que para Gestión
de riesgos de seguridad de la información se consideran los siguientes: redes,
hardware, información, ubicación, personal, procesos y actividades del negocio,
software y estructura organizacional. [Fuente: ISO 27005].
Hash: Los hash o funciones de resumen son algoritmos que consiguen crear a partir
de una entrada (ya sea un texto, una contraseña o un archivo, por ejemplo) una
salida alfanumérica de longitud normalmente fija que representa un resumen de
toda la información que se le ha dado (es decir, a partir de los datos de la entrada
crea una cadena que solo puede volverse a crear con esos mismos datos) . En
síntesis los hash son series alfanuméricas que ayudan a determinar si la
información digital ha sido modificada.
El Ingeniero de sistemas debe velar porque la información será eliminada de los
medios de almacenamiento de forma segura cuando ya no sea necesaria, utilizando
procedimientos y herramientas de borrado seguro, garantizando que no queden
rastros de esta.

DISPOSICIÓN DE MEDIOS

La Entidad SERGO, tiene el compromiso de la generación de copias de respaldo y

almacenamiento de su información confidencial, proporcionando los recursos
necesarios y estableciendo los procedimientos y mecanismos para la realización de
estas actividades.
• Las áreas propietarias de la información, con el apoyo del Ingeniero de sistemas,
serán las encargadas de la generación de las copias de respaldo, se definirá la
estrategia a seguir y los periodos de retención para el respaldo y almacenamiento
de la información.
• Así mismo, se velará porque los medios magnéticos que contienen información de
la Entidad SERGO sean almacenados en una ubicación diferente a las
instalaciones donde se encuentra disponible. El sitio externo donde se resguarden
las copias de respaldo debe contar con los controles de
seguridad física y medioambiental apropiados.

Para una correcta realización y seguridad de backups se deberán tener en cuenta

estos puntos:
• El Ingeniero de sistemas debe contar con un procedimiento de respaldo de los
sistemas operativos y de la información de los usuarios, para poder realizar una
reinstalación en caso de sufrir un percance.

• El Ingeniero de sistemas debe determinar los medios y herramientas correctos

para realizar los backups, teniendo en cuenta los espacios necesarios, tiempos de
lectura escritura, tipo de backup a realizar, etc.

• El Ingeniero de sistemas debe realizar el almacenamiento de los backups en

lugares diferentes de donde reside la información principal. De 48 este modo se
evita la pérdida total si hay un desastre que afecte todas las instalaciones de la
institución.
• El Ingeniero de sistemas debe verificar la integridad de los backups que se están
almacenando, de acuerdo con el procedimiento de revisión periódica de estos, con
el fin de asegurar que al momento de requerir restaurar alguno de ellos funcione
como se espera.

• El Ingeniero de sistemas debe contar con un procedimiento adecuado para

garantizar la integridad física de los respaldos, en previsión de robo, destrucción o
pérdida.
 • El Ingeniero de sistemas debe contar con un procedimiento previamente definido
para borrar físicamente la información de los medios de almacenamiento, antes de
desecharlos.

• La Oficina de Sistemas y Recursos Informáticos (Osiris) debe provisionar equipos

de hardware con características similares a los utilizados para el proceso normal de
la operación de la Entidad SERGO, en condiciones necesarias para entrar en
funcionamiento en caso de desastres físicos.

• El Gerente General, Gerente Comercial y Asesores Comerciales para el caso de

la información confidencial, deben realizar el respaldo diario de las modificaciones
efectuadas y guardar respaldos históricos semanalmente de dicha información
mediante los mecanismos o herramientas proporcionadas por el Ingeniero de
sistemas
• El Gerente General, Gerente Comercial y Asesores Comerciales para el caso de
la información pública deben realizar el respaldo de ésta a criterio propio.

• El Ingeniero de sistemas debe asegurar reproducir toda la información necesaria

para la posterior recuperación sin pasos secundarios, esto para tener un plan de
contingencia y poner en práctica, de alguna manera, la continuidad del negocio.

El Ingeniero de sistemas debe determinar los roles de usuario, según su

responsabilidad y tareas asignadas dentro de la Escuela, que intervienen dentro del
proceso de backups:
– Administrador de backups: persona encargada de realizar los backups.
– Transportador: encargado de llevar los backups fuera de las instalaciones de la
institución.
– Probador: Encargado de probar backups cada cierto período de tiempo.

