SUPERINTENDENCIA DE NOTARIADO Y REGISTRO OFICINA DE INFORMATICA

SUPERINTENDENCIA DE NOTARIADO Y REGISTRO OFICINA DE INFORMATICA MANUAL DE SEGURIDAD Y ADMINISTRACIÓN DE LOS CENTROS DE COMPUTO DE LAS OFICINAS DE REGISTRO DE INSTRUMENTOS PUBLICOS SISTEMATIZADAS VERSION 3.0 BOGOTÁ, D.C., MAYO DE 2012

TABLA DE CONTENIDO INTRODUCCION... 4 1 SOBRE LA SEGURIDAD FISICA... 5 1.1 DE LOS CENTROS DE CÓMPUTO... 5 1.2 DE LOS SERVIDORES, EQUIPOS DE COMPUTO Y TELECOMUNICACIONES... 7 2. SOBRE LA ORGANIZACIÓN, EL ORDEN Y EL ASEO... 9 2.1 ACUMULACIÓN DE MATERIAL... 9 2.2 DISPONIBILIDAD DE LOS EQUIPOS... 9 2.3 USO DEL EXTINTOR DE INCENDIOS... 10 2.4 OTROS ASPECTOS... 10 2.5 EL ASEO A LAS PARTES EXTERNAS DE LOS EQUIPOS... 10 3. SOBRE EL MANTENIMIENTO PREVENTIVO Y CORRECTIVO... 10 3.1 EL MANTENIMIENTO PREVENTIVO DE LOS EQUIPOS... 11 3.2 EL CUMPLIMIENTO DEL PLAN DE MANTENIMIENTO... 11 3.3 EL MANTENIMIENTO CORRECTIVO... 12 3.4 EL CONTROL DE MANTENIMIENTO CORRECTIVO Y DE ACTIVIDADES... 12 4. SOBRE COMUNICACIONES... 12 4.1 LOS CABLES LÓGICOS Y ELÉCTRICOS DE RED DE SISTEMAS... 12 4.2 SOBRE LA SEGURIDAD LOGICA... 13 4.3 AMBIENTES DE PRODUCCION, PRUEBAS Y DESARROLLO... 13 4.4 LAS LIBRERIAS, CARPETAS Y BASES DE DATOS... 14 5. SOBRE COMUNICACIONES... 17 5.1 LA CUSTODIA DEL SOFTWARE YN DE LOS DATOS... 17 2

5.2 PUESTA EN PRODUCCIÓN DEL SOFTWARE... 17 5.3 INSTALACIÓN Y USO DEL SOFTWARE... 17 5.4 RESTRICCIPON DE USO... 17 5.5 MANEJO DE CLAVES DE SEGURIDAD, DE SERVICIO Y CONSOLAS... 18 6. SOBRE EL VALOR Y RIESGO DE LA INFORMACIÓN... 19 7. SOBRE LA MOVILIZACION DE EQUIPOS... 23 8 SOBRE LA EXISTENCIA DE INSUMOS EN CASO DE EMERGENCIA... 25 9 CONTROL DE VERSIONES... 26 3

INTRODUCCION Por ser la información uno de los activos más importantes para cualquier entidad, requiere de cuidado, medidas de seguridad y administración para garantizar su integridad e idoneidad. Por esta razón el Centro de Cómputo, las computadoras, El software y los datos en especial deben estar protegidos de una manera estricta. Para lograr establecer políticas sobre la seguridad del sistema, debemos observar dos variables, la Seguridad Física y la Seguridad Lógica. La Seguridad Física es aquella que tiene que ver con la protección del hardware y de las instalaciones donde este se encuentra y la Seguridad Lógica que es la protección de los programas, aplicativos y los datos. Este documento establece las políticas de seguridad y administración, resalta la importancia de poner en práctica las normas pertinentes que darán como resultado un sistema seguro y confiable. 4

