Manual PSI

MANUAL DE POLITICAS
DE SEGURIDAD DE LA INFORMACION - PSI

CERLALC
P-GT-01
1. INTRODUCCION
La Seguridad Informtica se basa en la existencia de un conjunto de directrices que brinden
instrucciones claras y oportunas, soportando la gestin de la Alta Direccin frente al gran dinamismo
de nuevos ataques y violaciones a la seguridad e integridad de la informacin.
Este documento se debe entender como el compendio de reglas que permiten definir la gestin,
proteccin y asignacin de los recursos corporativos, acorde a los lineamientos de la Alta Direccin,
concientizando a cada uno de los miembros acerca de la importancia y sensibilidad de la
informacin propia de la Organizacin.
Todas las directrices contempladas en este documento deben ser revisadas peridicamente,
determinando oportunamente la creacin, actualizacin y obsolescencia de cada directriz, con el fin
de mitigar las vulnerabilidades identificadas y mantener altos estndares de seguridad en la
Organizacin.
2. PROPOSITO
Este compendio tiene como finalidad dar a conocer las PSI - Polticas de Seguridad de la
Informacin y ESI - Estndares de Seguridad Informtica, que deben aplicar y acatar todos y cada
uno de los empleados, contratistas y terceros de la Organizacin, entendiendo como premisa que la
responsabilidad por la seguridad de la informacin no depende nicamente de la Direccin o el rea
de Sistemas & T.I., sino que es una responsabilidad de cada empleado, contratista y tercero activo
de la Organizacin.
3. ALCANCE
El alcance de las polticas y estndares contempladas en este documento aplica a:
1. Todas las reas de la Organizacin por su condicin de gestoras, procesadoras y protectoras de
todo tipo de informacin soportada en cualquier medio fsico impreso o electrnico de la
Organizacin.
2. Todos los empleados y contratistas de la Organizacin, y todo el personal tercero, que hagan
uso de los sistemas, plataformas y servicios tecnolgicos de la Organizacin.
4. OBJETIVO:
Establecer los criterios y comportamientos que deben seguir todos los empleados, contratistas y
terceros de la Organizacin, con el fin de velar por la adecuada proteccin, preservacin y
salvaguarda de la informacin y de los sistemas corporativos, respondiendo a los intereses y
necesidades organizacionales y dando cumplimiento a los 3 principios de la gestin de la
informacin: Confidencialidad, Integridad y Disponibilidad, acogidos de la mejores prcticas de
gestin de la informacin, implcitas en el estndar internacional ISO/IEC-27001:2005.
5. DEFINICIONES
Poltica
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Compendio de directrices que representan una posicin de las directivas, para

reas de control especificas que permiten establecer un canal de actuacin en
relacin con los recursos y servicios de la Organizacin, normalmente
soportadas por estndares, mejores prcticas, procedimientos y guas.
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Grupo de Organizacin,
Mtodos y Desarrollo
Pgina 1 de 53
Aprobado por:
Fernando Zapata Lpez
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
Seguridad
La Seguridad determina los riesgos y pretende mitigar los impactos mediante

el establecimiento de programas en seguridad de la informacin y el uso
efectivo de recursos; es un proceso continuo de mejora y debe garantizar que
las polticas y controles establecidos para la proteccin de la informacin
debern revisarse y adecuarse permanentemente ante los nuevos riesgos que
se presenten.
Informacin
La informacin es un activo que tiene valor, -que puede estar representada en

forma impresa o escrita en papel, que puede estar almacenada fsica o
electrnicamente, y que puede ser trasmitida por correo o medios
electrnicos-, por ende requiere de una adecuada proteccin ante posibles
vulnerabilidades que puedan afectar a la Organizacin de forma negativa.
Riesgo
El Riesgo se considera como todo tipo de vulnerabilidades, amenazas que

pueden suceder.
Seguridad
Informtica
La seguridad informtica es el rea de la Informtica est concebida y

enfocada a la proteccin de la informacin, los activos informticos, la
infraestructura tecnolgica y los usuarios.
Seguridad de la
Informacin
La Seguridad de la Informacin tiene como finalidad la proteccin de la

Confidencialidad, Integridad y Disponibilidad de la informacin, -en cualquier
presentacin: electrnicos, impresos, audio, video u otras formas-, ante
accesos, usos, divulgacin, interrupcin o destruccin inadecuada y/o no
autorizada de la informacin, las plataformas tecnolgicas y los sistemas de
informacin.
Confidencialidad
Se debe entender como la caracterstica de prevenir la circulacin de

informacin a personas, entes o sistemas no autorizados.
Integridad
Se debe entender como la propiedad que busca mantener y proteger la

exactitud y estado completo de la informacin; y garantizar mtodos de
procesamiento libres de modificaciones no autorizadas.
Disponibilidad
Se debe entender como la condicin de acceso a la informacin y a los activos

asociados cuando las personas, entes, procesos o aplicaciones lo requieren.
6. GRUPO DE ORGANIZACIN, METODOS Y DESARROLLO:

El Grupo de Organizacin, Mtodos y Desarrollo G.O.M.D., creado mediante Resolucin No. 008
de 2010, tiene la facultad de revisar, analizar y recomendar al Director la aprobacin de las Polticas,
estndares y los controles de seguridad, garantizando la proteccin y salvaguarda de los activos de
informacin de la organizacin.
7. ACCIONES EN CONTRAVENCIONES
Estas polticas son mandataras a todo nivel, por lo tanto deben ser cumplidas por la Organizacin
(empleados y contratistas) y todo ente tercero que interacte con la Informacin, los Sistemas de
Informacin y dems Activos Informticos de la Organizacin.
En el evento en que se evidencia la transgresin o incumplimiento de cualquier poltica o estndar
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 2 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
contemplado en este documento, se debe considerar como una falta disciplinaria y dar inicio a
adelantar las investigaciones internas correspondientes y se aplicarn las sanciones contempladas
en el Reglamento Interno del Trabajo y el Cdigo Sustantivo del Trabajo.
De esta manera se ajusta a lo contemplado en el artculo 60 del Cdigo Sustantivo del Trabajo y al
Reglamento Interno del Trabajo vigente, que lo consagra como una prohibicin a los trabajadores.
El artculo 62 del CST contempla como causal de terminacin del contrato por justa causa 6.
Cualquier violacin grave de las obligaciones o prohibiciones especiales que incumben al
trabajador de acuerdo con los artculos 58 y 60 del Cdigo Sustantivo del Trabajo, o cualquier
falta grave calificada como tal en pactos o convenciones colectivas, fallos arbitrales, contratos
individuales o reglamentos.
8. NOTIFICACIONES DE INCIDENTES
Toda violacin de estas polticas se debe notificar al a la Secretara General, por medio escrito o
electrnico acorde al proceso correspondiente, quien adelantar la investigacin y estipular las
sanciones por incumpliendo en caso de que haya lugar.
Las Polticas de Seguridad de la Informacin del CERLALC han sido diseadas para ajustarse o
exceder, sin contravenir, las medidas de proteccin establecidas en las leyes, regulaciones y
estndares vigentes, por lo tanto si algn empleado, contratista o tercero de la Organizacin
considera que alguna poltica o estndar est en conflicto con las leyes y/o regulaciones existentes,
tiene la responsabilidad de reportar en forma inmediata dicha situacin a la Secretara General.
9. RESPONSABLES EN LAS ETAPAS DE DESARROLLO DE PSI

Creacin:
Revisin:
Excepciones y Actualizaciones:
Aprobacin:
Comunicacin:
Socializacin:
Cumplimiento:
Supervisin:
Sistemas & T.I.

Grupo de Organizacin, Mtodos y Desarrollo.
Grupo de Organizacin, Mtodos y Desarrollo.
Direccin General.
Secretara General.
Sistemas & T.I.
Toda la Organizacin
Planeacin Control Interno
CONTROL DE CAMBIOS
Versin
Fecha de
Modificacin
Comentario
Elaborado por:
Fecha:
Revisado por:
Fecha:
Aprobado por:
Fecha:
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 3 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
TABLA DE REFERENCIA
POLITICAS DE SEGURIDAD DE LA INFORMACION - PSI
CERLALC
1. CAPITULO INFORMACION
1.1. ACCESO A LA INFORMACION
1.1.1.PSI-1.1-01 - Gestin y seguridad de accesos
1.1.2.PSI-1.1-02 - Gestin de usuarios
1.2. SEGURIDAD DE LA INFORMACION
1.2.1.PSI-1.2-01 - Gestin de la informacin
1.2.2.PSI-1.2-02 - Gestin de Seguridad de la informacin
2. CAPITULO RECURSOS
2.1. ACTIVOS
2.1.1.PSI-2.1-01 - Gestin de los activos
2.2. HARDWARE
2.2.1.PSI-2.2-01 Gestin de servidores
2.2.2.PSI-2.2-02 Gestin de equipos de computo
2.2.3.PSI-2.2-03 Gestin de equipos mviles
2.3. SOFTWARE
2.3.1.PSI-2.3-01 Gestin de licenciamiento en software corporativo
2.3.2.PSI-2.3-02 Gestin de vulnerabilidades tcnicas
2.3.3.PSI-2.3-03 Gestin de trazabilidad y auditabilidad
2.4. SISTEMAS DE INFORMACION
2.4.1.PSI-2.4-01 Gestin de sistemas operativos
2.4.2.PSI-2.4-02 Gestin de sistemas de informacin
2.4.3.PSI-2.4-03 Gestin de sistemas propios
2.5. TERCEROS
2.5.1.PSI-2.5-01 Gestin de terceros
3. CAPITULO REDES Y COMUNICACIONES
3.1. REDES
3.1.1.PSI-3.1-01 Gestin de redes
3.2. COMUNICACIONES
3.2.1.PSI-3.2-01 Gestin de internet
3.2.2.PSI-3.2-02 Gestin de intranet
3.2.3.PSI-3.2-03 Gestin de correo electrnico
4. CAPITULO INSTALACIONES
4.1. SEGURIDAD FISICA
4.1.1.PSI-4.1-01 Gestin de reas seguras
5. CAPITULO CONTINUIDAD DE NEGOCIO
5.1. COPIAS DE SEGURIDAD
5.1.1.PSI-5.2-01 Gestin de copias de seguridad
5.2. CONTINGENCIA Y RECUPERACION DE DESASTRES
5.2.1.PSI-5.3-01 Gestin de contingencias
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 4 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
CAPITULO
INFORMACION
ACCESO A LA
INFORMACION
P-GT-01
PSI-1.1-01
Versin
GESTION Y SEGURIDAD DE ACCESOS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realiz
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar un adecuado ambiente de control en la definicin y mantenimiento

de accesos de usuarios a los diferentes componentes de la plataforma
tecnolgica del CERLALC.
ALCANCE
Esta norma aplica a todos los usuarios de componentes de la plataforma

tecnolgica.
RESPONSABLES
Ejecucin / Cumplimiento:
Gestin / Administracin:
Control / Seguimiento:
Todos los usuarios

Outsourcing Informtico / Sistemas & T.I.
Sistemas & T.I.
1. Gestin de contraseas
a. Para garantizar la seguridad tanto de la informacin como de los equipos, el rea de
Sistemas & T.I. asignar a cada usuario las claves de acceso que d a lugar: acceso al
computador, acceso a la red interna, acceso al correo electrnico, acceso a las
aplicaciones correspondientes.
b. La autorizacin para la creacin, eliminacin o modificacin de perfiles de acceso es
responsabilidad directa del Administrador de cada aplicacin.
c. Los usuarios no deben tener acceso a opciones del Sistema de Informacin que no
utilicen.
d. El rea de Sistemas & T.I., los administradores de las aplicaciones, responsables de
activos tecnolgicos y los dueos de la Informacin sern los responsables de velar por
que los perfiles de acceso existentes sean acordes con las funciones realizadas por cada
uno de los usuarios.
e. En todas las aplicaciones se debe contar con un administrador del Sistema de
Informacin, el cual disea y aprueba e implementa los perfiles de acceso, para esta
actividad se debe utilizar el formato establecido por el rea de Sistemas & T.I.
f. En el evento que algn usuario deje de tener vnculo laboral con la Organizacin, el rea
Administrativa debe notificarlo por escrito al rea de Sistemas & T.I., con la finalidad de
inactivas todas las cuentas y accesos, equipos y recursos informticos asignados.
2. Uso de Contraseas
a. Las contraseas establecidas, deben cumplir con los parmetros mnimos contemplados
para contraseas fuertes o de alto nivel:
i.
Debe ser de mnimo nueve caracteres alfanumricos de longitud.
ii.
Debe contener como mnimo cuatro letras, de las cuales una debe ser Mayscula
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 5 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
iii.
iv.
Debe contener mnimo cuatro nmeros.