GESTIÓN DE ACCESO USUARIO

La Entidad SERGO establecerá privilegios para el control de acceso lógico de cada

usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los
sistemas de información de la Entidad SERGO. Así mismo, velará porque El
Gerente General, Gerente comercial , asesores comerciales y el personal provisto
por terceras partes tengan acceso únicamente a la información necesaria para el
desarrollo de sus labores y la asignación de los derechos de acceso esté regulada
por normas y procedimientos establecidos para tal fin.

• El Ingeniero de sistemas debe establecer un procedimiento formal para la

administración de los usuarios en las redes de datos, los recursos tecnológicos y
sistemas de información de la Entidad; que contemple la creación, modificación,
bloqueo o eliminación de las cuentas de usuario.
 • El Gerente General y los encargados de cada área deben gestionar la creación,
modificación, bloqueo o eliminación de los usuarios y permisos a los diferentes
sistemas de información y recursos tecnológicos ante el encargado del área de
sistemas quien ejecutará las labores a nivel tecnológico.

• El Ingeniero de sistemas debe definir los lineamientos para las características que
deben contener las contraseñas que se aplicarán sobre la plataforma tecnológica,
los servicios de red y los sistemas de información.

• El Ingeniero de sistemas debe establecer un procedimiento que asegure la

eliminación, reasignación o bloqueo de los privilegios de acceso otorgados sobre los
recursos tecnológicos, los servicios de red y los sistemas de información de manera
oportuna.

• El Ingeniero de sistemas debe asegurarse que los usuarios o perfiles de usuario,

que tienen asignados por defecto los diferentes recursos de la plataforma
tecnológica, sean inhabilitados o eliminados.

• El Ingeniero de sistemas en conjunto con los propietarios de los activos de

información deben autorizar la creación o modificación de las cuentas de acceso de
los recursos tecnológicos y sistemas de información de la institución, según sea el
caso.

Garantizar el acceso a los usuarios autorizados e impedir los accesos no

autorizados a los sistemas de información.

Garantizar el acceso a los usuarios autorizados e impedir los accesos no

autorizados a los sistemas de información.

Cree la función diferenciada de "administrador de seguridad", con responsabilidades

operativas para aplicar las reglas de control de acceso definidas por los propietarios
de las aplicaciones y la dirección de seguridad de la información.

Política de usuarios y grupos: Definen los roles de usuarios y de grupos en

función del tipo de información al que podrán acceder.
Asignación de permiso: Asignas los permisos necesarios para que cada usuario o
grupo de usuarios solo puedan realizar las acciones oportunas sobre la información
a la que tienen acceso.
Creación/modificación/borrado de cuentas de usuario con permisos: Definir y
aplicar un procedimiento para dar de alta/baja o modificar las cuentas de usuario.
Revisión de permisos: Revisar cada cierto tiempo que los permisos concedidos a
los usuarios son los adecuados.
Revocación de permisos y eliminación de cuentas: Desactivar los permisos de
acceso y eliminas las cuentas de usuario una vez finalizada la relación contractual.

El Ingeniero de sistemas debe registrar todos los usuarios en la Base de Datos de

Usuarios y Roles.
• La creación de un nuevo usuario o solicitud para la asignación de otros roles
dentro de cualquier sistema de información, deberá acompañarse por el reporte
debidamente firmado por el Gerente General de lo contrario no se le dará trámite a
la requisición

POLÍTICAS ACCESO A LOS RECURSOS DE LA INFORMACIÓN

Controlar quien accede a la información de nuestra empresa es un primer paso para

protegerla. Es esencial que podamos decidir quién tiene permisos para acceder a
nuestra información, como, cuando y con qué finalidad

Política de usuarios y grupos. Definiremos una serie de grupos que tendrán

determinados accesos para cada tipo de información establecido. Esta clasificación
se puede hacer teniendo en cuenta los siguientes aspectos:

- en función del área o departamento al que pertenezca el empleado.

- en función del tipo de información a la que accede
- en función de las operaciones permitidas sobre la información a la que se
tiene acceso.

se diligencia en la manipulación y el uso de los equipos informáticos y de toda la

infraestructura complementaria puestos a su disposición. Los equipos no deben
presentar configuraciones ni operar con software o dispositivos que causen
problemas en la red o a otros equipos conectados a ella.

El uso de los recursos para fines privados, personales, lúdicos u otros no

estrictamente relacionados con las actividades propias de la SERGO, salvo que
medie autorización.

La distribución y uso de material que viole los derechos de propiedad intelectual.

Proporcionar acceso externo desde la propia red de comunicaciones, mediante la

instalación de dispositivos de acceso remoto, salvo expresa autorización del órgano
competente en esta materia.
La empresa SERGO usará Restricciones de acceso a la Información

• Todos los miembros de la Entidad SERGO y terceros serán responsables por las
credenciales (usuario y contraseña) que le sean asignadas y que reciben para el
uso y acceso de los recursos.