1 SOBRE LA SEGURIDAD FISICA Por Seguridad Física entendemos las normas que están encaminadas a proteger los equipos de cómputo y de comunicación, tanto de factores predecibles (como daño, hurto, saboteo) como impredecibles (fenómenos naturales). 1.1 DE LOS CENTROS DE CÓMPUTO Los Centros de Cómputo son las salas adecuadas técnicamente para albergar los computadores principales, de respaldo y los equipos de comunicaciones. El Centro de Cómputo en sus adecuaciones, debe tener los siguientes elementos: 1.1.1. Puerta de Seguridad: Permite mantener hermético el Centro de Cómputo e impide el paso a personas no autorizadas para ingresar a esta sala. NORMA: Está prohibido el ingreso al Centro de Cómputo de Personas no autorizadas. Se consideran personas autorizadas el Registrador, el administrador principal del sistema, el Administrador Suplente, el Jefe de la División Operativa y el personal técnico del Grupo de Informática y Asistencia Técnica y demás personal autorizado por la Superintendencia por medio de oficio dirigido al Registrador de la Oficina. Excepciones: Podrán ingresar al Centro de Cómputo el personal técnico y de mantenimiento de los diferentes proveedores, el personal de aseo y personal de la Oficina que por alguna circunstancia deban realizar algún trabajo no cotidiano. Cuando se cumpla la excepción, el administrador debe registrar el ingreso de los visitantes al Centro de Cómputo en la Bitácora del Sistema. El personal de aseo diario no necesita ser registrado en el Control, pero se requiere que el Administrador, vigile y supervise las actividades que realicen estas personas, con el fin de evitar daños en los equipos ó en la información que se esté procesando. 5

NORMA: La puerta del Centro de Cómputo debe permanecer cerrada y con seguro. Las personas autorizadas para ingresar a esta sala deben tener la llave o el mecanismo de acceso implementado para este fin (carné y contraseña ó llave).es responsabilidad del Registrador velar para que esta norma se cumpla. Excepciones: La puerta del Centro de Cómputo puede dejarse temporalmente abierta, cuando se efectué algún tipo de mantenimiento a esta o cuando se deba ingresar elementos como papelería. Sin embargo es responsabilidad del administrador, la atenta vigilancia cuando esta excepción se cumpla. 1.1.2. Sistema Eléctrico: permite mantener la alimentación de la corriente eléctrica en los equipos de cómputo y telecomunicaciones. Dentro de la Oficina de Registro encontramos el tablero eléctrico que garantiza la calidad de la corriente, éste tiene medidores de corriente, que deben ser monitoreados diariamente, ésta actividad debe quedar registrada en la Bitácora del Sistema. Se debe efectuar monitoreo a la UPS, cuando ésta posea panel de control, por lo menos dos veces al día y se debe registrar en la Bitácora. Excepciones: El sistema eléctrico puede estar en estado NO OPERATIVO únicamente cuando se le efectúe mantenimiento y cuando se registren cortes prolongados de la energía pública y la planta privada del edificio no funcione, o cuando se efectúe mantenimiento a la UPS. 1.1.3. Sistema de Aire Acondicionado: permite mantener la temperatura adecuada dentro del Centro de Cómputo, la cual debe permanecer dentro del rango de 15 C a 20 C. Este sistema previene daños en los equipos de cómputo, que necesitan estar refrigerados para funcionar en forma normal. 6

NORMA: El sistema de Aire Acondicionado debe permanecer en estado operativo mientras los equipos estén en funcionamiento. El Administrador debe asegurar mediante un monitoreo diario, el correcto funcionamiento de este sistema. La actividad debe quedar registrada en la Bitácora del Sistema. Excepciones: Este equipo puede estar en estado NO OPERATIVO, únicamente cuando se le efectúe mantenimiento y cuando se efectúe mantenimiento al sistema eléctrico. 1.1.4. Área de Archivo del centro de Cómputo: permite almacenar los medios magnéticos que contienen las copias de seguridad de la información almacenada, en los equipos de cómputo, el software original, los manuales y documentos especiales que interesan al área de Sistemas. También encontramos muebles, gavetas o estantes organizadores de documentos y de software en medios como disquetes, cintas ó CDS. La manipulación de los medios magnéticos allí custodiados estará a cargo únicamente del Administrador del Centro de Cómputo, así como su organización y seguridad. Se entiende que las copias de seguridad para enviar al Grupo de Informática de la Superintendencia, también serán responsabilidad del Administrador del Centro de Cómputo. Es responsabilidad del Administrador del Centro de Cómputo, llevar el inventario numerado de elementos como: medios magnéticos, que contienen las copias de seguridad de la información almacenada en los equipos de cómputo, el software original, los manuales y documentos especiales que se almacenan en esta área. 1.2 DE LOS SERVIDORES, EQUIPOS DE COMPUTO Y TELECOMUNICACIONES Dentro del Centro de Cómputo encontramos ubicados los equipos servidores, las unidades externas de discos y las unidades de Backup s, así mismo, se encuentran los computadores, los equipos de comunicaciones y las impresoras del sistema. Estos equipos ofrecen a la organización la posibilidad efectuar las operaciones en línea de una forma rápida y confiable, así como la idoneidad y disponibilidad de la información. 7