Debe contener como mnimo un carcter especial (+-*/@#$%&).No debe contener
vocales tildadas, ni ees, ni espacios.
v.
No permitir repetir los ltimos 6 claves utilizados.
b. Las contraseas deben ser cambiados en forma obligatoria cada 4 meses, forzados desde
la administracin de las aplicaciones, o cuando lo considere necesario debido a alguna
vulnerabilidad en los criterios de seguridad.
3. Recomendaciones
a. Se relaciona una lista de actividades que NO se deben realizar respecto de las claves:
i.
Las claves deben ser de fcil recordacin.
ii.
No deben ser basados en informacin personal, ni fechas especiales.
iii.
NO escriba y guarde las claves en ningn lugar de su oficina, en papeles, agendas u
otro medio fsico.
iv.
NO de su clave o haga alusin al formato de su clave, con compaeros de trabajo
cuando este en vacaciones.
v.
NO hable o revele sus claves enfrente de otros, en el telfono, a su jefe, miembros de
su familia, ni permita que nadie vea cuando digita el clave en un computador.
vi.
NO revele su clave en un mensaje de correo electrnico, ni utilice la caracterstica
recordar contrasea de ninguna aplicacin (ejm: Outlook, Internet Explorer).
vii.
Las claves nunca se deben almacenar en un servidor o maquina en red sin utilizar
algn tipo de encriptacin.
viii.
NO utilice su clave en un computador que considera no confiable.
4. Incidentes
a. Los usuarios deben informar inmediatamente al rea de Sistemas & T.I., toda
vulnerabilidad encontrada en los sistemas asignados.
b. Toda novedad presentada en la planta de personal de los empleados y contratistas del
CERLALC (ingresos, licencias, sanciones, suspensiones, ascensos y/o retiros) debe ser
reportada mensualmente por el Jefe del rea Administrativa.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 6 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-1.1-02
Versin
ACCESO A LA
INFORMACION
GESTIN DE USUARIOS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar un adecuado uso de la informacin por los usuarios con mximos

privilegios en componentes de la plataforma tecnolgica del CERLALC.
ALCANCE
Esta poltica aplica a todos los usuarios con mximos privilegios en los
componentes de la plataforma tecnolgica del CERLALC.
RESPONSABLES
Outsourcing Informtico
Sistemas & T.I.
Sistemas & T.I.
1.Usuarios Sper-usuario
a. Aplica a los usuarios que realizan actividades de direccin en los activos tecnolgicos con
los mximos privilegios que requiere su funcin.
b. Los usuarios sper-usuarios son creados por defecto en la instalacin de los componentes
de la plataforma tecnolgica.
c. Las contraseas de las cuentas de usuarios sper-usuarios creados por defecto en la
instalacin de cada componente de la plataforma tecnolgica, no deben ser conocidas por
el personal que realiza actividades de administracin y soporte.
d. La asignacin de las claves de usuarios sper-usuario debe ser responsabilidad del rea de
Sistemas & T.I. y una copia de esta ser combinada, con responsabilidad de 2 personas
designadas por el Grupo de Organizacin, Mtodos y Desarrollo.
e. Las contraseas de los usuarios sper-usuario creados por defecto en la instalacin de
cada componente de la plataforma tecnolgica deben ser definidas por el rea de Sistemas
& T.I., almacenadas en adecuadas condiciones de seguridad y sern utilizadas nicamente
en situaciones consideradas de emergencia y/o contingencia. Se debe entregar copia de
esta en medio escrito y sobre sellado a la Secretara General.
2.Usuarios Administradores
a. Aplica a todos aquellos usuarios cuyo cargo est relacionado con la administracin
funcional y/o tecnolgica de sistemas de informacin.
b. Debe existir una cuenta de usuario que ser utilizada exclusivamente para monitoreo por
parte del Ingeniero de Soporte o quien ejerza sus funciones.
c. Las actividades realizadas por los usuarios administradores deben reflejarse en un registro,
que debe ser monitoreado peridicamente por el rea de Sistemas & T.I.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 7 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
3.Usuarios avanzados
a. Aplica a los usuarios que por sus funciones requieran acceso de usuario privilegiado a los
sistemas, servicios y aplicaciones asignados, lderes de rea y usuarios de perfil medio.
b. Ningn usuario avanzado debe modificar informacin directamente de las Bases de datos,
sin previa autorizacin del rea de Sistemas & T.I.
4.Usuarios finales
a. Aplica a los usuarios finales que por sus funciones requieran acceso de usuario para los
sistemas, servicios y aplicaciones asignados por la organizacin
5.Recomendaciones
a. Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y
aplicaciones, garantizando la estandarizacin por cada usuario; es decir que cada usuario
deben tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la
organizacin.
b. La estandarizacin de los nombres de usuario estar compuesto de la siguiente forma:
(Primer letra del primer nombre + primer apellido, En caso de existir duplicidad, Primer letra
del primer nombre + Primer letra del segundo nombre + primer apellido)
c. Ningn usuario debe ser eliminado de ningn sistema, servicio o aplicacin, debe aplicarse
la inactivacin del usuario.
d. Las cuentas de usuario deben ser de uso personal e intransferible.
e. Debe existir un procedimiento para el almacenamiento, proteccin y administracin de las
contraseas de los todos los usuarios.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 8 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-1.2-01
Versin
SEGURIDAD DE LA
INFORMACION
GESTION DE LA INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar el adecuado uso, proteccin, confidencialidad, integridad y

disponibilidad de la Informacin de la organizacin.
ALCANCE
Esta norma aplica para todos los usuarios de componentes de la plataforma

RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Ubicacin
a. Debe existir dentro de la configuracin de todos los equipos informticos, una unidad de
disco virtual o particin, destinada para el almacenamiento de la informacin de usuario.
b. Se debe crear una estructura tipo rbol, estandarizada, para al almacenamiento y gestin
de la informacin de usuario, la cual ser parametrizada para optimizar la generacin
automtica de Copias de Seguridad. La estructura debe estar acorde a lo definido en los
protocolos de configuracin de equipos establecidos por el rea de Sistemas & T.I.
c. El usuario no debe almacenar informacin directamente en los escritorios del sistema
operativo, por ser una ubicacin alojada en la particin base del disco duro, esto puede
ocasionar que se pierda cuando sea necesario la reinstalacin de software en caso de
reparacin o recuperacin del sistema o por el contrario sea susceptible a accesos y
modificaciones no autorizados, por lo tanto se recomienda que sean creados accesos
rpidos en el escritorio a los archivos de permanente consulta.
2. Clasificacin
a. La informacin se debe clasificar de acuerdo con su criticidad y origen, que permitan el uso
y acceso de forma fcil y oportuna. La informacin personal del usuario, no es considerada
crtica, su almacenamiento ser designado claramente en un directorio especial y estar
sujeto a auditabilidad.
b. Todos los empleados y contratistas que conforman las diferentes reas debe clasificar la
informacin que tengan bajo su custodia.
c. Todo archivo debe ser almacenado en la estructura y ubicacin destinada para tal fin, bajo
algn mecanismo de nemotecnia o identificacin, que permita su fcil acceso.
d. La informacin pblica debe tener una estructura definida por los responsables de la misma,
y divulgada oportunamente a los interesados.
e. Toda la informacin utilizada por los usuarios de la organizacin, es de la organizacin y por
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 9 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
lo tanto el uso inadecuado de la misma es responsabilidad el usuario.

3. Administracin de archivos
a. Todo usuario que utilice los recursos informticos, tiene la responsabilidad de velar por la
integridad, confidencialidad, disponibilidad, y auditabilidad de la informacin que maneje,
especialmente si dicha informacin ha sido clasificada como crtica.
b. Los archivos creados por los usuarios deben ser confidenciales, de manera que no sean
compartidos por todos los usuarios de la Organizacin sin previa autorizacin.
c. Se debe mantener y compartir nicamente la informacin que el usuario elija, previa
confirmacin con el rea de Sistemas & T.I. La integridad de toda informacin compartida
entre usuarios, es responsabilidad de los mismos.
d. Los archivos administrativos que se utilizan en procesos institucionales o equipos de
cmputo requieren y que requiere una clave o contrasea especial, esta debe ser notificada
y solicitada a rea de Sistemas & T.I.
e. Toda la informacin de las debe contar con copias de respaldo para garantizar su
disponibilidad, seguridad y recuperacin.
f. El acceso no autorizado a los sistemas de informacin y uso indebido de los recursos
informticos de la Organizacin est prohibido. Se considera que hay uso indebido de la
informacin y de los recursos, cuando la persona incurre en cualquiera de las siguientes
conductas:
i.
Suministrar o hacer pblica la informacin sin la debida autorizacin, usar la
informacin con el fin de obtener beneficio propio o de terceros.
ii.
Hurtar software del CERLALC (copia o reproduccin entre usuarios).
iii.
Copiar un producto informtico del CERLALC.
iv.
Intentar modificar, reubicar o sustraer equipos de cmputo, software, informacin o
perifricos sin la debida autorizacin.
v.
Transgredir o burlar los mecanismos de autenticacin u otros sistemas de seguridad.
vi.
Utilizar la infraestructura del CERLALC (computadores, software, informacin o redes)
para acceder a recursos externos con propsitos ilegales o no autorizados.
vii.
Descargar o publicar material ilegal, con derechos de propiedad o material nocivo
usando un recurso del CERLALC.
viii.
Uso personal de cualquier recurso informtico del CERLALC para acceder, descargar,
imprimir, almacenar, redirigir, transmitir o distribuir material pornogrfico.
ix.
Violar cualquier Ley o Regulacin nacional respecto al uso de sistemas de informacin.
4. Confidencialidad de archivos
a. La informacin de la Organizacin no podr ser extrada de las instalaciones, sin previo
conocimiento y autorizacin por parte de la Secretara General.
b. Antes de entregar informacin a terceros se debe hacer una evaluacin de la informacin
con el fin de determinar si la informacin solicitada se debe entregar o no.
c. En los contratos con terceros se debe incluir una clusula de confidencialidad, la cual
prohba la divulgacin personal o a medios de informacin del CERLALC.
d. Todo usuario mantendr total confidencialidad sobre la informacin a que tenga acceso y no
la utilizar con propsitos distintos a los determinados en razn de su cargo. Si se requiere
copiar informacin sensible, se debe contar con una autorizacin, del personal designado
por la Direccin.
5. Confidencialidad de datos de empleados y contratistas
a. Toda la informacin personal de los empleados y contratistas tal como nombres,
direcciones, telfono, datos familiares, y dems existentes, debe ser de uso restringido,
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 10 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
respetando la privacidad de la persona, si dicha informacin se requiere por la

Organizacin, debe solicitarse el permiso de divulgacin y entrega de dicha informacin al
empleado y contratista de la informacin.
b. Si la Organizacin cuenta con una aplicacin o software de hojas de vida, la informacin all
almacenada debe ser de uso restringido, nicamente podr ser divulgada con la
autorizacin del empleado.
c. La informacin de las deudas y estado de pago de las mismas de los empleados y
contratistas es confidencial, dicha informacin, tan solo podr ser consultada y divulgada
con el permiso de los empleados y contratistas.
6. Confidencialidad de datos de terceros
a. Todo vnculo con terceros, debe contemplar en su contratacin, un Acuerdo de
Confidencialidad, que garantice la confidencialidad, integridad y disponibilidad de la
informacin a que tenga lugar por la naturaleza del contrato.
b. La informacin de terceras partes no podr ser divulgada o entregada a menos que el
tercero lo autorice, debe ser tratada bajo los mismos lineamientos establecidos para el
tratamiento de la informacin confidencial de CERLALC.
7. Disposicin final
a. El rea Administrativa, a travs de la Recepcin, debe garantizar que de toda la
documentacin que salga o ingrese a la organizacin a travs de ella, es controlada,
registrada y tramitada adecuadamente.
b. Para la disposicin final de archivos en medio fsico impreso, se debe contar con
mecanismos de destruccin de papel de tal forma que la informacin confidencial no pueda
ser leda por personal no autorizado.
c. Debe existir un proceso y procedimientos que garanticen la disposicin final de los
documentos impresos, y su reutilizacin, dada la importancia y el riesgo de gestionar
informacin sensible.
d. Se debe contemplar la adopcin de buenas prcticas en gestin documental y archivstica,
que garanticen la mejor disposicin de la informacin fsica y digital.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 11 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-1.2-02
Versin
SEGURIDAD DE LA
INFORMACION
GESTION DE SEGURIDAD DE LA INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer la funcin de administracin de Seguridad Informtica del

CERLALC.
ALCANCE
Esta norma aplica a la Direccin, SRI, Sistemas & T.I., Outsourcing Informtico
y Usuarios.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Planificacin
a. La organizacin debe adoptar en lo posible, las buenas prcticas en seguridad de la
Informacin, mediante la generacin de polticas y procesos estructurados de planificacin
y capacidad en Tecnologas de Informacin y Comunicaciones, desarrollo seguro y
pruebas de seguridad, contenidos en los estndares, guas y marcos de trabajo, tales
como ISO 27001, 27002, 27005, 25999, 20000, ITIL, CoBIT, entre otros.
2. Grupo de Organizacin, mtodos y Desarrollos.
a. El Grupo de Organizacin, Mtodos y Desarrollo tendr a su cargo, la revisin, validacin
y aprobacin de las Polticas de Seguridad de la Informacin que sean planteadas por el
rea de Sistemas & T.I., y las que considere adicionales. Para el efecto de revisin de
Polticas de Seguridad de la informacin, debe convocar como invitado a un representante
del rea de Sistemas & T.I.
3. Administracin de la Seguridad de la Informacin
a. El rea Sistemas & T.I. ser responsable de la administracin de la seguridad informtica,
y debe velar por el cumplimiento de las polticas, normas y procedimientos relacionados
con Seguridad Informtica, as como de planear y coordinar todos los proyectos
relacionados con la implantacin de controles para optimizar y mejorar continuamente la
seguridad de la informacin de la Organizacin.
b. El Grupo de Organizacin, Mtodos y Desarrollo, debe avalar las tareas de administracin
de Seguridad Informtica de los activos tecnolgicos, dentro de las cuales se deben
comprender como mnimo: definicin de accesos, administracin de cuentas, definicin de
perfiles de usuarios y administradores y atencin de incidentes de seguridad informtica.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 12 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
4. Procedimientos de operacin
a. El rea de Sistemas & TI, debe mantener documentados todos los roles y
responsabilidades, procesos, procedimientos, normas y directrices de seguridad de la
informacin, alineadas con las premisas contempladas en las Polticas de Seguridad de la
Informacin, de la organizacin.
5. Evaluacin y tratamiento de riesgos
a. La organizacin debe garantizar la evaluacin peridica de los riesgos inherentes a la
gestin y seguridad de la informacin, para lo cual se apoyar en entes consultores y/o
auditores externos, fundamentados en
metodologas y mtodos documentados,
estructurados y generalmente aceptados, que avalen la adecuada gestin de la
Informacin.
b. El Grupo de Organizacin, Mtodos y Desarrollo debe evaluar los riesgos identificados y la
tolerancia al riesgo, para determinar su tratamiento y documentacin en un Plan de
Tratamiento de Riesgos - PTR.
6. Responsabilidad de la Direccin
a. La direccin debe revisar, evaluar y aprobar las polticas de seguridad de la informacin
propuestas por el rea de Sistemas & T.I., previo aval y revisin por parte del Grupo de
Organizacin, Mtodos y Desarrollo.
7. Responsabilidad de Tecnologa
a. El rea de Sistemas & T.I. es responsable por la asignacin y administracin de activos
informticos requeridos por los usuarios para el cumplimiento de sus labores.
b. El rea de Sistemas & T.I. es responsable por la custodia de la informacin en servidores,
redes, medios de almacenamiento y medios digitales.
8. Responsabilidad de propietarios, custodios y usuarios de la informacin:
a. El usuario es responsable por la creacin, administracin y tratamiento de la informacin a
su cargo.
b. Es responsabilidad de los usuarios de activos tecnolgicos de CERLALC:
i.
Administrar la informacin a su cargo, y mantener en forma organizada la informacin
existente en el computador personal a su cargo.
ii.
Hacer uso adecuado de la informacin de propiedad de CERLALC y garantizar la
integridad, veracidad, disponibilidad y confidencialidad de la informacin asignada
para el cumplimiento de sus funciones, y velar por el adecuado almacenamiento de la
informacin.
iii.
Utilizar correctamente las contraseas, y mantener la confidencialidad de las mismas.
iv.
Reportar al rea de Sistemas & TI, cualquier incidente de seguridad que se presente
en su equipo, o que sea percibido en la informacin usada en las labores diarias.
v.
Hacer uso racional de los recursos informticos provistos por el CERLALC.
vi.
Conocer y cumplir cabalmente las polticas, normas, procedimientos y estndares
definidos por el CERLALC
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 13 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO
INFORMACION
PSI-2.1-01
Versin
SEGURIDAD DE LA
INFORMACION
GESTION DE LOS ACTIVOS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar un adecuado uso de la Infraestructura (Software y Hardware) de

cmputo del CERLALC por sus empleados y contratistas.
ALCANCE
Esta norma aplica para todos los usuarios de componentes de la plataforma

RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Responsabilidad Administrativa
a. La Secretara General, el rea Administrativa y el rea de Sistemas & T.I. deben garantizar
la elaboracin y actualizacin de un inventario de activos de informacin al mayor detalle
posible, que garantice un fcil nivel de acceso, recuperacin, trazabilidad, auditabilidad y
responsabilidad de sus activos de informacin.
b. Se deben destinar las herramientas necesarias que permitan la oportuna gestin de
inventarios de los activos de informacin, empleando como mnimo identificacin plaquetas
o etiquetas de identificacin externa, contemplando tecnologas de captura de cdigos de
barras que faciliten la gestin de inventarios y el control de entradas y salidas de activos de
las instalaciones de la organizacin.
2. Responsabilidad del usuario
a. Cada usuario es responsable del cuidado y uso adecuado de los recursos informticos que
se le asignen para el desarrollo normal de sus funciones.
b. Los recursos informticos asignados a cada usuario, son para uso limitado para el
desarrollo de sus funciones, por lo tanto no est permitido el uso de cualquiera de los
recursos con propsitos de ocio o lucro.
c. Los usuarios de los activos de informacin no podrn usar los elementos de cmputo
asignados para realizar actividades personales distintas a las contratadas.
d. Los usuarios de activos de informacin son responsables ante la Direccin de la proteccin
de la informacin y los recursos asignados, por lo cual deben ser responsables de notificar
al rea de Sistemas & T.I., la definicin de controles de acceso y otros controles de
seguridad, con el fin de garantizar su responsabilidad por incumplimientos, no
conformidades y otros incidentes que se presenten en la organizacin.
e. La instalacin de software no autorizado es responsabilidad del usuario, y cualquier dao
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 14 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
f.
P-GT-01
en la configuracin del equipo que se produzca por el incumplimiento de esta poltica debe
ser asumido por el responsable del activo.
El uso de activos de informacin o recursos corporativos para actividades personales ser
considerado como un incumplimiento a esta poltica.
3. Gestin de activos
a. Todo cambio a la configuracin de los computadores puede efectuarse nicamente por
personal de soporte, y supervisin del rea de Sistemas & TI.
b. Todos los activos de informacin (computadores, perifricos) deben estar protegidos por
reguladores de voltajes y sus instalaciones elctricas deben haber sido realizadas
tcnicamente controlando las fases correspondientes.
c. Todos los equipos de cmputo y comunicaciones deben estar protegidos y soportados por
equipos ininterrumpidos de poder UPS y sus instalaciones elctricas deben haber sido
realizadas tcnicamente controlando las fases correspondientes. Cuando se concentren
varios equipos en un rea se debe hacer un estudio del consumo por equipo para
determinar que el circuito no presente sobrecarga.
d. Todo el sistema elctrico de cableado estructurado, debe estar independiente al sistema de
energa de iluminacin, y su gestin debe estar centralizada, acogiendo las normas
elctricas correspondientes para tal fin.
e. La gestin de las copias de seguridad, ser responsabilidad del rea de Sistemas & TI,
quien debe implementar los procesos y procedimientos necesarios, que garanticen el
adecuado tratamiento de los medios fsicos internos y externos, y los medios digitales
locales.
f. El nico ente en la organizacin con la potestad para tener acceso a la informacin y activos
utilizados por los usuarios sin previa autorizacin, ser el Grupo de Organizacin, Mtodos
y Desarrollo, previo acompaamiento y asesora por parte del rea de Sistemas & T.I.
g. La responsabilidad de la gestin de la seguridad de la informacin, la aplicacin de reglas
de controles de acceso definidas por el Grupo de Organizacin, Mtodos y Desarrollo, o por
los propietarios de las los activos de informacin, estar a cargo del rea de Sistemas & TI.
4. Restricciones
a. No est permitida la descarga, instalacin, almacenamiento y/o transferencia de juegos,
archivos de audio, archivos de video, software y/o programas desde o hacia Internet, que
atenten contra las leyes de derechos de autor, salvo los requeridos para el funcionamiento y
mantenimiento de la plataforma tecnolgica, gestionados por el rea de Sistemas & T.I.
b. Los activos de informacin no deben moverse o reubicarse sin la aprobacin previa del Jefe
de rea involucrado. El traslado debe realizarlo nicamente el personal de soporte, con el
aval del rea de Sistemas & T.I.
c. No est permitido el uso de hardware y/o software personales en las instalaciones de la
Organizacin, sin previa autorizacin del rea Administrativa y notificacin al rea de
Sistemas & T.I.
d. No est permitido a los usuarios y/o visitantes: comer, fumar o beber en los puestos de
trabajo, centros de cmputo o instalaciones con equipos tecnolgicos, sin excepciones; al
hacerlo estaran exponiendo los equipos a daos elctricos y a riesgos de contaminacin
sobre los dispositivos de almacenamiento.
e. Ningn ente interno o externo del CERLALC estar autorizado para generar copias de la
informacin de la organizacin, sin previo aval por parte del Grupo de Organizacin,
Mtodos y Desarrollo.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 15 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.2-01
Versin
HARDWARE
GESTION DE SERVIDORES
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
OBJETIVO
ALCANCE
RESPONSABLES
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
Establecer estndares para la configuracin y mantenimiento de los Servidores

de tal forma que se preserve la seguridad de los mismos, del software y datos
en ellos instalado.
Las polticas se aplican para el personal responsable de los Servidores.
Sistemas & T.I.
1. Configuracin
a. El rea de Sistemas & T.I. debe implementar los protocolos y/o guas de configuracin de
todos los servidores de la organizacin, deben ser establecidas y actualizadas por cada tipo
de Servidor.
b. Se debe tener toda la informacin de configuracin por cada servidor, que garantice como
mnimo: funcin principal, configuracin de Hardware, configuracin de Software, inventario
de aplicaciones, servicios y servidores, ubicacin de las copias de respaldo.
c. Debe existir y diagrama de configuracin de plataforma y servidores.
d. La configuracin de los servidores se debe hacer de acuerdo a los protocolos y/ guas
establecidas por el rea de Sistemas & T.I.
2. Control de Accesos
a. Para la parametrizacin de los accesos privilegiados al servidor, la clave mster de
administrador ser gestionada nicamente por el responsable del rea de Sistemas & T.I.,
y debe existir una copia de respaldo compartida de la misma en poder de 2 usuarios
designados por la direccin.
b. Para la gestin de los servidores por parte del Outsourcing Informtico, se debe crear y
asignar una clave con privilegios de administracin, que ser responsabilidad del personal
asignado para tal fin.
c. La gestin de servidores se debe realizar nicamente bajo la utilizacin de canales seguros.
d. El acceso fsico a servidores debe ser gestionado, programado y autorizado por el rea de
Sistemas & T.I.
3. Gestin
a. La gestin, operacin, instalacin, desinstalacin y mantenimiento de servidores es
responsabilidad del Outsourcing Informtico, y la supervisin y control son responsabilidad
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 16 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
del rea de Sistemas & T.I..

b. El Outsourcing Informtico debe asignar personal altamente calificado en la gestin de
servidores y notificar todas las novedades inherentes a la gestin del mismo.
c. La operacin de servidores desde reas de trabajo diferentes a las designadas para soporte
tcnico, debe ser autorizada por el rea de Sistemas & T.I..
d. Los cambios en la configuracin de los servidores debe hacerse siguiendo los
procedimientos establecidos para dicha operacin.
4. Monitoreo
a. Para todos los eventos crticos de seguridad y los sistemas sensibles es necesario
mantener Logs y se deben gestionar acorde a lo establecido en los protocolos establecidos
por el rea de Sistemas & T.I.
b. Todos los servidores deben tener activos los servicios de auditora de eventos que
garanticen la auditabilidad de las transacciones realizadas en ellos.
c. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se
deben reportar al rea de Sistemas & T.I., estos eventos se contemplan en los protocolos
establecidos.
d. Debe existir un protocolo de acceso remoto, que garantice el adecuado uso de las
herramientas existentes para tal fin.
5. Accesos Remotos
a. Toda herramienta de acceso remoto a servidores y equipos de cmputo, debe ser
autorizada por el rea de Sistemas & T.I. e instalada por el ingeniero de Soporte designado.
b. El acceso remoto a los equipos de cmputo ser autorizado por el rea de Sistemas & T.I.,
previa solicitud por parte del responsable de cada rea, garantizando la confidencialidad de
la informacin de cada usuario.
c. Los soportes remotos se realizaran nicamente en caso de no tener acceso directo al
equipo que requiera el soporte, por eventos de localizacin fsica externa o distante de la
organizacin.
d. Los accesos desde Internet/Intranet para utilizar sistemas de informacin de la Organizacin
en forma remota y en tiempo real deben ser autorizados por el rea de Sistemas & T.I.
e. Todo acceso remoto debe ser establecido sobre Redes Privadas Virtuales - VPN con
encriptacin, previa configuracin y aprobacin por parte del rea de Sistemas & T.I.
f. Los accesos remotos para soportes en redes por terceros, proveedores de Servicios, deben
ser asignados, aprobados y documentados por el rea de Sistemas & T.I.
g. La asignacin de claves a terceros, proveedores de servicio, para la comunicacin remota
con la red central, debe estar supervisada permanentemente y ser de asignacin temporal.
6. Mantenimiento
a. Se debe hacer el mantenimiento peridico del servidor, utilizando el protocolo y/o
procedimiento diseado por el rea de Sistemas & T.I., y ser documentado acorde a los
procedimientos establecidos.
b. Los procedimientos de Instalacin y mantenimiento de los servidores deben ser
actualizados con cada cambio de versionamiento de los sistemas y aplicaciones por cada
servidor.
c. Los parches ms recientes de seguridad se deben probar, aprobar e instalar tanto al
sistema operativo del servidor como a las aplicaciones activas, a menos que esta actividad
interfiera con la produccin.
d. Los servicios, servidores y aplicaciones que no se utilicen, deben ser deshabilitadas y/
desinstaladas.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 17 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los

servidores del CERLALC.
f. El rea de Sistemas & T.I. debe generar los procedimientos y protocolos necesarios que
garanticen la adecuada generacin, custodia y disposicin de las copias de seguridad para
los servidores de la organizacin, acordes con la poltica de Copias de Respaldo.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 18 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
PSI-2.2-02
CAPITULO RECURSOS
HARDWARE
P-GT-01
Versin
GESTION DE EQUIPOS DE COMPUTO
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
OBJETIVO
ALCANCE
RESPONSABLES
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
Establecer estndares para la configuracin y mantenimiento de los Equipos

de Cmputo y perifricos de tal forma que se preserve la seguridad de los
mismos, del software y datos en ellos instalados.
Las polticas se aplican para el personal responsable de los equipos de
computo y perifricos y a todos los usuarios de la organizacin que tengan
asignados recursos informticos.
Todos los usuarios

Sistemas & T.I.
1. Configuracin
todos los equipos de cmputo y perifricos de la organizacin, deben ser establecidas y
actualizadas por cada tipo de dispositivo.
b. Se debe tener toda la informacin de configuracin por cada equipo de cmputo y perifrico,
que garantice como mnimo: funcin principal, configuracin de Hardware, configuracin de
Software, inventario de aplicaciones, servicios, responsables.
c. La configuracin de los equipos de cmputo y perifricos se debe hacer de acuerdo a los
protocolos y/ guas establecidas por el rea de Sistemas & T.I..
d. Los equipos de cmputo y perifricos deben ser configurados de tal forma que los usuarios
no puedan alterar la configuracin ni instalar software.
a. Para la parametrizacion de los accesos a los equipos y perifricos, la clave mster local de
administrador ser gestionada nicamente por el responsable del rea de Sistemas &
T.I., y debe ser estndar unificado para todos los equipos de la organizacin.
b. Para la gestin de los equipos de cmputo y perifricos por parte del Outsourcing
Informtico, se debe crear y asignar una clave con privilegios de administracin, que ser
responsabilidad del personal asignado por el proveedor del Outsourcing.
c. La correcta utilizacin de la cuenta de usuario para administracin y su contrasea a nivel
de computadores personales esta bajo la responsabilidad del Ingeniero de Soporte
designado por el Outsourcing Informtico.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 19 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
3. Gestin
a. La gestin, operacin, instalacin, desinstalacin y mantenimiento de los equipos de
cmputo y perifricos es responsabilidad del Outsourcing Informtico, y la supervisin y
control son responsabilidad del rea de Sistemas & T.I.
b. El Outsourcing Informtico debe asignar personal calificado en la gestin de equipos y
perifricos y notificar todas las novedades inherentes a la gestin del mismo.
c. Toda actividad que implique reasignacin y traslado de equipos de cmputo y perifricos
entre diferentes reas de trabajo deben ser realizadas nicamente por el personal de
soporte y autorizadas por rea de Sistemas & T.I.
d. Los cambios en los equipos de cmputo y perifricos debe hacerse siguiendo los
procedimientos establecidos para dicha operacin.
4. Monitoreo
b. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se
establecidos.
c. Se deben garantizar los mecanismos necesarios que mitiguen el riesgo de extraccin no
autorizada de la organizacin, de equipos de cmputo y perifricos.
5. Mantenimiento
a. Se debe hacer el mantenimiento peridico de los equipos de cmputo y perifricos,
utilizando el protocolo y/o procedimiento diseado por el rea de Sistemas & T.I., y ser
documentado acorde a los procedimientos establecidos.
b. Los procedimientos de Instalacin y mantenimiento de los equipos de cmputo y perifricos
deben ser actualizados con cada cambio de versionamiento de los sistemas y aplicaciones
por cada equipos de cmputo o perifrico.
sistema operativo de equipos de cmputo y perifricos como a las aplicaciones activas, a
menos que esta actividad interfiera con la produccin.
d. Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas.
equipos de cmputo y perifricos de la Organizacin.
f. El Ingeniero de Soporte designado por el Outsourcing Informtico tiene la potestad para
remover y notificar, cualquier software que no est autorizado por el rea de Sistemas & T.I.
g. El rea de Sistemas & T.I. debe generar los procedimientos y protocolos necesarios que
los Equipos de Cmputo y dispositivos de almacenamiento porttiles de la organizacin,
acordes con la poltica de Copias de Seguridad.
6. Restricciones
a. Todos los usuarios de los equipos de cmputo y perifricos deben tener en cuenta los
siguientes aspectos:
i.
No ingerir bebidas y/o alimentos cerca de los equipos de cmputo y perifricos
ii.
No fumar dentro de las instalaciones y/o cerca a los equipos de cmputo y perifricos.
iii.
No insertar objetos extraos en las ranuras de los equipos de cmputo y perifricos.
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 20 de 53
MANUAL DE POLITICAS
CERLALC
P-GT-01
iv.
v.
No realizar actividades de mantenimiento de hardware