• Ningún usuario (El Gerente General, Gerente Comercial y Asesores Comerciales)

recibirá credenciales de acceso a la plataforma tecnológica, los servicios de red y
los sistemas de información o aplicaciones, hasta que no acepte formalmente la
Política de Seguridad de la Información e Informática vigente.
• El Gerente General, Gerente Comercial , Asesores Comerciales y terceros,
deberán autenticarse en los mecanismos de control de acceso provistos por el
encargado del área de sistemas antes de poder usar la infraestructura tecnológica
de la Escuela.

• El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de

sistemas no deben proporcionar información de los mecanismos de control de
acceso en las instalaciones e infraestructura tecnológica de la Entidad SERGO a
personal externo, a menos que se tenga el visto bueno del dueño de la información

POLÍTICAS DE USO DE RECURSOS INFORMACIÓN

Hoy en día es mejor tener una página WEB que no tenerla. El servicio de Internet
permite a las Empresas y a cualquier Institución realizar publicidad de sus productos
y servicios, simplificar las transacciones, ganar tiempo, ahorrar recursos y compartir
y acceder a la información. El E-commerce y el E-business permiten conducir los
negocios por Internet. Para una Organización tradicional esto significa ampliar la
distribución de su catálogo de ofertas prácticamente sin fronteras, lo cual abre su
mercado de una manera nunca imaginada con un costo muy bajo.

● Requiere no solamente conocer las amenazas a las que están expuestas la

información y los recursos de una organización, sino también establecer el
origen de las mismas, que pueden ser internas o externas a la organización.
● Auditorías de los sistemas: Que permitirá hacer un control de los eventos de
seguridad de los sistemas.
● Continuidad del procesamiento: Se definirán y reglamentarán las actividades
relativas a la recuperación de la información en casos críticos mediante una
metodología adecuada.
● Protección física: Definirá la protección física de los equipos, de
procesamiento, almacenamiento y transmisión de la información.
● Sanciones por incumplimientos: Este documento contempla las medidas que
se aplicarán por incumplimiento de las reglas definidas.
El archivo físico de la Entidad SERGO tendrá restricciones:

- Solo puede acceder a la información física el Administrador o un delegado de

la administración para el manejo de la documentación

- La documentación puede ser suministrada sólo por orden judicial para sus
procesos pertinentes

POLÍTICA DE USO CORREO ELECTRÓNICO

● Evitar perjuicios a sus usuarios, por ejemplo, limitando la recepción de

mensajes con virus, correo basura, etc.
● Normativa de uso de correo electrónico Dispones de una normativa referente
al uso del correo electrónico que el empleado acepta al incorporarse a su
puesto de trabajo.
● Uso apropiado del correo corporativo Nunca usas el correo corporativo con
fines personales y el contenido cumple las normas marcadas por la empresa.
● Contraseña segura Usas una contraseña segura para acceder al correo
electrónico.
● Correos sospechosos Sospechas de la autenticidad del correo cuando el
mensaje: presenta cambios de aspecto, contiene una «llamada a la acción»
que nos urge, invita o solicita hacer algo no habitual o solicita credenciales de
acceso a una web o aplicación (cuenta bancaria, ERP, etc.).
● Análisis de adjuntos Analizas cuidadosamente los adjuntos de correos de
remitentes desconocidos antes de abrirlos. Si sospechas de su autenticidad,
no lo descargas ni lo abres.
● Inspección de enlaces Examinas atentamente los enlaces incluidos en los
correos antes de acceder a ellos.
● No responder al spam (correo basura) Nunca respondes al correo basura. Lo
agregamos a la lista de spam y lo eliminas.
● Evitar las redes públicas no consultas el correo corporativo si estás
conectado a redes públicas como wifis de hoteles o aeropuertos.
● Normativa de uso de correo electrónico. La empresa dispondrá de una
normativa referente al uso del correo electrónico que el empleado aceptará al
incorporarse a su puesto de trabajo. Se informará de la prohibición del uso
del correo corporativo con fines personales que no tengan que ver con la
empresa. El contenido del correo deberá cumplir con la normativa y su uso
inadecuado podrá conllevar sanciones. El correo corporativo puede ser
supervisado por la dirección de la empresa, incluyendo una cláusula en la
normativa que firma el empleado.
 ● Cifrado y firma digital. Se debe instalar una tecnología de cifrado y firma
digital para proteger la información confidencial y asegurar la autenticidad de
la empresa como remitente.