Debido a este grado de importancia dentro de la infraestructura de la organización estos equipos deben estar debidamente protegidos, por esta razón se deben observar los siguientes puntos: Equipos Servidores de Folio: En estas máquinas, se encuentra la base de datos y las diferentes aplicaciones manejadas en la entidad. Por esta razón el área de equipos ubicada dentro del Centro de Cómputo debe estar protegida y permanecer cerrada. Uso de la llave de acceso a las funciones de la máquina (para los casos en que aplique): Las llaves de las máquinas deben estar en un sobre cerrado y firmado, ubicado dentro del Centro de Cómputo y su custodia es responsabilidad del Administrador del centro de cómputo, quien la suministrará, cuando se requiera, al personal técnico autorizado, se debe anotar el trabajo efectuado en la Bitácora del Sistema. Los equipos de cómputo deben estar en condiciones de prestar servicio todos los días, quince minutos antes de iniciar labores en la Oficina de Registro o Superintendencia. Involucrando servidores, equipos de comunicaciones, impresoras laser (con el software correspondiente, cuando aplique). El encendido de los servidores (SUN, Solaris) se conecta a la corriente eléctrica regulada, se espera 10 minutos y luego se da click en el botón de encendido, vuelve y espera 10 minutos para que la base de datos este disponible a los usuarios. Así mismo para apagarlos, se deben seguir los siguientes pasos: bajar Base de Datos si no está programado su bajado automático, (en los casos que aplique), apagar el servidor por comando (desde el menú de administración o desde línea de comando), realizar el apagado físico, apagar primero C.P.U., después todos los dispositivos externos (cintas, discos, monitor). Para el encendido, apagado de computadores o PC s, el proceso debe realizarse según instrucciones, dadas por los proveedores, teniendo en cuenta el software instalado en ellos. 8

Se debe periódicamente revisar el espacio libre que tienen los discos de los servidores, computadores o PC s, esto para evitar problemas en la adición de segmentos a la base de datos, esta actividad se realiza conjuntamente con la Mesa de Ayuda, el Coordinador de Asistencia Técnica y el Coordinador del Centro de cómputo de Nivel Central. El Coordinador del Centro de Cómputo, debe apoyarse en Mesa de Ayuda para la resolución de incidentes de hardware, software, dispositivos de comunicaciones entre otros. El Coordinador de Asistencia Técnica, debe conjuntamente con la mesa de ayuda, programar, coordinar y supervisar la atención de los requerimientos en desarrollo de operación, servicio y soporte técnico que debe de estar sujeto a las normas del Centro de Cómputo. 2. SOBRE LA ORGANIZACIÓN, EL ORDEN Y EL ASEO La organización, el orden y el aseo son parámetros de gran importancia a tener en cuenta de una manera especial dentro del Centro de Cómputo, porque de estos tres aspectos depende en gran medida la seguridad de los activos que se custodian en el área. NORMAS: Para el uso de la tecnología informática es necesario a demás contar con buena ambientación que mantenga los centros limpios y ordenados este punto es muy importante ya que permite una actividad disciplinada y crea condiciones adecuadas para trabajar. Un Centro de Cómputo desorganizado y sucio genera pérdidas de eficiencia y disminuye la motivación. 2.1 ACUMULACIÓN DE MATERIAL No se debe acumular material combustible (cajas de cartón, plásticos, cables sin uso, entre otros), ni basuras cerca de los equipos de computación. La papelería debe ser solamente la necesaria para el desarrollo normal de las operaciones. 2.2 DISPONIBILIDAD DE LOS EQUIPOS Los computadores e impresoras deben permanecer apagados cuando no estén en uso. 9