No Instalar Software no autorizado en los equipos de cmputo y perifricos, si se instala
software no licenciado, el usuario debe asumir las consecuencias legales y econmicas.
vi.
Apagar los equipos cuando no estn en uso.
vii.
Bloquear la sesin cuando est ausente.
b. Es responsabilidad del rea de Sistemas & T.I. garantizar:
i.
Conservar los equipos en adecuadas condiciones ambientales
ii.
Mantener una adecuada proteccin contra fluctuaciones de voltaje
iii.
Todos los equipos de cmputo mantengan activa la poltica de equipos desatendidos.
iv.
nicamente el Ing. de Soporte pueda instalar software en los equipos de cmputo y
perifricos.
v.
Establecer programas de mantenimiento de equipos de cmputo y perifricos.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 21 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.2-03
Versin
HARDWARE
GESTION DE LOS EQUIPOS MVILES
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer estndares para la configuracin y mantenimiento de los Equipos

de Cmputo y dispositivos de almacenamiento porttiles de tal forma que se
preserve la seguridad de los mismos, del software y datos en ellos instalados.
ALCANCE
Las polticas se aplican para el personal responsable de los equipos de

Equipos de Cmputo y dispositivos de almacenamiento porttiles y a todos los
usuarios de la organizacin que tengan asignados recursos informticos
portables.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Configuracin
todos los Equipos de Cmputo y dispositivos de almacenamiento porttiles de la
organizacin, deben ser establecidas y actualizadas por cada tipo de dispositivo, y sern
aprobadas por el Grupo de Organizacin, Mtodos y Desarrollo.
b. Se debe tener toda la informacin de configuracin por cada Equipo de Cmputo porttil y
dispositivos de almacenamiento, que garantice como mnimo: funcin principal,
configuracin de Hardware, configuracin de Software,
inventario de aplicaciones,
servicios, responsables.
c. La configuracin de los equipos de Equipos de Cmputo porttiles y dispositivos de
almacenamiento se debe hacer de acuerdo a los protocolos y/ guas establecidas por el
rea de Sistemas & T.I.
d. Los Equipos de Cmputo y dispositivos de almacenamiento porttiles deben ser
configurados de tal forma que los usuarios no puedan alterar la configuracin ni instalar
software.
a. Para la parametrizacin de los accesos a los Equipos de Cmputo porttiles y dispositivos
de almacenamiento, la clave mster local de administrador ser gestionada nicamente
por el responsable del rea de Sistemas & T.I., y debe ser estndar unificado para todos
los equipos de la organizacin.
b. Para la gestin de los Equipos de Cmputo y dispositivos de almacenamiento porttiles por
parte del Outsourcing Informtico, se debe crear y asignar una clave con privilegios de
administracin, que ser responsabilidad del personal asignado por el proveedor del
Outsourcing informtico.
c. La correcta utilizacin de la cuenta de usuario para administracin y su contrasea a nivel
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 22 de 53
MANUAL DE POLITICAS
CERLALC
P-GT-01
de computadores personales esta bajo la responsabilidad del Ingeniero de Soporte

designado por el Outsourcing Informtico.
3. Gestin
a. La gestin, operacin, instalacin, desinstalacin y mantenimiento de los Equipos de
Cmputo y dispositivos de almacenamiento porttiles es responsabilidad del Outsourcing
Informtico, y la supervisin y control son responsabilidad del rea de Sistemas & T.I.
b. El Outsourcing Informtico debe asignar personal calificado en la gestin de Equipos de
Cmputo y dispositivos de almacenamiento porttiles y notificar todas las novedades
inherentes a la gestin del mismo.
c. Los cambios en los Equipos de Cmputo y dispositivos de almacenamiento porttiles debe
hacerse siguiendo los procedimientos establecidos para dicha operacin.
d. El rea de Sistemas & T.I. debe generar los protocolos e implementar los controles
necesarios de proteccin de informacin para todos los Equipos de Cmputo y dispositivos
de almacenamiento porttiles, por su alto nivel de riesgo en informacin.
4. Monitoreo
b. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se
establecidos.
c. Se deben garantizar los mecanismos necesarios que mitiguen el riesgo de extraccin no
autorizada de la organizacin, de Equipos de Cmputo y dispositivos de almacenamiento
porttiles.
5. Mantenimiento
a. Se debe hacer el mantenimiento peridico de los Equipos de Cmputo y dispositivos de
almacenamiento porttiles, utilizando el protocolo y/o procedimiento diseado por el rea de
Sistemas & T.I., y ser documentado acorde a los procedimientos establecidos.
b. Los procedimientos de Instalacin y mantenimiento de los Equipos de Cmputo y
dispositivos de almacenamiento porttiles deben ser actualizados con cada cambio de
versionamiento de los sistemas y aplicaciones por cada equipo de cmputo o perifrico.
sistema operativo del Equipos de Cmputo y dispositivos de almacenamiento porttiles
como a las aplicaciones activas, a menos que esta actividad interfiera con la produccin.
d. Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas.
Equipos de Cmputo y dispositivos de almacenamiento porttiles de la Organizacin.
a. El Ingeniero de Soporte designado por el Outsourcing Informtico tiene la potestad para
remover y notificar, cualquier software que no est autorizado por el rea de Sistemas & T.I.
b. El rea de Sistemas & T.I. debe generar los procedimientos y protocolos necesarios que
los Equipos de Cmputo y dispositivos de almacenamiento porttiles de la organizacin,
acordes con la poltica de Copias de Seguridad.
f. Se deben garantizar los mecanismos necesarios que permitan la generacin de las Copias
de Seguridad de forma remota.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 23 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
6. Restricciones
a. Todos los usuarios de Equipos de Cmputo y dispositivos de almacenamiento porttiles,
deben registrar la entrada y salida de los mismos en los mecanismos destinados para tal fin.
b. Todos los equipos de uso personal del usuario, deben ser registrados en la entrada y salida
de las instalaciones en los mecanismos destinados para tal fin.
c. Por el alto riesgo en la manipulacin externa de los Equipos de Cmputo y dispositivos de
almacenamiento porttiles, se deben contemplar las siguientes recomendaciones de
seguridad.
i.
No transportar los Equipos de Cmputo y dispositivos de almacenamiento porttiles, en
vehculos a la vista, o en maletines que sugieran el contenido, mitigando el riesgo de
robo / hurto.
ii.
No prestar o reasignar Equipos de Cmputo y dispositivos de almacenamiento porttiles
a personal externo no autorizado por la organizacin.
iii.
En caso de prdida o robo / hurto, se debe notificar el incidente de forma inmediata al
rea de Sistemas & T.I. y al rea Administrativa.
d. Todos los usuarios de los Equipos de Cmputo y dispositivos de almacenamiento porttiles
deben tener en cuenta los siguientes aspectos:
i.
No ingerir bebidas y/o alimentos cerca de los Equipos de Cmputo y dispositivos de
almacenamiento porttiles
ii.
No fumar cerca a los Equipos de Cmputo y dispositivos de almacenamiento porttiles.
iii.
No insertar objetos extraos en las ranuras de los equipos de cmputo y perifricos.
iv.
No realizar actividades de mantenimiento de hardware.
v.
No Instalar Software no autorizado en los Equipos de Cmputo y dispositivos de
almacenamiento porttiles, si se instala software no licenciado, el usuario debe asumir
las consecuencias legales y econmicas.
vi.
Apagar los equipos cuando no estn en uso.
vii.
Bloquear la sesin cuando est ausente.
e. Es responsabilidad del rea de Sistemas & T.I. garantizar:
i.
Mantener una adecuada proteccin contra fluctuaciones de voltaje, dentro de las
instalaciones.
ii.
Todos los equipos de cmputo mantengan activa la poltica de equipos desatendidos.
iii.
nicamente el Ing. de Soporte pueda instalar software en los equipos de cmputo y
perifricos.
iv.
Establecer programas de mantenimiento de Equipos de Cmputo y dispositivos de
almacenamiento porttiles.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 24 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.3-01
Versin
SOFTWARE
GESTION DE LICENCIAMIENTO EN SOFTWARE

CORPORATIVO
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer estndares para la gestin de todo el Software Corporativo.
ALCANCE
Aplica para el personal responsable de administrar el licenciamiento y control

de Software corporativo.
RESPONSABLES
Sistemas & T.I.
Sistemas & T.I.
1. Licenciamiento
a. Todo software corporativo, es decir sistemas operativos, sistemas de informacin y
herramientas corporativas de gestin, debe ser direccionado y controlado de forma
centralizada en el rea de Sistemas & T.I., y gestionado operativamente por el Outsourcing
Informtico.
b. Todo software no comercial, es decir Freeware, Shareware, Trial, CPL, EPL, GNU, Open
Source, debe tener el respectivo soporte de licencia, en el que se garantice el alcance de la
licencia, y debe ser autorizado y gestionado por el rea de Sistemas & T.I.
c. El Ingeniero de Soporte designado por el Outsourcing Informtico, ser el nico autorizado
para realizar la instalacin, configuracin, parametrizacin, actualizacin y desinstalacin,
previo autorizacin del rea de Sistemas & T.I.
d. Debe existir un inventario de las licencias de software de la organizacin, con el fin de
facilitar la administracin y control de software no licenciado.
2. Gestin
a. El rea de Sistemas & T.I. debe garantizar la generacin y actualizacin de inventarios de
licenciamiento corporativo que garanticen la legalidad del mismo ante entes de vigilancia
externos.
b. La utilizacin de software corporativo para fines personales, dentro o fuera de la
organizacin ser responsabilidad de usuario del activo
c. La extraccin, prstamo, copia, venta y/o renta de software corporativo para fines
externos y/o personales, no est autorizado bajo ninguna circunstancia.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 25 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.3-02
Versin
SOFTWARE
GESTION DE VULNERABILIDADES TECNICAS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
OBJETIVO
ALCANCE
RESPONSABLES
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
Reglamentar los controles necesarios para prevencin, deteccin y eliminacin

de virus informticos en los equipos de cmputo del CERLALC.
Esta poltica aplica a todos los empleados y contratistas del CERLALC.
Todos los usuarios

Sistemas & T.I.
1. Seguridad
a. Debe tener Software Antivirus que garantice la proteccin ante amenazas por virus
informticos, que a su vez debe contemplar como mnimo los siguientes componentes:
i.
Componente de consola de servidor: encargado de distribuir y actualizar las
actualizaciones de antivirus en los equipos de cmputo de la red.
ii.
Componente de correo externo: encargado filtrar el contenido y trfico de correos
entrantes y salientes.
b. Debe existir uno o varios software que gestionen la salida hacia internet y desde internet,
filtrado de contenidos, filtrado de pginas y monitoreo de navegacin.
c. A nivel perimetral se debe contar con software de seguridad que permita controlar el
acceso de virus, troyanos, malware, spyware, phishing y spam.
d. El software de deteccin de virus y dems Software de Seguridad seleccionados por la
Organizacin, deben ser instalado en todos los servidores y equipos de computo,
incluyendo computadores porttiles del CERLALC.
e. Para la utilizacin de medios electrnicos externos, de uso corporativo y/o personal,
correos electrnicos y descarga de archivos, se debe realizar previamente el escaneo o
vacunacin.
f. Los usuarios deben conocer los procedimientos de deteccin y eliminacin de virus
informticos, para lo cual el rea de Sistemas & T.I., debe garantizar el entrenamiento
necesario para el uso de las herramientas de seguridad existentes.
g. Es responsabilidad del rea de Sistemas & T.I. que todos los equipos asignados estn
libres de virus, y responsabilidad de los usuarios que la informacin gestionada en los
activos asignados, y medio de almacenamiento sean filtrados con el Software Antivirus y
dems software de seguridad instalados en cada uno de los equipos de la organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 26 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
2. Gestin de herramientas
a. Debe existir un protocolo de gestin de aplicaciones de seguridad informtica que
contemple las actividades de instalacin, configuracin, parametrizacin, administracin,
mantenimiento y desinstalacin.
b. Debe realizarse la evaluacin de la relevancia y criticidad o urgencia de los parches a
implementar.
c. La instalacin, configuracin, parametrizacin, administracin, administracin,
mantenimiento y desinstalacin del software antivirus existente, es responsabilidad del
Outsourcing Informtico, previa autorizacin por parte del rea de Sistemas & T.I.
d. La actualizacin del antivirus debe ser gestionada de forma centralizada en el servidor de
la aplicacin y de forma automtica en cada uno de los equipos de cmputo de la
organizacin.
e. Las actualizaciones de nuevas versiones sern gestionadas nicamente por el personal
designado por el Outsourcing Informtico previa autorizacin por el rea de Sistemas &
T.I.
f. Debe realizarse una evaluacin peridica, mnimo cada 2 aos, de la gestin y
desempeo de las herramientas de seguridad informtica existentes, y de ser necesario,
cambiar las soluciones por aquellas que generen mayores caractersticas y niveles de
seguridad.
3. Notificacin de incidentes
a. Debe existir un formato de gestin de incidentes que registre todo el seguimiento de los
incidentes presentados hasta su solucin.
b. Los usuarios de cada uno de los Sistemas de informacin son responsables de solicitar
soporte informtico en caso de encontrar situaciones sospechosas en los sistemas
asignados o cualquier virus detectado en equipos de cmputo asignados.
c. Todos los registros de deteccin de virus y otras vulnerabilidades, sern revisados y
analizados por el Ingeniero de Soporte asignado por el Outsourcing Informtico, y
notificacin al rea de Sistemas & T.I..
4. Tratamiento de vulnerabilidades
a. Para todas las configuraciones de los sistemas de seguridad, se debe contemplar una
poltica de cuarentena, que garantice que las vulnerabilidades encontradas no se difundan
por las redes a otros equipos, hasta que se realice un anlisis y tratamiento por parte del
rea de Sistemas & T.I.
b. Cuando los virus no puedan ser eliminados a pesar de haber agotado los mecanismos
existentes para tal fin, se debe escalar al Grupo de Organizacin, Mtodos y Desarrollo,
encargado de evaluar los aspectos de Seguridad de la Informacin
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 27 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.3-03
Versin
SOFTWARE
GESTION DE TRAZABILIDAD Y AUDITABILIDAD
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Reglamentar las pistas de Auditora con las que deben contarlos Sistemas de
Informacin del CERLALC.
ALCANCE
Esta Poltica aplica a todos los Sistemas de Informacin utilizados por el