El Ingeniero de sistemas debe generar y divulgar un procedimiento para la

administración de cuentas de correo electrónico.

• El Ingeniero de sistemas debe diseñar y divulgar las normas para el uso de los
servicios de correo electrónico.

• El Ingeniero de sistemas debe garantizar que la plataforma de correo tenga los

procedimientos y controles necesarios que permitan detectar y proteger la integridad
de la información que viaja a través de esta plataforma.

• El Ingeniero de sistemas debe asegurar que los mensajes electrónicos están

protegidos contra código malicioso y pudiera ser transmitido a través de estos.

• El Ingeniero de sistemas debe generar campañas de concientización a todos sus

usuarios respecto a las precauciones que deben adoptar en el intercambio de
información confidencial y de uso interno por medio del correo electrónico
.
• El Gerente General , Gerente Comercial , Asesores Comerciales e Ingeniero de
sistemas deben saber que la cuenta de correo electrónico asignada es de carácter
individual; por consiguiente, ningún funcionario, bajo ninguna circunstancia debe
utilizar una cuenta de correo que no sea la suya.

• El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de

sistemas deben utilizar el correo electrónico para envío de mensajes e información
relacionada con el desarrollo de las labores y funciones asignadas a cada usuario.

Ningún miembro de la Entidad SERGO debe utilizar el correo electrónico

institucional para actividades personales de ninguna índole, entre otras, el envío de
cadenas de mensajes de cualquier tipo, ya sea comercial, político, religioso,
contenido discriminatorio, pornografía y demás condiciones que degradan la
condición humana y resulten ofensivas para los miembros de la Entidad.
• El Gerente Comercial, Asesores Comerciales e Ingeniero de sistemas deben
mantener solamente los mensajes relacionados con el desarrollo de sus funciones,
puesto que los mensajes e información contenida en los buzones de correo son
propiedad de la Entidad.
 •El Gerente General, Gerente Comercial, Asesores Comerciales, Ingeniero de
sistemas y terceros no deben enviar archivos que contengan extensiones
ejecutables con contenido malicioso, bajo ninguna circunstancia.

• El Gerente General, Gerente Comercial, Asesores Comerciales, Ingeniero de

sistemas deben respetar el estándar de formato e imagen corporativa definidos por
el la Escuela para los mensajes electrónicos y deben conservar en todos los casos
el mensaje legal corporativo de confidencialidad.

POLÍTICAS ADMINISTRACIÓN DE CONTRASEÑAS

El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas deben recibir junto con el nombre de usuario una contraseña o clave para
acceder a los recursos informáticos de la entidad, la cual es de cambio obligatorio
en el primer uso, garantizando así su responsabilidad y único conocimiento sobre la
misma.

• El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de

sistemas deben establecer una contraseña que debe tener una longitud mínima de
ocho caracteres alfanuméricos (mayúsculas, minúsculas, números, símbolos),
diferentes a nombres propios o cualquier otra palabra de fácil identificación.
• El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de
sistemas deben cambiar las contraseñas o claves de acceso a la red, a los sistemas
de información y demás con una periodicidad de seis meses.

•El Ingeniero de sistemas debe cambiar las contraseñas o claves de Administrador

de los diferentes sistemas con una periodicidad de 90 días.

• El Ingeniero de sistemas debe establecer los controles necesarios para que

después de tres intentos no exitosos al digitar la contraseña del usuario, esta se
bloquee de manera inmediata y se deberá solicitar el desbloqueo en la plataforma
destinada para este fin.

• El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de

sistemas deben realizar su cambio de contraseña exclusivamente en la plataforma
destinada para tal fin. No se podrán modificar por ningún otro medio.

• El Ingeniero de sistemas debe asegurar que el número de sesiones concurrentes

de un mismo usuario sea limitado.

• El Ingeniero de sistemas debe asegurar que el usuario sea usado en el equipo

asignado al Administrador o administrativo respectivo.
 • El Ingeniero de sistemas debe establecer mecanismos para que las contraseñas o
claves no sean iguales al nombre de usuario o cualquier variación (al revés,
mayúsculas, etc.), alias o sobrenombre de la persona.

• El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de

sistemas deben asegurarse que la contraseña o clave no contiene palabras
frecuentemente usadas y que se puedan asociar de manera rápida con su vida
personal (nombre de hijos, fecha de nacimiento, número de cédula y número de
celular, entre otros), no usa patrones como secuencias de números o caracteres y
cadena repetidas.

• El Ingeniero de sistemas debe proporcionar los mecanismos necesarios para que

los profesores, administrativos o estudiantes que olviden, bloqueen o extravíen su
contraseña, puede restablecerla de forma segura.