2.3 USO DEL EXTINTOR DE INCENDIOS El extintor de incendios debe ser de solcaflán, el uso de otro tipo de extintor puede dañar el equipo o causar heridas al operador. El administrador del centro de cómputo debe tener conocimiento del manejo y fecha de vencimiento del extintor, cuando ésta fecha caduque, hacer el trámite correspondiente para el cambio del extintor. 2.4 OTROS ASPECTOS Está terminantemente prohibido fumar, consumir o mantener alimentos y bebidas dentro del Centro de Cómputo. 2.5 EL ASEO A LAS PARTES EXTERNAS DE LOS EQUIPOS Debe hacerse con un paño húmedo. No deben utilizarse jabones, detergentes o productos similares, el aseo debe efectuarse regularmente. El Administrador del Centro de Cómputo debe monitorear con el personal de aseo estas tareas, con el fin de prevenir accidentes que puedan afectar los equipos de cómputo. Los servidores deben ser usados con cuidado para evitar su deterioro. No debe colocarse material alguno sobre sus unidades. Se debe tener la precaución de no obstruir los orificios de ventilación. Se debe tener especial cuidado, en el manejo de las impresoras cuyas partes son frágiles y fácilmente se pueden romper, averiar o desajustar. El papel debe accionarse con los controles diseñados para ese fin, los cuales además de proteger la impresora, permiten mantener el papel siempre alineado. 3. SOBRE EL MANTENIMIENTO PREVENTIVO Y CORRECTIVO El mantenimiento preventivo y correctivo de los equipos de Cómputo debe ser una actividad contratada con empresas expertas en cada marca o producto, de tal manera, que garanticen un excelente soporte en cualquier evento. El Coordinador de Asistencia Técnica conjuntamente con la Mesa de Ayuda, debe obtener un 10

listado de los proveedores de los servicios de mantenimiento, conociendo básicamente nombre de la Empresa, dirección, Número (s) de teléfono(s), Correo Electrónico, Número de FAX, Pagina Web. Los proveedores del mantenimiento y las personas responsables de coordinar estas actividades por parte de la Superintendencia, deben observar las siguientes normas. NORMAS: La calidad del trabajo de mantenimiento preventivo y correctivo, tiene como base el cumplimiento de los programas de mantenimiento, formularios y cumplimiento de normas de seguridad industrial, permitiendo la mejora continua en los procedimientos para la prestación de este servicio. 3.1 EL MANTENIMIENTO PREVENTIVO DE LOS EQUIPOS El mantenimiento preventivo de los equipos de cómputo debe responder a un plan anual que elaborará la SNR con la mesa de servicio, de acuerdo con cada proveedor. Dicho plan de mantenimiento debe contener como mínimo: la clase de equipo, el número de serie, la ubicación y fecha prevista para realizar la labor. Se debe llevar una carpeta individual por cada equipo. 3.2 EL CUMPLIMIENTO DEL PLAN DE MANTENIMIENTO Se debe verificar el cumplimiento del Plan de Mantenimiento: La verificación la ejercerá el Registrador y el Administrador del Centro de Cómputo, quien será responsable de avisar previamente a los Usuarios afectados. Una vez realizado el trabajo y verificado, se debe registrar el evento en la Bitácora del Sistema. El archivo de esta documentación deberá ser mantenido y controlado por el Administrador del Centro de Cómputo, quien enviará una copia a la Coordinación de Asistencia Técnica, cada vez que se realice un mantenimiento. En el evento en que el proveedor no atienda alguna de las fechas previstas, el Administrador del Centro de Cómputo, programará una nueva cita y verificará su cumplimiento. Si reiteradamente se presenta el aplazamiento de los mantenimientos programados, el Registrador de Instrumentos Públicos, tomará las medidas necesarias y óptimas para garantizar el cumplimiento de los contratos. 11