CERLALC.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Tipo de informacin
a. Debe realizarse un anlisis de riesgos sobre la criticidad de la informacin gestionada por
los Sistemas Operativos, Bases de Datos, Sistemas de Informacin Corporativos propia y
tercera, que identifique y defina los datos a los que deben aplicar las pistas de auditora.
b. Debe existir un protocolo de configuracin, implementacin, gestin, respaldo y
recuperacin de pistas de auditora, Logs transaccionales y/o registros auditables,
c. Todos los Sistemas Operativos, Bases de Datos, Sistemas de Informacin Corporativos
propios y terceros, debe tener activa y habilitada las funciones de Logs para todas las
transacciones a que de lugar.
d. Las pistas de auditora deben ser contempladas como un archivo adicional a los de datos,
que evidencie todas las actividades realizadas por los usuarios, conteniendo como
mnimo: fecha, hora, usuario, tipo de operacin realizada (modificacin, inclusin y borrado
de informacin), archivo o tabla en la que se realizo la operacin, numero del registro o id,
para el caso de modificacin de informacin, debe incluir los campos de valor anterior y
nuevo valor.
2. Control de accesos
a. El acceso a las pistas de Auditora debe ser de carcter restringido a los Usuarios, solo el
rea de Sistemas & T.I. debe tener acceso a ellas.
b. Todo Sistema operativo, Base de datos, Sistema de informacin corporativos propios y
terceros, deben permitir imprimir las pistas de auditora.
c. Debe garantizarse la restriccin de modificacin a las pistas de Auditora para todos los
Sistemas Operativos, Bases de Datos, Sistemas de Informacin Corporativos propios y
terceros.
d. Todas las aplicaciones deben tener Pistas de Auditoria, exceptuando aquellas
aplicaciones que no manejen informacin crtica (aquella informacin que pueda causar
prdidas al ser manipulada) para la Organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 28 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
3. Copias de respaldo y recuperacin

a. Todas las pistas de Auditoria deben contar con una Copia de Seguridad peridico,
programado y automtico.
b. Debe garantizarse la disponibilidad y preservacin de las Copias de Seguridad.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 29 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.4-01
Versin
SISTEMAS DE
INFORMACION
GESTION DE SISTEMAS OPERATIVOS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer estndares para la Informacin que debe se gestionada por los

sistemas operativos de la organizacin
ALCANCE
Las polticas se aplican para el personal responsable de administrar los

sistemas operativos y plataforma corporativa de la organizacin.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. Deben existir protocolos de instalacin, configuracin, parametrizacin, gestin y soporte,
de usuarios, roles y perfiles, para todos los sistemas operativos de la organizacin.
b. Deben aplicarse polticas de gestin y control propias de los Sistemas Operativos de
servidor, que den cumplimiento al numeral anterior.
c. La instalacin, configuracin y parametrizacin de todos los sistemas operativos de la
organizacin, debe ser responsabilidad del Ingeniero de Soporte designado por el
Outsourcing informtico, previa aprobacin del rea de Sistemas & T.I..
d. Debe existir una poltica centralizada, incluida en los protocolos de configuracin de
equipos, que estandarice en todos los equipos de cmputo, el particionamiento de discos
duros en 3 unidades virtuales: i) sistema operativo, ii) datos y iii) Copias de Seguridad local.
e. Debe aplicarse una poltica centralizada de Escritorios limpios que minimicen el riesgo de
prdida y confidencialidad de archivos, teniendo en cuenta que lo contenido en el escritorio
es susceptible de perdidas en caso de fallas del sistema operativo.
f. Debe aplicarse un poltica centralizada de Equipos desatendidos que garanticen
confidencial de la informacin, cuando el usuarios no est en su puesto de trabajo.
g. El rea de Sistemas & T.I., debe asignar a cada usuario 4 cuentas: i) acceso a equipos de
cmputo y red, ii) correo electrnico, iii) Sistemas de Informacin corporativos y iv)
herramientas de colaboracin.
2. Seguridad
a. Debe existir un protocolo de encriptacin de Informacin en los Sistemas Operativos y
Redes.
b. Se deben habilitar todas las funcionalidades de los Sistemas Operativos de Servidor, de tal
forma que toda la informacin viaje por las redes (LAN o WAN) en forma encriptado, con el
fin de preservar su confidencialidad.
c. La encriptacin de datos se debe realizar mediante Software y/o Hardware.
d. Todo tipo de informacin transmitida desde y hacia entidades externas, debe ser encriptado
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 30 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
empleando las herramientas existentes para tal fin..

3. Directorio Activo
a. Debe existir un procedimiento de creacin y eliminacin de cuentas de usuario para Redes
y Sistemas Operativos.
b. Se debe asignar una cuenta a todo usuario, que lo identificar al interior de la misma y le
dar acceso a los recursos informticos asignados.
c. Es responsabilidad del usuario, el buen uso y las actividades realizadas con la cuenta
asignada.
d. La asignacin de cuentas y configuracin de perfiles debe ser solicitada por el Jefe del
rea, y aprobada por la Secretaria General de la Organizacin, una vez aprobada el rea
de Sistemas & T.I. autoriza la creacin de cuentas y perfiles en los sistemas a que d lugar,
al Ingeniero de Soporte designado por el Outsourcing Informtico.
e. La estructura de creacin de usuarios debe ser estandarizada y unificada para todos los
sistemas operativos, bases de datos y sistemas de informacin internos y externos, y debe
estar contemplada en el protocolo de creacin de cuentas de usuario.
f. La cuenta de usuario de red del Administrador de la Red y su contrasea, debe ser
conocida slo por este, en caso de que otro Ingeniero requiera realizar funciones propias
del Administrador de la Red, por autorizacin expresa de ste, debe utilizar una cuenta
alterna que contenga exclusivamente los permisos para realizar las actividades para la cual
est autorizado.
g. Las claves deben ser cambiadas en forma forzosa por lo menos 1 vez cada 4 meses.
4. Responsabilidades
a. Las cuentas de usuario de la red corporativa son personales e intransferibles. Bajo ninguna
circunstancia este tipo de cuentas deben ser conocidas por una persona diferente a su
propietario.
b. Toda novedad presentada en la planta de personal de los empleados y contratistas de la
reportada mensualmente por el Jefe del rea Administrativa.
a. No se deben asignar cuentas de usuario genricas, entendiendo como genrica aquellas
que son utilizadas por varios usuarios de la organizacin.
a. Todas las cuentas sern creadas con los permisos del grupo general, si el usuario necesita
permisos adicionales o necesita pertenecer a un grupo especifico para acceso a recursos
propios de su trabajo debe hacer una solicitud sustentada al rea de Sistemas & T.I.
b. Las cuentas de usuario de la red deben ser suspendidas cada vez que un empleado y
contratista de la organizacin se ausente por largo tiempo por motivo de incapacidad,
licencia o vacaciones. La cuenta slo ser habilitada durante este perodo de tiempo bajo
solicitud escrita debidamente justificada del Jefe de rea al que pertenece el usuario dirigida
al rea de Sistemas & T.I.
c. Las caractersticas de asignacin de claves, debe estar acorde a lo contemplado en el
protocolo correspondiente.
6. Recomendaciones
a. NO se debe revelar informacin de cuentas ni contraseas a NADIE, por ningn medio
(telfono, correo, o personalmente)
b. NO se deben escriba las claves en medios fsicos (papel, agenda libreo, etc.)
c. NO se debe revelar, compartir, prestar o hablar de las claves, o formato de claves a nadie
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 31 de 53
MANUAL DE POLITICAS
CERLALC
P-GT-01
de la organizacin, incluyendo jefes, ni a miembros de la familia, conocidos o amigos.

d. NO debe suministrar ni delegar las claves en periodos de ausencia, calamidad o
vacaciones.
e. NO debe habilitarse en ningn sistema o aplicacin, la caracterstica de recordacin de
claves.
f. NO debe guardar claves en ningn tipo de computador sin utilizar un mecanismo de
encriptacin.
NO se deben utilizar las cuentas y claves asignadas en equipos externos a la organizacin
o que considera no confiable.
h. Las claves se deben crear de manera que puedan ser fcilmente recordadas.
i. Cualquier empleado y contratista que se encuentre responsable de violar esta poltica est
sujeto a acciones disciplinarias correspondientes.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 32 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO RECURSOS
PSI-2.4-02
Versin
SISTEMAS DE
INFORMACION
GESTION DE SISTEMAS DE INFORMACION
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer estndares para la Informacin que debe gestiona en los sistemas

de informacin de la organizacin.
ALCANCE
Las polticas se aplican para el personal responsable de administrar los

Sistemas de Informacin de la organizacin.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. Deben existir protocolos de instalacin, configuracin, parametrizacin, gestin y soporte,
de usuarios, roles y perfiles, para todos los sistemas de informacin existentes en la
organizacin.
b. Deben aplicarse polticas de gestin y control propias de los Sistemas de Informacin
existentes.
c. La instalacin, configuracin y parametrizacin de todos los sistemas de informacin de la
organizacin, debe ser responsabilidad del Ingeniero de Soporte designado por el
Outsourcing Informtico, previa aprobacin del rea de Sistemas & T.I..
d. El rea de Sistemas & T.I., debe asignar a cada usuario las cuentas necesarias para la
gestin de los sistemas que le sean asignados.
e. Los datos, bases de datos, programas, herramientas y sistemas de informacin de la
organizacin deben ser modificados nicamente por personal autorizado de acuerdo con los
procedimientos establecidos, al igual que el acceso a la informacin debe restringirse
nicamente a personal autorizado por la Organizacin.
f. Toda la informacin histrica almacenada y respaldada debe contar con los medios,
procesos, programas y sistemas de informacin que permitan su consulta en el tiempo,
teniendo en cuenta la evolucin de los componentes tecnolgicos y las aplicaciones a
travs del tiempo.
g. La eliminacin de la informacin en medios fsicos debe seguir procedimientos seguros y
aprobados por el rea de Sistemas & T.I., y acorde a los protocolos establecidos para tal
fin.
2. Seguridad
a. Debe existir un protocolo de Encriptacin de Informacin en los Sistemas de informacin.
b. Debe existir un procedimiento de creacin y eliminacin de cuentas de usuario para todos
los sistemas de informacin existentes.
c. Se debe asignar una cuenta a todo usuario que requiera acceso a los Sistemas de
Informacin asignados.
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 33 de 53
MANUAL DE POLITICAS
CERLALC
P-GT-01
d. No se deben asignar cuentas de usuario genricas para ningn tipo de sistema de

informacin, entendiendo como genrica aquellas que son utilizadas por varios usuarios de
la organizacin.
e. Todas las cuentas sern creadas de acuerdo con el perfil requerido en la solicitud de
creacin de usuarios, tramitada por cada Jefe de rea y aprobada por la Secretara General
de la Organizacin, una vez aprobada el rea de Sistemas & T.I. autoriza la creacin de
cuentas y perfiles en los sistemas a que se d lugar, al personal de Outsourcing Informtico.
f. Las cuentas deben ser suspendidas cada vez que un empleado y contratista de la
organizacin se ausente por largo tiempo por motivo de incapacidad, licencia o vacaciones.
La cuenta slo ser habilitada durante este perodo de tiempo bajo solicitud escrita
debidamente justificada del Jefe de rea al que pertenece el usuario; ser suspendida
permanentemente cuando termine definitivamente el contrato de un empleado y contratista
de la organizacin. Esta cuenta debe ser deshabilitada previa notificacin del rea
Administrativa.
g. La estructura de creacin de usuarios debe ser estandarizada y unificada para todos los
sistemas de informacin asignados.
h. La cuenta de usuario de Administrador de cada aplicacin es responsabilidad del rea de
Sistemas & T.I., para el soporte del proveedor del sistema, se debe crear una cuenta con
privilegios de administrador.
i. Las caractersticas de asignacin de claves, debe estar acorde a lo contemplado en el
protocolo correspondiente y las claves deben ser cambiados en forma forzosa por lo menos
1 vez cada 4 meses.
j. Los usuarios no deben tener acceso a opciones del Sistema de Informacin que no utilicen.
a. La informacin de los sistemas existentes es de carcter confidencial y reservado, por tanto
no podr ser utilizada para propsitos distintos con los relacionados con el objeto de la
Organizacin.
b. Es responsabilidad del usuario, el buen uso y las actividades realizadas con la cuenta
asignada.
c. Los usuarios de la Organizacin son responsables de la informacin que usan y deben
seguir los lineamientos establecidos por la organizacin para protegerla, evitar prdidas,
accesos no autorizados y utilizacin indebida de la misma.
d. Las cuentas de usuario de las aplicaciones asignadas son personales e intransferibles. Bajo
ninguna circunstancia este tipo de cuentas deben ser conocidas por una persona diferente a
su propietario.
e. Toda novedad presentada en la planta de personal de los empleados y contratistas de la
reportada mensualmente por el rea Administrativa a el rea de Sistemas & T.I.
f. Todos los derechos de propiedad intelectual de las herramientas o aplicaciones
desarrollados o modificados por los usuarios durante el tiempo de contratacin, son de
propiedad exclusiva de la Organizacin.
4. Recomendaciones
a. NO se debe revelar informacin de cuentas ni contraseas a nadie, por ningn medio
(telfono, correo, o personalmente)
b. NO se deben escriba las claves en medios fsicos (papel, agenda libreo, etc.)
c. NO se debe revelar, compartir, prestar o hablar de las claves, o formato de claves a nadie
de la organizacin, incluyendo jefes, ni a miembros de la familia, conocidos o amigos.
d. NO debe suministrar ni delegar las claves en periodos de ausencia, calamidad o
vacaciones.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 34 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
e. NO debe habilitarse en ningn sistema o aplicacin, la caracterstica de recordacin de

claves.
f. NO debe guardar claves en ningn tipo de computador sin utilizar un mecanismo de
encriptacin.
NO se deben utilizar las cuentas y claves asignadas en equipos externos a la organizacin
o que considera no confiable.
g. Las claves se deben crear de manera que puedan ser fcilmente recordadas por cada
usuario.
h. Cualquier empleado y contratista que se encuentre responsable de violar esta poltica est
sujeto a acciones disciplinarias correspondientes.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 35 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
CAPITULO RECURSOS
SOFTWARE
P-GT-01
PSI-2.4-02
Versin
GESTION DE SISTEMAS PROPIOS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Definir las herramientas para hacer desarrollos (Base de Datos y Lenguaje de