•El Gerente General, Gerente Comercial , Asesores Comerciales e Ingeniero de

sistemas deben asegurarse que las contraseñas no se encuentren de forma legible
en cualquier medio impreso o dejarlos en un lugar donde personas no autorizadas
puedan descubrirlos.

•El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas deben cambiar inmediatamente la contraseña si tiene la sospecha de que
esta es conocida por otra persona.

• El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas no deben almacenar las contraseñas en ningún programa o sistema que
proporcione esta facilidad a menos que sea aprobada por el encargado del área de
sistemas

PROTECCIÓN DE CONTRASEÑA

Contraseña segura todas las cuentas deben utilizar contraseñas de acceso de

acuerdo con la Política de contraseñas, se recomienda:

- usar una contraseña segura para evitar accesos no autorizados.

- utilizar doble factor de autenticación para las cuentas críticas.
- si se accede al correo a través desde una interfaz web nunca se marcará la
opción de recordar contraseña.

Para gestionar correctamente la seguridad de las contraseñas, desde el Instituto

Nacional de Tecnologías de la Comunicación (SERGO) se recomienda a los
usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de
contraseñas seguras:
 ● Se deben utilizar al menos 8 caracteres para crear la clave. Según un estudio
de la Universidad de Wichita, el número medio de caracteres por contraseña
para usuarios entre 18 y 58 años habituales de Internet es de 7. Esto conlleva
el peligro de que el tiempo para descubrir la clave se vea reducido a minutos
o incluso segundos. Sólo un 36% de los encuestados indicaron que utilizaban
un número de caracteres de 7 o superior.
● Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres
especiales.
● Es recomendable que las letras alternan aleatoriamente mayúsculas y
minúsculas. Hay que tener presente el recordar qué letras van en mayúscula
y cuáles en minúscula. Según el mismo estudio, el 86% de los usuarios
utilizan sólo letras minúsculas, con el peligro de que la contraseña sea
descubierta por un atacante casi instantáneamente.
● Elegir una contraseña que pueda recordarse fácilmente y es deseable que
pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar el
teclado.
● Las contraseñas hay que cambiarlas con una cierta regularidad. Un 53% de
los usuarios no cambian nunca la contraseña salvo que el sistema le obligue
a ello cada cierto tiempo.

CRIPTOGRAFÍA

La Entidad SERGO, asegurará el uso adecuado y efectivo de la criptografía para

proteger la confidencialidad, autenticidad o integridad de la información confidencial
de la entidad al momento de almacenarse o transmitirse.

El Ingeniero de sistemas debe proporcionar los mecanismos o herramientas

necesarias para asegurar la protección de claves de acceso a la red de datos, los
sistemas de información, datos y servicios de la Entidad SERGO.

El Ingeniero de sistemas debe proporcionar los mecanismos de cifrado necesarios

para asegurar que la transmisión de información confidencial de forma interna o
externa se realice de forma segura.

El Ingeniero de sistemas debe proporcionar los mecanismos o herramientas

necesarias para cifrar la información confidencial de la Entidad, resguardada por los
propietarios de la información.

El Ingeniero de sistemas debe contar con una política para garantizar la privacidad
de la información que se respalda en medios de almacenamiento secundarios. Por
lo tanto, se recomienda cifrar dicha información para mayor seguridad.
 ÁREAS SEGURAS

La Entidad SERGO proveerá la implantación y velará por la efectividad de los

mecanismos de seguridad física y control de acceso que aseguren el perímetro de
sus instalaciones. Así mismo, controlará de amenazas físicas externas e internas y
las condiciones medioambientales de sus oficinas.

Todas las áreas destinadas al procesamiento o almacenamiento de información

sensible, así como aquellas en las que se encuentren los equipos y demás
infraestructura de soporte a los sistemas de información y comunicaciones, se
consideran áreas de acceso restringido

Cualquier persona (El Gerente General, Gerente Comercial , Asesores Comerciales

e Ingeniero de sistemas o terceros), que tenga acceso a las instalaciones de la
Escuela, deberá registrar los equipos de cómputo que no sean de propiedad de la
Entidad, en la planilla establecida y de acuerdo a los
Procedimientos definidos por el encargado del área de sistemas.
La Entidad SERGO debe mantener áreas seguras para la gestión, almacenamiento
y procesamiento de información en la institución. Las áreas deben contar con:

–– Protecciones físicas y ambientales, acordes con el valor y la necesidad de

aseguramiento de los activos que se protegen.
–– Definición de perímetros de seguridad
–– Controles de acceso físicos
–– Seguridad para protección de los equipos
–– Seguridad en el suministro eléctrico y cableado
–– Condiciones ambientales adecuadas de operación
–– Sistemas de contención, detección y extinción de incendios.