3.3 EL MANTENIMIENTO CORRECTIVO El mantenimiento correctivo debe estar contratado por las Oficinas de Registro con empresas expertas en las diferentes marcas o productos: Cuando se detecten daños en los equipos de cómputo, equipos de comunicaciones, UPS o plantas eléctricas de emergencia, se debe informar a la Coordinación de Asistencia Técnica en Bogotá, dependencia que tiene diferentes procedimientos, para atender solicitudes de ésta índole. El Administrador del Centro de Cómputo deberá comunicarse con las Empresas autorizadas y certificadas para su arreglo inmediato o el mantenimiento pertinente, obteniendo un número de llamada del proveedor y registrando el daño, el nombre del proveedor, la fecha, el teléfono y el acto a seguir. Se archivará en la carpeta individual de cada equipo, información relacionada con el equipo y copia de los reportes de mantenimiento que ha recibido. 3.4 EL CONTROL DE MANTENIMIENTO CORRECTIVO Y DE ACTIVIDADES En la Bitácora del Sistema, se debe llevar el control de mantenimiento correctivo y el control de actividades. Se debe llevar el registro de las fallas que tengan los equipos, controlando a su vez, la fecha, hora y persona que atendió la emergencia. Este control debe ser revisado al menos una vez al mes por el Jefe de la División Operativa o el Jefe de la División Administrativa ó el Registrador de Instrumentos Públicos. Una vez efectuado el control, la persona responsable debe registrar en la bitácora del sistema la anotación pertinente, la fecha y su firma. 4. SOBRE COMUNICACIONES El control de comunicaciones se debe hacer sobre los medios físicos instalados en la Oficina para tal fin. 4.1 LOS CABLES LÓGICOS Y ELÉCTRICOS DE RED DE SISTEMAS Los cables, tanto lógicos como eléctricos, en sus diferentes trayectos deben estar protegidos por tubería PVC y/o canaleta y las cajas intermedias deben 12

permanecer con llave y con restricción de acceso. Esta verificación es responsabilidad del Jefe de la División Operativa ó el Jefe de la División Administrativa ó el Registrador de la Oficina. 4.2 SOBRE LA SEGURIDAD LOGICA Se entiende la seguridad lógica como el grupo de procesos y normas que tienden a proteger la información. Es decir, que las políticas y normas sobre la seguridad lógica están orientadas a proteger uno de los activos más importantes de la Superintendencia y las Oficinas de Registro, como son los datos y el software compilado. NORMAS: El Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computadorizados emitido por la Contraloría General de la República, establece en la norma Nº 305-03 sobre seguridad lógica, que el acceso a los archivos de datos y programas sólo se permitirá al personal autorizado. Los principales objetivos que persigue la seguridad lógica son: Restringir el acceso a los programas y archivos y asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. 4.3 AMBIENTES DE PRODUCCION, PRUEBAS Y DESARROLLO Los ambientes de producción, pruebas y desarrollo deben ser totalmente independientes en los servidores de la Superintendencia, con el fin de garantizar la protección del software y los datos. Se entiende por ambiente de desarrollo, aquel en donde se ejecutan tareas de diseño y desarrollo nuevos aplicativos, modificar el software ya existente y manipular archivos y bases de datos de pruebas. Se entiende por ambiente de pruebas aquel que permite a los usuarios correspondientes efectuar el seguimiento y buen funcionamiento de ajustes hechos al software existente, o a desarrollos nuevos. El resultado de las pruebas es el que arroja solicitudes de nuevos ajustes o la aprobación del trabajo realizado por el área de desarrollo. 13

Se entiende por ambiente de producción aquel en donde están los aplicativos definidos para el buen funcionamiento de la Superintendencia y las Oficinas de Registro. Allí se encuentran las bases de datos definitivas y el software fuente entregado por el Grupo de Informática o por los proveedores. Es decir, que toda la información válida y de permanente actualización se encuentra en este ambiente; por lo tanto de la idoneidad e integridad de estos datos, depende el buen funcionamiento de la Entidad. En el caso de las oficinas de Registro del País, paulatinamente será borrado el software de programas fuentes, en la medida que se hagan actualizaciones tendientes a estandarizar las aplicaciones. 4.4 LAS LIBRERIAS, CARPETAS Y BASES DE DATOS Las librerías, carpetas y Bases de Datos instalados en producción deben tener Implementada la seguridad. El acceso a este ambiente debe ser controlado en los siguientes niveles: 4.4.1. Seguridad por Usuario: Por seguridad del sistema, cada funcionario tendrá un usuario asignado, el cual es personal e intransferible y se entiende que todas las actividades llevadas a cabo con una identificación de usuario son responsabilidad de su propietario. Cada Registrador o Jefe de División, debe solicitar por escrito al Coordinador del Centro de Cómputo Nivel Central, la asignación de identificación de usuario para sus funcionarios, quienes deben firmar una carta de compromiso o responsabilidad sobre éste. El Administrador del Centro de Cómputo debe expedir el paz y salvo de usuario del sistema, el cual debe ser exigido por el Jefe de la División de Recursos Humanos en la Superintendencia o por el Jefe de la División Administrativa (para el caso de las Oficinas de Registro), en el evento del traslado, rotación o retiro de la Entidad, por parte del funcionario o contratista, en el que se certifica que éste no deja con su identificación de usuario, información pendiente por tramitar que 14