Programacin), as como la forma para realizar los cambios y mantenimiento a
dicho software.
ALCANCE
Esta Poltica aplica a todos los Usuarios de las aplicaciones del CERLALC y/o
contratistas involucrados en el desarrollo, actualizacin y pruebas de
programas, as como en la seguridad a los mismos.
RESPONSABLES
Proveedor de Soluciones
Sistemas & T.I.
Sistemas & T.I.
1. Proyectos de desarrollo
a. Para todo desarrollo de Software en la Organizacin, o para cumplimiento de proyectos
especiales que involucren aplicaciones o sistemas de informacin, el rea de Sistemas &
T.I., debe disear los formatos necesarios para documentar las siguientes actividades:
i.
Un anlisis de requerimientos internos, que debe ser revisado y aprobado por el rea
de Sistemas & T.I.
ii.
Un documento RFI Requerimiento de Informacin, para entrega al proveedor de la
solucin,
iii.
Un anlisis tcnico de requerimientos, como respuesta por parte del proveedor de la
solucin,
iv.
Un documento RFP - Requerimiento de Propuesta, para entrega al proveedor de la
solucin.
v.
Un documento Propuesta, que debe contemplar: Anlisis situacional, matriz de riesgos
del proyecto, propuesta econmica, propuesta tcnica, documentacin legal y jurdica,
dems soportes requeridos acordes al cada proyecto.
2. Ciclo de vida de desarrollo de Software
a. Debe definirse y aplicarse una metodologa de desarrollo de aplicativos que contemple
como mnimo las siguientes fases
i.
Concepcin / anlisis de negocio: Se debe exigir para todo desarrollo de Software, un
levantamiento de informacin, un anlisis situacional y deben estar claramente
documentadas.
ii.
Planeacin y diseo: debe contemplar un diseo de la solucin, y un plan de ejecucin,
iii.
Desarrollo: debe especificar las herramientas de desarrollo, la estructura y arquitectura
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 36 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
iv.
v.
vi.
P-GT-01
de la solucin, modelos entidad-relacin y diccionarios de datos.

Prototipo y pruebas: Debe contemplar la presentacin de prototipos de evaluacin y
ajuste.
Instalacin y estabilizacin: Debe contemplar plan de implementacin, migracin y
estabilizacin de la solucin.
Soporte y mantenimiento: debe contemplar el plan de mantenimientos correctivos,
Niveles de Acuerdo de Servicios y plan de continuidad del sa solucin que incluya plan
de respaldo, plan de recuperacin y plan de contingencia. Para cada solucin se deben
entregar: Manual de Usuario, Manual de administracin, Manual Tcnico de Instalacin
y configuracin.
3. Ambientes de trabajo
a. Para la adecuada gestin de proyectos de desarrollo, mantenimientos, pruebas e
implementaciones, el rea de Sistemas & T.I. debe implementar la infraestructura mnima
de seguridad que garantice la adecuada gestin y control de los proyectos de software,
implementando con los recursos existentes de la organizacin, los siguientes ambientes
tecnolgicos:
i.
Ambiente de desarrollo: configuracin orientada a la generacin de desarrollos, en el
cual los desarrolladores crean y modifican los objetos a solicitud del rea Responsable
de la Informacin
ii.
Ambiente de Pruebas / Testing: configuracin orientada a la generacin de pruebas por
parte del rea de Sistemas & T.I. y por el usuario, replica del ambiente de produccin
en donde se realizarn todas las pruebas necesarias para garantizar el buen
funcionamiento de los aplicativos.
iii.
Ambiente de Produccin: configuracin orientada al usuario final, ambiente donde se
realiza el procesamiento real de la informacin utilizada para la toma de decisiones del
CERLALC.
b. Para cada ambiente debe existir una configuracin independiente en Sistema Operativo,
Base de Datos y aplicacin.
4. Plan de Pruebas
a. Debe existir un procedimiento de pruebas a programas que defina actividades y
responsables.
b. Debe definirse un plan de pruebas que especifique escenarios de pruebas, niveles y tipos
de pruebas que se deban realizar a los aplicativos.
c. Los datos del ambiente de pruebas deben ser una rplica del ambiente de produccin.
d. El resultado de las pruebas debe documentarse por los desarrolladores en conjunto con los
usuarios del rea solicitante.
5. Control de cambios
a. El rea de Sistemas & T.I. debe Integrar y mantener todas las actividades de gestin de
cambios (documentacin y formacin procedimental para usuarios y administradores) del
Software / aplicaciones.
b. Debe disponerse de un inventario de aplicativos actualmente existentes en el CERLALC,
especificando si se encuentran en produccin o desarrollo, si ha sido un desarrollo propio o
adquisicin a terceros.
c. Para todos los cambios y ajustes autorizados, y en ejecucin se debe conservar un registro
escrito de las modificaciones realizadas., para la cual se debe crear un registro de control
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 37 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
de cambio.
d. Los cambios de emergencia deben ser debidamente aprobados, auditados y
documentados.
e. Todo cambio a los aplicativos debe ser solicitado por el Jefe del rea usuaria, y aprobado
por el rea de Sistemas & T.I. Si se requieren cambios a los datos, deben ser aprobados
por el Responsable de la Informacin y se debe crear un formato de cambios de
informacin.
f. Debe existir un procedimiento para la solicitud, autorizacin y aprobacin para todos los
cambios a aplicativos.
g. La documentacin de todas las aplicaciones del CERLALC debe ser permanentemente
actualizada por los desarrolladores.
6. Seguridad en desarrollos
a. El rea de Sistemas & T.I. debe implementar los mecanismos y herramientas necesarias
para garantizar la seguridad en los procedimientos y mtodos de desarrollo, operaciones y
gestin de cambios del Software / aplicaciones, que se desarrollen interna o externamente,
para la organizacin.
b. Todos los Sistemas de Informacin deben contar con usuario y clave (Fuerte) la clave debe
estar encriptado.
c. Todos los Sistemas de Informacin deben permitir restringir el acceso a las opciones de la
aplicacin utilizando para ello, los perfiles de acceso.
d. Los perfiles de acceso deben ser de acceso restringido, tan solo el administrador del
Sistema de Informacin debe tener acceso a los mismos.
e. Todas las aplicaciones deben tener pistas o registros de auditora (al menos para los datos
crticos), en el cual se pueda identificar quien ha realizado cambios, borrados o insercin de
datos no autorizados.
f. Las pistas de auditora no deben permitir cambios de las mismas (son nicamente de
lectura).
g. El software debe permitir realizar Copias de Seguridad de las pistas para as, borrar y
reducir el tamao de dicho archivo, de requerirse las pistas se restaurar la Copia de
Seguridad.
h. Todos los cambios a programas deben realizarse en el ambiente de desarrollo, los
desarrolladores no deben tener acceso a los ambientes de pruebas / testing y produccin.
i. Los desarrolladores deben tener acceso nicamente al ambiente de desarrollo y pruebas.
7. Plataforma de desarrollos
a. Deben existir los mecanismos y herramientas necesarias que restrinjan el acceso a las
bases de datos en las que se almacena la informacin institucional.
b. Debe existir una Base de Datos, con igual configuracin y parametrizacin, por cada
ambiente de trabajo.
c. Debe existir un Lenguaje de desarrollo, que garantice fcil integracin con los dems
sistemas de informacin de Organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 38 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
CAPITULO RECURSOS
TERCEROS
P-GT-01
PSI-2.5-01
Versin
GESTION DE TERCEROS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
OBJETIVO
Definir las responsabilidades y parmetros de gestin de terceros.
ALCANCE
Esta Poltica aplica a todos los terceros y contratistas involucrados con la

organizacin.
RESPONSABLES
1.0
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. Debe existir un proceso y procedimientos de determinen la seleccin y contratacin de
proveedores de servicios, bienes, muebles e inmuebles.
b. Debe existir un proceso y procedimientos de determinen las actividades de compra de
servicios, bienes, muebles e inmuebles.
c. Debe existir un proceso y procedimientos de determinen los mecanismos de evaluacin de
la gestin de proveedores de la organizacin.
d. Deben existir ANS - Acuerdos de Nivel de Servicio con todos los proveedores de servicios y
productos de Tecnologas de Informacin y Comunicaciones, que garanticen la
confiabilidad, integridad y disponibilidad de los servicios y productos contratados.
e. Deben existir Acuerdos de Confidencialidad con todos los proveedores de Tecnologas de
Informacin y Comunicacin, o clusulas de confidencialidad en los contratos establecidos,
que garanticen la confidencialidad de la informacin de la organizacin.
f. Debe existir un proceso y procedimientos de seguimientos y controles a la gestin de
proveedores de Servicios y productos de Tecnologas de informacin y Comunicaciones.
g. Deben existir mecanismos de evaluacin de proveedores de servicios y productos, de forma
peridica.
h. Deben existir mecanismos de valoracin de los servicios y productos recibidos,
peridicamente.
2. Servicios
a. Se deben exigir a los proveedores de Tecnologas de Informacin y Comunicaciones, las
certificaciones de implementacin de buenas prcticas, estndares internacionales y
modelos de madurez, tales como ISO-9001, ISO-27001, ISO-20000, CMMI o ITIL, acorde a
la prestacin de sus servicios.
b. Todo proveedor de Servicios de Tecnologas de Informacin y Comunicaciones, debe
establecer un mecanismo adecuado que permita realizar la adecuada gestin de solicitudes,
incidentes, eventos y problemas de que se puedan presentar con sus respectivas
soluciones.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 39 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
a. Todo proveedor de Servicios de Tecnologas de Informacin y Comunicaciones es
responsable por el buen uso y cuidado de todos y cada uno de los elementos y
componentes de la infraestructura y plataforma tecnolgica de la organizacin, a que tenga
contacto, por la naturaleza de sus servicios y/o productos.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 40 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.1-01
Versin
REDES
GESTION DE REDES
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer estndares para proteger la integridad de informacin que es

transmitida interna y externamente, contra amenazas y vulnerabilidades.
ALCANCE
Esta poltica se aplica para todo el personal responsable de administrar las

diversas redes corporativas.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. Se debe contar con un procedimiento para la administracin de todas las redes
corporativas.
b. Debe existir un protocolo de configuracin de todas las redes corporativas, relacionadas con
el diseo de los sistemas de comunicacin y cmputo de la organizacin.
c. Se debe realizar un monitoreo permanente tanto de la infraestructura de comunicaciones
como de los servidores, de manera que se detecten los problemas que pueden llegar a
causar fallas en la disponibilidad de los servicios de las redes de la organizacin.
d. Los centros de cableado, Centros de Computo Centros de Monitoreo/Vigilancia y Centros
Elctricos, estn catalogados como zonas restringidas, con control de acceso y restriccin a
personal no autorizado.
e. El rea de sistemas tiene la potestad de efectuar revisiones en los computadores de la
Organizacin y eliminar aquellos programas o software que no son parte de las funciones
realizadas por el usuario, presentando reporte a los la Secretara General.
2. Seguridad
a. Deben existir protocolos de parametrizacin y directrices de seguridad informtica para
redes y herramientas de seguridad de red como IDS-Sistemas de Deteccin de Intrusiones,
IPS-Sistemas de Prevencin de Intrusiones, gestin de vulnerabilidades, y dems a que d
lugar.
b. Deben existir protocolos de transmisin de informacin que garanticen que todos los datos
que se transmitan por las redes internas de la organizacin y entre redes externas, sean
encriptados
c. La configuracin de accesos a la informacin de las estaciones de trabajo desde la red,
deben tener acceso restringidos a los directorios que garanticen la restriccin de accesos no
autorizados.
d. La informacin enviada a las entidades externas (sean archivos o sea para alimentar una
terminal que permita consultar o procesar informacin del CERLALC), debe viajar
encriptado.
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 41 de 53
MANUAL DE POLITICAS
CERLALC
P-GT-01
e. Debe existir un protocolo de Hacking tico (ataques de seguridad ticos), que garantice la
generacin de ataques de intrusin controlados (interna y externa) a las redes corporativas,
con el fin de determinar las debilidades y adoptar nuevos controles a implementar. Estas
pruebas deben ser generadas por entes externos que garanticen la independencia y
objetividad en los resultados.
f. Debe existir un protocolo de monitores de seguridad en todas las redes que permita
peridicamente la realizacin de monitoreo a los ataques en tiempo real, y garantice la
seguridad de las redes ante terceros no autorizados e intrusos.
g. Deben existir protocolos de verificacin fsica a las redes corporativas que garanticen la
calidad de las instalaciones de cableado de datos
3. Controles de Acceso
a. Deben existir los protocolos de seguridad que describan los mecanismos de control y
accesos a las diferentes redes existentes en la organizacin.
b. Deben existir todos los documentos tcnicos que describan las configuraciones de red y su
interaccin con componentes internos y externos.
c. Deben existir los protocolos de describan controles de seguridad perimetrales de las Redes
de rea Local LAN y Redes de rea Global WAN; e internos entre Redes de rea Local
LAN y Redes de rea Local WiFi - WLAN; y su integracin con los controles de seguridad
en sistemas operativos de plataforma y aplicaciones corporativas.
d. La gestin de accesos, roles y perfiles de las redes corporativas deben estar contempladas
y gestionadas desde la gestin del Directorio Activo de los sistemas operativos de
plataforma tecnolgica.
4. Restricciones
a. Los usuarios de la red interna de la Organizacin, no pueden realizar o ejecutar acciones en
la red que sean exclusivas de los administradores de red.
b. Los usuarios y contratistas no deben llevar a cabo ningn tipo de instalacin de lneas
telefnicas, canales de transmisin de datos, mdems, ni cambiar su configuracin sin
haber sido formalmente aprobados por el rea de sistemas.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 42 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.2-01
Versin
COMUNICACIONES
GESTION DE INTERNET
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar el uso adecuado de Internet como herramienta fuente de