Las áreas que tienen computadores y cableado deben monitorear las variables de
temperatura y humedad de las áreas de procesamiento de datos.

• La Entidad SERGO debe designar y aplicar protección física para desastres como:
fuego, inundación, terremoto, explosión, malestar civil y otras formas de desastre
natural o humano.

Las áreas que tienen computadores y cableado deben velar por el ambiente
adecuado para los activos informáticos como ventilación, iluminación, regulación de
corriente, etc
 UBICACIÓN Y PROTECCIÓN DE EQUIPOS

El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas y terceros no deben mover o reubicar los equipos de cómputo
pertenecientes a la Entidad SERGO, instalar o desinstalar dispositivos, ni retirar
marcas, logotipos ni hologramas de los mismos sin la autorización del encargado del
área de sistemas

•El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas deben conservar los equipos de cómputo en la ubicación autorizada

•El Gerente General, Gerente Comercial, Asesores Comerciales deben utilizar los
equipos de cómputo asignados para uso exclusivo de las funciones del cargo que
desempeñan en la Entidad.

• El Gerente General, Gerente Comercial , Asesores Comerciales deben solicitar la

capacitación al encargado el Ingeniero de sistemas, necesaria para el correcto
manejo de las herramientas informáticas que requieren para realizar sus labores, a
fin de evitar riesgos por mal uso y para aprovechar al máximo los recursos
proporcionados por la Entidad.

El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas y terceros no deben consumir alimentos o ingerir líquidos mientras utilizan
los equipos de cómputo.

• El Gerente General, Gerente Comercial , Asesores Comerciales deben informar al

Ingeniero de sistemas cuando se requiera realizar cambios múltiples de los equipos
de cómputo derivado de reubicación de lugares físicos de trabajo o cambios
locativos, con tres días de anticipación y un plan detallado.

•El Gerente General, Gerente Comercial, Asesores Comerciales y terceros no deben

abrir o destapar los equipos de cómputo de la Entidad. Solo el Ingeniero de
sistemas está autorizado para realizar esta labor.

SEGURIDAD CABLEADO

El Ingeniero de sistemas debe mantener los cables de red de los centros de datos
claramente marcados para identificar fácilmente los elementos conectados y evitar
desconexiones erróneas.
• El Ingeniero de sistemas con apoyo de un supervisor de la Planta física deben
contar con los planos que describan las conexiones del cableado.
• El Ingeniero de sistemas debe mantener el acceso a los centros de cableado solo
para el personal autorizado.
 NORMATIVIDAD
- Está diseñado para usarse en cualquier cosa, en cualquier lugar, y en
cualquier momento. Elimina la necesidad de seguir las reglas de un
proveedor en particular, concernientes a tipos de cable, conectores,
distancias, o topologías. Permite instalar una sola vez el cableado, y después
adaptarlo a cualquier aplicación, desde telefonía, hasta redes locales
Ethernet o Token Ring,

- La norma central que especifica un género de sistema de cableado para

telecomunicaciones

- Norma para construcción comercial de cableado de telecomunicaciones".

Esta norma fue desarrollada y aprobada por comités del Instituto Nacional
Americano de Normas (ANSI), la Asociación de la Industria de
Telecomunicaciones (TIA), y la Asociación de la Industria Electrónica, (EIA)
La norma establece criterios técnicos y de rendimiento para diversos
componentes y configuraciones de sistemas. Además, hay un número de
normas relacionadas que deben seguirse con apego

- Norma de construcción comercial para vías y espacios de

telecomunicaciones", que proporciona directrices para conformar
ubicaciones, áreas, y vías a través de las cuales se instalan los equipos y
medios de telecomunicaciones.

- Norma de administración para la infraestructura de telecomunicaciones en

edificios comerciales". Proporciona normas para la codificación de colores,
etiquetado, y documentación de un sistema de cableado instalado. Seguir
esta norma, permite una mejor administración de una red, creando un método
de seguimiento de los traslados, cambios y adiciones. Facilita además la
localización de fallas, detallando cada cable tendido por características

- Requisitos de aterrizado y protección para telecomunicaciones en edificios

comerciales", que dicta prácticas para instalar sistemas de aterrizado que
aseguren un nivel confiable de referencia a tierra eléctrica, para todos los
equipos.
 MANTENIMIENTO DE EQUIPOS

El Ingeniero de sistemas es la responsable de llevar a cabo los servicios de

mantenimiento y reparaciones al equipo informático, con la ayuda de personal
idóneo para la labor (técnico sistemas).