impida el normal funcionamiento de su dependencia; en el caso particular de las Oficinas de Registro, dejar constancia que no posee folios bloqueados, folios o anotaciones temporales ni turnos de documento pendientes por calificar. De igual forma, el Administrador del Centro de Cómputo, debe deshabilitar la cuenta del usuario, tan pronto sea comunicado por el Jefe de Oficina o Coordinador de Grupo que el funcionario de dicha oficina esta ausente, por los motivos planteados anteriormente. Se debe llevar un control escrito (en libro o carpeta especial), sobre la activación, desactivación de usuarios, indicando las fechas de cada evento, para ello se debe diligenciar formato anexo a este documento. El Administrador del Centro de Cómputo, debe observar que todo usuario debe estar sujeto a los parámetros del sistema, en cuanto a caducidad de la contraseña (máximo quince (15) días) y Número de intentos máximos errados antes de desactivar el usuario (3 intentos). Se debe ingresar el nombre del funcionario al que se le asigna un usuario, y la fecha actual, en el momento de la creación de éste, tanto en el sistema operacional, como en las aplicaciones. No se debe asignar un mismo código de usuario a dos o más funcionarios. Por ninguna razón se debe efectuar el ingreso a otros usuarios a través del superusuario del sistema. 4.4.2. Seguridad de acceso a librerías, carpetas y Aplicaciones instaladas: Estos tipos de acceso los manejará la Oficina de Informática a partir de la asignación de menús, limitación de líneas de comandos y autorizaciones especiales, creación de perfiles de grupo y descripciones de trabajo, aplicando seguridad a nivel objeto. Las estadísticas que se tengan definidas, deben ser entregadas a los jefes de división y al registrador, en los términos establecidos (mensual, trimestral, anual u 15

otros) según el caso, orientándolos sobre la interpretación de las mismas para establecer los correctivos necesarios. Se debe dar soporte a los funcionarios usuarios del sistema, en cuanto al manejo y operación de las aplicaciones existentes en los diferentes servidores de la Entidad. Revisar que en los microcomputadores existentes en la Entidad, no exista software sin licenciamiento, el Administrador del centro de Cómputo, tiene autonomía para quitar dicho software. Enviar por medio escrito, al Grupo de Informática, las novedades, solicitudes o reporte de falencias en el desempeño de las aplicaciones instaladas en los servidores de la entidad, está completamente prohibido modificar archivos fuentes en caso de que existan. Los usuarios y sus opciones se deben registrar en el Diccionario de Datos de la Base de Datos, bajo el directorio /home/menu, para facilitar la parametrización y el manejo de la seguridad del sistema. 4.4.3. En cuanto a la información contenida en la Base de Datos:: Las modificaciones a los datos del sistema de información, deben ser hechas por medio de las opciones de cada uno de los usuarios de la aplicación, el administrador del Centro del Cómputo puede modificar la información a través de comandos dados directamente en SQL*Plus únicamente, cuando exista debida justificación escrita del Jefe de División o Registrador, previa verificación y aprobación, por parte de un ingeniero del Grupo de Informática o de la Coordinación de Asistencia Técnica; este caso debe ser registrado en Bitácora indicando evento y nombre del funcionario de la Superintendencia que autorizó. Verificar el fraccionamiento de los tablespace de la base de datos existentes en los servidores, con el fin de establecer los correctivos de caso, si el administrador del centro de cómputo tiene dudas de cómo obtener ésta información, debe comunicarse con la Coordinación de Asistencia Técnica, para recibir la asesoría necesaria. 16