informacin, investigacin y comunicacin en el CERLALC
ALCANCE
Esta norma aplica a todos los empleados y contratistas del CERLALC.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones
asignadas a los empleados y contratistas del CERLALC.
b. Debe existir un protocolo de acceso a internet que garantice el buen uso de este y de las
herramientas disponibles para su gestin.
c.
Toda conexin entre las redes corporativas y redes externas de servicios (Outsourcing),
redes pblicas e Internet, debe contar como mnimo con mecanismos de control de acceso
lgico (validacin y autenticacin de usuarios).
d. Debe existir un proceso y procedimientos que garanticen el monitoreo y revisiones

peridicas del uso apropiado de Internet.
2. Seguridad
a. Deben existir los mecanismos de gestin y control apropiados para garantizar el adecuado
uso del internet tales como Firewall, Proxy, DNS, Filtro de Contenidos, Anti-virus, anti-spam,
anti-spyware, anti-phising, anti-malware y dems software para gestin de vulnerabilidades
de redes, aprobados por el rea de Sistemas & T.I. y avaladas por la Organizacin.
b. Los usuarios con acceso a Internet deben estar seguros de los sitios visitados, identificando
las advertencias de acceso a sitios desconocidos.
c. No se debe registrar en los sitios de Internet datos especficos de las mquinas de la
Organizacin como la direccin IP, nombre de la mquina, nombres de usuarios, claves,
nombre de redes corporativas entre otros, que puedan exponer la confidencialidad de las
redes y exponerse a la recepcin no deseada de mensajes o informacin.
a. El usuario es responsable por respetar y acatar las leyes para derechos de reproduccin,
patentes, marcas registradas y todo lo relacionado con derechos de autor las cuales aplican
en Internet.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 43 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
b. Para inscripciones y transacciones comerciales en Internet se debe entender que esta clase
de actuaciones no compromete en forma alguna los recursos econmicos del Cerlalc, ni
implica responsabilidad por parte de esta. En todo caso si se llega a presentar, se entiende
que compromete exclusivamente al empleado, y la Entidad podr tomar las acciones del
caso.
c. Se debe hacer uso racional del servicio de Internet, y se considera como uso indebido
cuando:
i.
Atenta contra la integridad, veracidad y confidencialidad de la informacin del
CERLALC.
ii.
Atenta contra la integridad de los componentes de la plataforma tecnolgica.
iii.
Reduce la productividad de los empleados y contratistas.
iv.
Pone en riesgo la disponibilidad de los recursos informticos del CERLALC.
4. Restricciones
a. Est prohibido el acceso a sitios de pornografa y de cualquier otra ndole que atente contra
la integridad de los empleados y contratistas de la Organizacin; en el ao 2003 el
CERLALC se sum al convenio suscrito entre el Instituto Colombiano de Bienestar Familiar
y diferentes empresas proveedoras de acceso a Internet para combatir la pornografa infantil
y juvenil en Internet.
b. Los empleados y contratistas deben limitar su acceso a pginas de entretenimiento,
distraccin o correos en portales pblicos. El CERLALC podr aplicar restricciones o
sanciones en casos que se encuentren excesos.
c. Se debe auto-regular el uso de herramientas de mensajera instantnea y chat, tales como
Skype, Messenger, Yahoo Messenger, Gmail Talk, entre otros, en horas laborales a
cuestiones de trabajo, evitando a toda costa que se afecte la productividad.
d. No est permitido instalar y usar juegos en los computadores, debido que estos se deben
usar como una herramienta de trabajo y no como forma de distraccin.
e. No est permitido descargar msica de ningn sitio de Internet, entre otros: mp3, mp4, wav,
wma, midi, mpeg, jpeg,j pg, gif, o cualquier otro formato existente, dado que ello constituye
una violacin al derecho de autor sobre ese tipo de obras grabadas o descargadas
libremente.
f. No est permitido instalar software P2P Per-to-Per en los computadores ya que este
software afecta el rendimiento del canal corporativo de Internet y puede impactar la
vulnerabilidad de las redes corporativas.
g. No est permitido descargar ni instalar software de Internet. El nico personal autorizado
para instala cualquier tipo de software ser el rea de Sistemas & T.I., acorde a las polticas
existentes.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 44 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.2-02
Versin
COMUNICACIONES
GESTION DE INTRANET
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar el uso adecuado de Internet como herramienta fuente de

informacin, investigacin y comunicacin en el CERLALC
ALCANCE
Esta norma aplica a todos los empleados y contratistas del CERLALC.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. El servicio de Internet debe ser utilizado para facilitar el cumplimiento de las funciones
asignadas a los empleados y contratistas del CERLALC.
b. Debe existir un procedimiento de administracin de la intranet, en especial el mantenimiento
y depuracin de la informacin publicada, que garantice el buen uso de este y de las
herramientas disponibles para su gestin.
c. La informacin de Intranet debe ser nicamente utilizada por personal autorizado. Los
usuarios no deben re-direccionar informacin que aparezca en Intranet a terceros sin
autorizacin de la Organizacin.
d. La informacin que se publique en la Intranet de la Organizacin, debe contar con la
aprobacin del responsable de cada rea y bajo la coordinacin del rea de Servicio
Regional de Informacin, encargada de la administracin de la pgina web, y la del
propietario de la informacin involucrada
2. Seguridad
a. Deben existir los mecanismos de gestin y control apropiados para garantizar el adecuado
uso de la Intranet, tales como Firewall, Proxy, DNS, Filtro de Contenidos, Anti-virus, antispam, anti-spyware, anti-phising, anti-malware y dems software para gestin de
vulnerabilidades de redes, aprobados por el rea de Sistemas & T.I. y avaladas por la
Organizacin.
b. El material que se publique en la Intranet de la Organizacin debe ser revisado previamente
para confirmar la actualidad, oportunidad e importancia de la informacin y evitar que los
programas o archivos incluyan virus. As mismo, se debe evaluar posibles problemas
operativos y de seguridad de acuerdo con las polticas establecidas.
d. Se debe hacer uso racional del servicio de Internet, y se considera como uso indebido
cuando:
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 45 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
v.
vi.
vii.
viii.
P-GT-01
Atenta contra la integridad, veracidad y confidencialidad de la informacin del

CERLALC.
Atenta contra la integridad de los componentes de la plataforma tecnolgica.
Reduce la productividad de los empleados y contratistas.
Pone en riesgo la disponibilidad de los recursos informticos del CERLALC.
4. Restricciones
a. Est prohibida la publicacin de material de pornografa y de cualquier otra ndole que
atente contra la integridad de los usuarios de la organizacin.
b. No est permitido publicar o usar juegos en redes internas de trabajo.
c. No est permitido publicar, transmitir, almacenar o copiar msica desde ni hacia
componentes de redes, unidades publicar o unidades internas de la organizacin
d. No est permitido publicar, transmitir, almacenar o copiar software corporativo u otros.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 46 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO REDES Y
COMUNICACIONES
PSI-3.2-03
Versin
COMUNICACIONES
GESTION DE CORREO ELECTRONICO
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Evitar la propagacin de correo basura, o cualquier tipo de virus a travs del

correo interno de la Organizacin, prevenir proyectar una mala imagen pblica
de CERLALC, cuando se utilice el correo.
ALCANCE
Establecer las reglas que debe cumplir cualquier correo electrnico enviado
desde una cuenta de correo de CERLALC.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. Debe existir un protocolo de gestin y asignacin de correos electrnicos.
b. Todos los empleados y contratistas de CERLALC, tendrn correo electrnico personalizado
el cual se implementar en la medida en que se disponga de computadores para tal fin.
c. Todas las direcciones de correo electrnico deben ser creadas usando el estndar
establecido por el CERLALC y deben tener una cuota de almacenamiento mximo.
d. El correo de CERLALC, no se debe usar para la creacin o distribucin de cualquier
mensaje corrupto u ofensivo, incluyendo comentarios ofensivos acerca de raza, genero,
color del cabello, discapacidades, edad, orientacin sexual, pornografa, creencias o
prcticas religiosas, creencias polticas o nacionalidad. Cualquier empleado y contratista
que reciba mensajes de correo con este tipo de contenido desde cualquier cuenta de
CERLALC debe reportar este asunto al rea de Sistemas & T.I.
e. Se debe eliminar todo el correo basura cartas cadena o similares inmediatamente sin
reenviarlo. Los empleados y contratistas de CERLALC no deben contar con ningn tipo de
privacidad respecto de cualquier informacin que guarden, enven o reciban en el sistema
de correo de la Organizacin.
f. Usar una cantidad razonable de los recursos de CERLALC para mensajes de correo
personales es aceptable. Los mensajes de correo que no sean relacionados con el trabajo
se deben guardar en una carpeta separada de los mensajes de oficina.
2. Seguridad
a. Est restringido el envo y recepcin de archivos comprimidos en formato Zip o Rar, dados
los riesgos asociados a los mensajes provenientes de entes externos o fuentes no
confiables con fines malignos. Para el rea de Servicio Regional de Informacin se
contempla excepcin controlada por la naturaleza de la informacin de transmite con
diversos entes asociados.
b. Debe existir una herramienta o mecanismo de encriptacin establecido como estndar, para
los mensajes de correo intercambiados con entes externos,
c. Se bebe realizar un anlisis de virus, con la herramienta asignada para tal fin, de todos los
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 47 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
archivos adjuntos que son enviados o recibidos por el correo electrnico.

d. Todo incidente de seguridad o desempeo del correo electrnico, debe ser notificado al
rea de Tecnologa, empleando los canales establecidos para tal fin.
a. El usuario responsable del buzn debe dar un trmite gil al correo electrnico recibido
(responder, eliminar, archivar mensajes en el disco duro local).
b. El sistema de correo electrnico debe ser utilizado nicamente para la transmisin de
informacin relacionada con asuntos laborales del usuario y/o asuntos de inters comn
que incidan en la buena marcha y en el mejoramiento de la armona laboral de la
Organizacin.
c. Los buzones de correo configurados son de uso exclusivo del usuario al que fue asignado y
sern de su responsabilidad todos aquellos mensajes enviados en su nombre.
d. Es responsabilidad de los usuarios de correo electrnico mantener o archivar los mensajes
enviados y/o recibidos para efectos de soportar ante terceros (internos o externos) la
ejecucin de operaciones o acciones.
e. Es responsabilidad de los usuarios de Correo Electrnico hacer limpieza / depuracin a su
buzn de correo.
f. Todos los mensajes que se enven a travs del correo electrnico deben estar enmarcados
en normas mnimas de respeto.
g. El mantenimiento de la lista de contactos y del buzn de correo ser responsabilidad del
usuario del servicio conservando nicamente los mensajes necesarios, con el fin de no
exceder el mximo tope de almacenamiento.
4. Restricciones
a. Est prohibido Enviar cartas, cadenas o mensajes con bromas desde un correo de
CERLALC, as como enviar alertas o correos masivos a menos que se tenga autorizacin
del rea de Sistemas & T.I.
b. Los usuarios de correo electrnico de la Organizacin no deben generar mensajes para dar
trmite de operaciones o actividades propias del CERLALC, en herramientas de software
diferentes a las versiones autorizadas, adquiridas e instaladas por el rea de Sistemas &
T.I. se deja excepcin para personal que no se encuentre en la organizacin, por la
naturaleza de sus funciones.
c. El correo electrnico no debe ser utilizado por terceros (clientes o proveedores) sin previa
autorizacin.
d. No est permitido la parametrizacin de los mensajes a enviar, que contengan fondos,
imgenes o logos no corporativos.
e. Los usuarios de la Organizacin no deben utilizar versiones escaneadas de firmas hechas a
mano para dar la impresin de que un mensaje de correo electrnico o cualquier otro tipo de
comunicacin electrnica ha sido firmada por la persona que la enva.
f. No se debe abrir o revisar correo que tenga procedencia de remitentes desconocidos.
g. Como uso inapropiado del correo electrnico se considera:
i.
Intentos de acceso y/o accesos no autorizados a otra cuenta de correo.
ii.
Transmisin de mensajes de correo con informacin sensible o confidencial a personas
u organizaciones externas sin autorizacin.
iii.
Cadenas de mensajes que congestionen la red.
iv.
Transmisin de mensajes obscenos.
v.
Cualquier actividad no tica que afecte a la Organizacin.
vi.
Enviar correo a nombre de otra persona.
vii.
Prestar el buzn de Correo a personas diferentes a las asignadas por la Organizacin.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 48 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO
INSTALACIONES
PSI-4.1-01
Versin
SEGURIDAD FISICA
GESTION DE REAS SEGURAS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Establecer un control de acceso a las zonas restringidas y al Centro de

Cmputo de CERLALC
ALCANCE
Las polticas se aplican para todas las zonas restringidas y al Centro de