• El Ingeniero de sistemas es la única autorizada para realizar la labor descrita en

el punto anterior.

• El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas deben respaldar con copias de seguridad toda la información personal o
confidencial que se encuentre en el equipo de cómputo asignado, previniendo así la
pérdida involuntaria de la misma, derivada del proceso de reparación.

• El Ingeniero de sistemas debe realizar procedimientos de borrado seguro en los

equipos que se dan de baja y los equipos que son asignados a usuarios diferentes
por temas de rotación.

El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas deben bloquear la sesión de sus equipos de cómputo cuando no se
encuentren en su lugar de trabajo. Esto con el fin que la sesión del usuario no quede
activa con los privilegios a la mano. (Procedimiento de cierre por inactividad)

• El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas cerrar sesión en los equipos de cómputo luego de terminar de usarlos para
evitar el uso inadecuado de terceros.

POLÍTICA MONITOREO Y EVALUACIÓN CUMPLIMIENTO

La Entidad SERGO velará por la identificación, documentación y cumplimiento de la

legislación relacionada con la seguridad de la información, entre ellas la referente a
derechos de autor y propiedad intelectual, razón por la cual estará pendiente que el
software instalado en los recursos de la plataforma tecnológica cumpla con los
requerimientos legales y de licenciamiento aplicables.

El Ingeniero de sistemas debe certificar que todo el software que se ejecuta en la

institución esté protegido por derechos de autor y requiera licencia de uso o, en su
lugar sea software de libre distribución y uso.
El Gerente General, Gerente Comercial y Asesores Comerciales no deben instalar
software en sus estaciones de trabajo suministrados para el desarrollo de sus
actividades sin la autorización del Ingeniero de sistemas, a menos que su labor así
lo requiera, acogiéndose al buen uso y licenciamiento del software que se está
utilizando.

El Gerente General, Gerente Comercial, Asesores Comerciales y terceros deben

cumplir con las leyes de derechos de autor y acuerdos de licenciamiento de
software. Es ilegal duplicar software sin la autorización del propietario de los
derechos de autor y su reproducción no autorizada es una violación de ley; no
obstante, puede distribuirse un número de copias bajo una licencia otorgada.

En cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones para

la protección de datos personales, la Entidad SERGO velará por la protección de
los datos personales de sus empleados, proveedores y demás terceros de los
cuales reciba y administre información.

Se establecerán los términos, condiciones y finalidades para las cuales la Entidad

SERGO como responsable de los datos personales obtenidos en sus distintos
canales, tratará la información de todas las personas que, en algún momento, por
razones de la actividad que desarrolla la Entidad , hayan suministrado datos
personales.
Así mismo, buscará proteger la privacidad de la información personal de sus
funcionarios, estableciendo los controles necesarios para preservar aquella
información que la Entidad conozca y almacene de ellos, velando porque dicha
información sea utilizada únicamente para funciones propias del negocio y no sea
publicada, revelada o entregada funcionarios o terceras partes sin autorización.

• Las áreas que procesan datos personales de cada miembro de la Entidad SERGO
y terceros deben obtener la autorización para el tratamiento de estos datos con el
fin de recolectar, transferir, almacenar, usar, suprimir, compartir, actualizar y
transmitir dichos datos personales en el desarrollo de las actividades de la Entidad.

• Las áreas que procesan datos personales de los miembros de la Entidad SERGO
y terceros deben asegurar que solo aquellas personas que tengan una relación
laboral legítima puedan tener acceso a dichos datos.

• Las áreas que procesan datos personales de los miembros de la Entidad SERGO
y terceros deben acoger las directrices técnicas y procedimientos establecidos para
enviar mensajes por correo electrónico a dichos usuarios.

• El Ingeniero de sistemas debe establecer los controles para el tratamiento y

protección de los datos personales de los estudiantes, profesores, administrativos y
terceros de los cuales reciba y administre información almacenada en bases de
datos o cualquier otro repositorio y evitar su divulgación, alteración o eliminación, sin
la autorización requerida.

Los miembros de la Entidad SERGO deben guardar la discreción correspondiente

o la reserva absoluta con respecto a la información de la institución o de sus
funcionarios de la cual tengan conocimiento en el ejercicio de sus funciones.

• Los miembros de la Entidad SERGO deben verificar la identidad de todas

aquellas personas a quienes se les entrega información por teléfono, por correo
electrónico o certificado,entre otros.

• Los usuarios que se registren en los sistemas de información de la Entidad, deben

aceptar el suministro de datos personales que pueda hacer la Entidad a los
terceros delegados para el tratamiento de datos personales, a entidades judiciales
y demás entes del Estado que, en ejercicio de sus funciones, soliciten esta
información.

El Ingeniero de sistemas tiene como una de sus funciones proponer y revisar el

cumplimiento de normas y políticas de seguridad, que garanticen acciones
preventivas y correctivas para salvaguardar la información digital y física, los
equipos de cómputo e instalaciones de cómputo, así como de las bases de datos de
información automatizada en general.

El Ingeniero de sistemas debe gestionar la verificación del cumplimiento del Manual

de Políticas de Seguridad de la Información.

• El Ingeniero de sistemas puede implantar mecanismos de control que permitan

identificar tendencias en el uso de recursos informáticos del personal interno o
externo. El mal uso de los recursos informáticos que sea detectado será reportado.

• Los miembros de cada área como dueños de los procesos establecidos en la

Entidad SERGO deben apoyar las revisiones del cumplimiento de las políticas de
seguridad de la información que les competa y cualquier otro requerimiento de
seguridad.

Los miembros de la Entidad SERGO y terceros no deben hacer uso de

herramientas de hardware o software para violar los controles de seguridad de la
Información, a menos que se autorice por el Ingeniero de sistemas
 POLÍTICAS GESTIÓN INCIDENTES DE LA INFORMACIÓN

El Ingeniero de sistemas presentará un reporte de incidentes relacionado con la

seguridad de la información a los miembros de la Entidad. De igual manera,
asignará responsables para el tratamiento de los incidentes de seguridad de la
información, quienes tendrán la responsabilidad de investigar y solucionar los
incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y
escalando los incidentes de acuerdo con su criticidad.
El Gerente General será el única autorizada para reportar incidentes de seguridad
ante las autoridades; así mismo, son los únicos canales de comunicación
autorizados para hacer pronunciamientos oficiales ante entidades externas.

Los miembros de la Entidad SERGO como propietarios de los activos de

información deben reportar al Ingeniero de sistemas los incidentes de seguridad
que identifiquen o que reconozcan su posibilidad de materialización.

• El Ingeniero de sistemas debe establecer responsabilidades y procedimientos

para asegurar una respuesta rápida, ordenada y efectiva frente a los incidentes de
seguridad de la información.

• El Ingeniero de sistemas debe evaluar todos los incidentes de seguridad de

acuerdo a sus circunstancias particulares y escalar aquellos en los que se considere
pertinente.

• El Ingeniero de sistemas debe designar personal calificado, para investigar

adecuadamente los incidentes de seguridad reportados, identificando las causas,
realizando una investigación exhaustiva, proporcionando las soluciones y finalmente
previniendo su ocurrencia nuevamente.

• El Ingeniero de sistemas debe crear bases de conocimiento para los incidentes de

seguridad presentados con sus respectivas soluciones, con el fin de reducir el
tiempo de respuesta para los incidentes futuros, partiendo de dichas bases de
conocimiento.

• Los miembros de la Entidad SERGO y terceros deben reportar cualquier evento

o incidente relacionado con la seguridad de la información y los recursos
tecnológicos con la mayor prontitud posible.

• Los miembros de la Entidad y terceros deben informar, en caso de conocer la

pérdida o divulgación no autorizada de información clasificada como uso interno
o confidencial, a la Oficina de Sistemas y Recursos Informáticos (Osiris), para que
se registre y se le dé el trámite necesario.
 POLÍTICA PANTALLA DESPEJADA

El Gerente General, Gerente Comercial, Asesores Comerciales e Ingeniero de

sistemas de la Entidad deben conservar el escritorio del equipo libre de información
de uso interno o confidencial propia de la Entidad, que pueda ser alcanzada,
copiada o utilizada por terceros o por personal que no tenga autorización para su
uso o conocimiento.

• El Ingeniero de sistemas debe garantizar que los usuarios tengan la pantalla del
equipo limpia o libre de archivos confidenciales por medio de mecanismos
adecuados para este fin.

• El Ingeniero de sistemas debe aplicar un protector estándar en todas las

estaciones de trabajo y equipos portátiles de la Escuela, de forma que se active
luego de diez minutos sin uso

Los miembros de la Entidad SERGO deben guardar en un lugar seguro cualquier

documento, medio7magnético u óptico removible que contenga
información confidencial o de uso interno.

• Los miembros de la Entidad no deben dejar en el escritorio físico documentos de

uso confidencial sin custodia.

• El Ingeniero de sistemas debe establecer las medidas de control necesarias que

permitan comprobar el correcto cumplimiento de los puntos anteriores.