Cmputo de CERLALC
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. reas seguras
a. Se consideran reas seguras: las oficinas de la Direccin y Secretaria General,
archivos administrativos, archivos operativos, archivo central, tesorera, centro de
cmputo, centros de cableado y centros elctricos, centros de monitoreo / vigilancia, y
dems que determine la Direccin.
b. Las reas seguras deben ser discretas y ofrecer un sealamiento mnimo de su
propsito, sin signos obvios, exteriores o interiores.
c. Se deben revisar y actualizar peridicamente los perfiles de acceso a las reas
protegidas.
d. Los materiales peligrosos o combustibles deben ser almacenados en lugares seguros
a una distancia prudencial del rea protegida
e. Debe existir un Plan de Evacuacin en casos de siniestros de cualquier ndole.
f. El ingreso para fines de aseo y mantenimiento de reas seguras, se debe realizar con
acompaamiento del responsable del rea o un delegado por el mismo.
2. Control Accesos
a. Debe existir un protocolo de gestin de accesos fsicos a las instalaciones y reas de
la organizacin, debidamente documentado y soportado, que garantice el registro de
todo tipo de actividad de acceso hacia y desde las instalaciones.
b. El acceso a las oficinas de visitantes est permitido nicamente bajo acompaamiento
de los empleados y contratistas de la Oficina, con el fin de reducir riesgo de hurto a
equipos porttiles, dispositivos perifricos u otros.
c. El acceso de visitantes, o terceros en horarios no laborales debe estar supervisado
por el responsable del rea implicada.
d. Los visitantes deben ser supervisados o inspeccionados y la fecha y horario de su
ingreso y egreso deben ser registrados.
e. Se deben registrar las actividades realizadas en las zonas restringidas por personal
externo. Se debe anotar el nombre, fecha, hora entrada, hora salida y actividad
Propuesta inicial:
Modificado por:
Revisado por:
Aprobado por:
Gabriel Bohrquez
Wilmer Rosiasco
Mtodos y Desarrollo
Consultor Externo
Sistemas & T.I.
Director
Pgina 49 de 53
MANUAL DE POLITICAS
CERLALC
P-GT-01
realizada, el personal que ingrese debe permanecer acompaado por personal del
CERLALC.
f. Se debe requerir que todo el personal exhiba alguna forma de identificacin visible.
g. Se debe registrar todo paquete, vehculo u otro, con el fin de garantizar la entrada y
salida de equipos de cmputo propios de CERLALC.
3. Acceso al Centro de Cmputo
a. Ningn usuario ajeno al rea de Sistemas & T.I. debe ingresar al Centro de Cmputo,
nicamente podrn acceder las personas autorizadas en caso obligatorio para efectos
de mantenimiento, previa autorizacin por parte del rea de Sistemas & T.I.
b. El Centro de Cmputo debe permaneces cerrado y con mecanismos de control de
acceso apropiados, debe mantener un registro que permita auditar todos los accesos,
deben estar fsicamente separadas de reas administradas por terceros.
c. La configuracin del Centro de Cmputo debe cumplir con los mnimos requerimientos
de seguridad, adoptando estndares internaciones.
d. El equipamiento de sistemas de soporte de reposicin de informacin perdida y los
medios informticos de resguardo deben estar situados a un sitio diferente al Centro
de Cmputo, para evitar prdidas y/o daos ocasionados por eventuales desastres en
el sitio principal.
e. El equipamiento debe estar protegido de daos ambientales como agua, fuego,
terremoto, etc.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 50 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
CAPITULO
CONTINUIDAD DE
NEGOCIO
PSI-5.2-01
Versin
COPIAS DE SEGURIDAD
GESTION DE COPIAS DE SEGURIDAD
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Garantizar que toda la informacin almacenada en los componentes de la

plataforma tecnolgica del CERLALC, se encuentre debidamente respaldada
mitigando el riesgo de prdida de la informacin.
ALCANCE
Esta norma aplica a todos los usuarios del rea de Sistemas & T.I. del
CERLALC.
RESPONSABLES
Todos los usuarios

Sistemas & T.I.
1. Gestin
a. Debe existir un procedimiento que determine actividades, periodicidad, responsables y
mecanismos de almacenamiento de las copias de respaldo de todos los sistemas de
informacin del CERLALC.
b. Debe existir una definicin formal de las polticas y procedimientos de generacin, retencin
y rotacin de copias de respaldo.
c. Debe existir un Plan de Copias de Respaldo, y debe contemplar la generacin de copias de
respaldo de los sistemas operativos, los sistemas de informacin, las aplicaciones
corporativas, acorde con los procedimientos establecidos en el Plan de contingencia y en
los procedimientos diseados para realizar dicha actividad.
d. Cada vez que se cambien los servidores o el Software, los procedimientos para realizar las
Copias de Respaldo y el Plan de Contingencia deben ser actualizados.
e. Con el objetivo de garantizar la continuidad del negocio, se determina como de carcter
obligatorio, la ejecucin de polticas y procedimientos relacionados con copias de respaldo
definidas por el CERLALC.
2. Generacin
a. La generacin de las Copias de Respaldo se debe realizar con base en el resultado de los
anlisis de riesgos de la informacin existente y vigente en la Organizacin.
b. Debe existir un protocolo de generacin de Copias de Respaldo por cada sistema
operativo, sistema de informacin y aplicacin corporativa , que contemple la definicin de
los tipos de copias, tipos y medios de almacenamiento, aplicacin de respaldo, frecuencia
de copia, plan de prueba, esquemas de seguridad y actividades de restauracin.
c. Cada vez que se cambien los servidores o el Software, los procedimientos para realizar el
Copias de Respaldo y el Plan de Contingencia deben ser actualizados.
d. Se deben realizar prueba de los medios utilizados con el fin de asegurar su adecuado
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 51 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
P-GT-01
funcionamiento o descartarlos.
3. Almacenamiento y custodia
a. Deben usarse medios que permitan almacenar la informacin apropiadamente, no utilizar
CD o DVD ya que dichos medios se degradan y la informacin se pierde.
b. Los medios deben ser almacenados en un sitio que posea las condiciones ambientales
correctas (Temperatura y Humedad), el cual asegure el adecuado funcionamiento de los
mismos.
c. Los medios deben contar con un periodo de vida (registro de fecha de inicio del uso de los
mismos y una fecha de descarte).
d. Los medios descartados no se deben usar ya que existe el riesgo de prdida de la
informacin en ellos almacenada.
e. Todos los medios se deben mantener en un rea restringida y bajo llave.
f. El acceso a los medios ser autorizado nicamente al rea de Sistemas & T.I. o al personal
que sea autorizado por dicha rea.
g. Los medios deben estar adecuadamente etiquetados de tal forma que sean fcilmente
identificables.
h. El contrato de los medios almacenados en instalaciones externas, debe contar con una
clusula de Confidencialidad la cual asegure que la informacin no pueda ser copiada o
divulgada en forma no autorizada.
i. Se debe tener un registro de los medios enviados a sitio externo, firmado por el tercero que
reciba dichos medios o su representante.
a. La gestin de las copias de respaldo es responsabilidad del rea de Sistemas & T.I. y la
ejecucin operativa del Ingeniero de Soporte designado por el Outsourcing Informtico.
b. La responsabilidad de verificar la realizacin de copias de respaldo de los servidores y de
las estaciones de trabajo es del rea de Sistemas & T.I.
c. El almacenamiento de las copias de respaldo es responsabilidad del rea de Sistemas &
T.I. y el Outsourcing Informtico.
d. El rea de Sistemas & T.I.deben garantizar la realizacin de las copias de respaldo acorde
a la frecuencia y alcance identificados en el Anlisis de Riesgos de la informacin.
5. Seguridad
a. Todas las copias de respaldo deben estar encriptado.
b. El acceso al registro de ubicacin y contenido de los medios debe estar restringido.
c. Se debe contar con un registro, el cual permita identificar la ubicacin (centro externo o
cinto teca) y el contenido de cada medio (con un nmero o un cdigo).
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 52 de 53
Aprobado por:
Director
MANUAL DE POLITICAS
CERLALC
CAPITULO
CONTINUIDAD DE
NEGOCIO
CONTINGENCIA Y
RECUPERACION DE
DESASTRES
P-GT-01
PSI-5.3-01
Versin
GESTION DE CONTINGENCIAS
1.0
CONTROL DE CAMBIOS
Fecha de
elaboracin
20/09/2010
Fecha de
autorizacin
30/09/2010
Fecha de
revisin
30/09/2011
Realizado por:
Wilmer Rosiasco
Naturaleza de
cambio
Reestructuracin
Versin
1.0
OBJETIVO
Regular las actividades a realizar ante situaciones de contingencia.
ALCANCE
Esta Poltica cubre todas las situaciones de contingencia que se pueden

presentar, tales como: incendios, terremotos, inundaciones, tanto en el centro
de cmputo, como en los diferentes sitios donde se resguardan equipos
informticos en todas las instalaciones del CERLALC, pertenezcan o no al
mismo.
RESPONSABLES
Todos los usuarios

Otusourcing Informtico / Sistemas & T.I.
Sistemas & T.I.
1. Gestin
a. Debe existir un BCP-Plan de Continuidad de Negocio, que a su vez involucre un Anlisis de
Riesgos, Plan de Contingencias, Plan de Recuperacin de Desastres y Plan de
Disponibilidad, con el objetivo de garantizar la continuidad en el funcionamiento de los
activos tecnolgicos del CERLALC y es responsabilidad de su elaboracin el rea de
Sistemas & T.I. y de su aprobacin el Grupo de Organizacin, mtodos y Desarrollos.
b. Debe existir un protocolo de accin y un cronograma de ejecucin, pruebas y ajustes, por
cada uno de los planes enunciados anteriormente.
c. Se entiende por Plan de Continuidad de Negocio todas las acciones administrativas y/o
operacionales tendientes a garantizar la continuidad del negocio ante eventualidades
externas o internas que atente contra el normal funcionamiento de la organizacin
d. Se entiende por Anlisis de Riesgos el estudio que se realiza por un ente interno y/o un ente
externo, con el objetivo de identificar los riesgos existentes, la probabilidad de ocurrencia y
su impacto, para finalmente determinar los controles que mitiguen los riesgos identificados.
e. Se entiende por Plan de Contingencia todas las acciones administrativas y/o operacionales
tendientes a superar fallas, incidentes y eventos en general que interrumpan el normal
funcionamiento de los activos tecnolgicos del CERLALC
f. Se entiende por Plan de Recuperacin de Desastres todas las acciones administrativas y/o
operacionales tendientes a restaurar todos los componentes afectados una vez se han
presentado prdidas materiales o fsicas en eventos o situaciones catastrficas..
g. El plan de Contingencias debe permitir reaccionar ante eventos no esperados sea por
efectos de la naturaleza o humanos (robo, sabotaje, terremoto, incendio, inundacin, toma
de las instalaciones del CERLALC, entre otros).
h. El rea de Sistemas & T.I. es responsable de establecer perodos de actualizacin,
mantenimiento y pruebas del Plan de Continuidad del Negocio.
Propuesta inicial:
Gabriel Bohrquez
Consultor Externo
Modificado por:
Wilmer Rosiasco
Sistemas & T.I.
Revisado por:
Mtodos y Desarrollo
Pgina 53 de 53
Aprobado por:
Director

Manual PSI

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual PSI

Uploaded by

Copyright:

Available Formats

MANUAL DE POLITICAS

DE SEGURIDAD DE LA INFORMACION - PSI

Compendio de directrices que representan una posicin de las directivas, para

La Seguridad determina los riesgos y pretende mitigar los impactos mediante

La informacin es un activo que tiene valor, -que puede estar representada en

El Riesgo se considera como todo tipo de vulnerabilidades, amenazas que

La seguridad informtica es el rea de la Informtica est concebida y

La Seguridad de la Informacin tiene como finalidad la proteccin de la

Se debe entender como la caracterstica de prevenir la circulacin de

Se debe entender como la propiedad que busca mantener y proteger la

Se debe entender como la condicin de acceso a la informacin y a los activos

6. GRUPO DE ORGANIZACIN, METODOS Y DESARROLLO:

9. RESPONSABLES EN LAS ETAPAS DE DESARROLLO DE PSI

Sistemas & T.I.

GESTION Y SEGURIDAD DE ACCESOS

Garantizar un adecuado ambiente de control en la definicin y mantenimiento

Esta norma aplica a todos los usuarios de componentes de la plataforma

Todos los usuarios

Debe contener mnimo cuatro nmeros.

Garantizar un adecuado uso de la informacin por los usuarios con mximos

Garantizar el adecuado uso, proteccin, confidencialidad, integridad y

Esta norma aplica para todos los usuarios de componentes de la plataforma

Todos los usuarios

lo tanto el uso inadecuado de la misma es responsabilidad el usuario.

respetando la privacidad de la persona, si dicha informacin se requiere por la

GESTION DE SEGURIDAD DE LA INFORMACION

Establecer la funcin de administracin de Seguridad Informtica del

Todos los usuarios

GESTION DE LOS ACTIVOS

Garantizar un adecuado uso de la Infraestructura (Software y Hardware) de

Esta norma aplica para todos los usuarios de componentes de la plataforma

Todos los usuarios

Establecer estndares para la configuracin y mantenimiento de los Servidores

del rea de Sistemas & T.I..

e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los

GESTION DE EQUIPOS DE COMPUTO

Establecer estndares para la configuracin y mantenimiento de los Equipos

Todos los usuarios

No realizar actividades de mantenimiento de hardware

GESTION DE LOS EQUIPOS MVILES

Establecer estndares para la configuracin y mantenimiento de los Equipos

Las polticas se aplican para el personal responsable de los equipos de

Todos los usuarios

de computadores personales esta bajo la responsabilidad del Ingeniero de Soporte

GESTION DE LICENCIAMIENTO EN SOFTWARE

Establecer estndares para la gestin de todo el Software Corporativo.

Aplica para el personal responsable de administrar el licenciamiento y control

GESTION DE VULNERABILIDADES TECNICAS

Reglamentar los controles necesarios para prevencin, deteccin y eliminacin

Todos los usuarios

GESTION DE TRAZABILIDAD Y AUDITABILIDAD

Esta Poltica aplica a todos los Sistemas de Informacin utilizados por el

Todos los usuarios

3. Copias de respaldo y recuperacin

GESTION DE SISTEMAS OPERATIVOS

Establecer estndares para la Informacin que debe se gestionada por los

Las polticas se aplican para el personal responsable de administrar los

Todos los usuarios

empleando las herramientas existentes para tal fin..

de la organizacin, incluyendo jefes, ni a miembros de la familia, conocidos o amigos.

GESTION DE SISTEMAS DE INFORMACION

Establecer estndares para la Informacin que debe gestiona en los sistemas

Las polticas se aplican para el personal responsable de administrar los

Todos los usuarios