Realizar depuraciones en la Base de Datos, sobre la información correspondiente a usuarios creados, con el fin de tener información confiable y veraz al respecto. En las Oficinas de Registro, diariamente el Administrador debe registrar en la Bitácora del sistema información relacionada con: 1 Número de matriculas y anotaciones en la Base de Datos. 2 Número y Rango de Redologs copiados a medio magnético. 3 Mensajes de alerta y/o error que se reporten en la consola de los servidores. 4 Hora de Inicio del Backup de la Base de Datos. 5. SOBRE COMUNICACIONES 5.1 LA CUSTODIA DEL SOFTWARE YN DE LOS DATOS La custodia del software y de los datos es responsabilidad de cada Oficina de Registro de Instrumentos Públicos, en cabeza del Registrador correspondiente. Ojo Se debe enviar diariamente un Backup de los archivos de datos (colbackup) a un banco o empresa de seguridad, de modo que se conserven allí copias de los últimos quince (15) días de operación. 5.2 PUESTA EN PRODUCCIÓN DEL SOFTWARE El traslado de software del ambiente de desarrollo al ambiente de pruebas y producción, debe ser autorizado por el Jefe de la Oficina Asesora de Informática y ejecutado por el ingeniero que éste asigne. 5.3 INSTALACIÓN Y USO DEL SOFTWARE Cualquier desarrollo de sistemas, uso de paquetes comerciales o programas, debe ser coordinado y autorizado por la Oficina Asesora de Planeación e Informática. 5.4 RESTRICCIPON DE USO Está prohibido el uso de los equipos de la Superintendencia ó de las Oficinas de Registro, para el desarrollo de programas o el uso de paquetes comerciales para beneficios personales. 17

Sólo se deben utilizar los paquetes aceptados por la Oficina Asesora de Informática y la Coordinación de Asistencia Técnica, con el fin de mantener un estándar general para la Superintendencia y las Oficinas de Registro. Se encuentran PROHIBIDAS las conexiones remotas entre Oficinas de Registro, para cualquier fin, en caso de requerirse, deben ser canalizadas a través de la Coordinación de Asistencia Técnica de la Superintendencia. Para la futura Red Nacional Inmobiliaria, se establecerá la normatividad para las conexiones entre Oficinas de Registro y la Superintendencia. 5.5 MANEJO DE CLAVES DE SEGURIDAD, DE SERVICIO Y CONSOLAS Para los servidores se tienen niveles de acceso según se definan los usuarios. Un usuario puede tener características de usuario de la Aplicación ó de operador del sistema ó de Administrador. Para manejar la clave de seguridad se deben tener en cuenta los requisitos mínimos que impidan un manejo inadecuado de ella. Las claves de servicio son las utilizadas por los proveedores para dar el respectivo soporte y también debe observar especiales medidas de seguridad. Las consolas del sistema son las terminales principales que facilitan las labores de operación y de monitoreo de los servidores. NORMAS: Crear contraseñas seguras y fuertes con una rara combinación de números y letras de manera que sea difícil que alguien pueda ingresar a su correo, pc, cuentas de ahorro, etc., y a la vez, fácil de recordar. 6.1. La consola sólo debe ser usada para manejar emergencias o ajustes de rendimiento o eventos especiales como instalación de software o cambios de software operativo: ya que la consola del sistema siempre está la prioridad más alta de ejecución permisible. Excepciones: El Administrador del Centro de Cómputo deberá efectuar regularmente las revisiones periódicas de los archivos messages del sistema operacional y alert.log de ORACLE, para detectar y corregir los problemas 18

oportunamente, a través de la consola; dejará las constancias sobre las observaciones y los resultados en la bitácora del sistema en cuanto a los mensajes de error, sus interpretaciones y las acciones a seguir en cada uno de los tipos de fallas detectadas. En todo caso, deberá solicitar el soporte a la Coordinación de Asistencia Técnica. Las contraseñas de los usuarios root (superusuario) y folio, deben ser hasta de ocho(8) dígitos, combinando letras y números, cambiadas como máximo cada 15 días y enviadas en sobre cerrado al Registrador de la Oficina, para su custodia, quien lo abrirá cuando el administrador del centro de cómputo no se encuentre y se deban hacer procedimientos que requieran las contraseñas, dichos procedimientos, serán realizados únicamente, por personal autorizado por la, de las Dependencias de Coordinación de Asistencia Técnica o Informática. El manejo de la clave del usuario de la aplicación (folio), es responsabilidad únicamente del administrador, tiene autonomía y debe responder por el uso dado a éste usuario. 6. SOBRE EL VALOR Y RIESGO DE LA INFORMACIÓN La propiedad de los datos procesados por un sistema, es de cada Oficina de Registro y el propietario o usuario principal de cada aplicación debe ser el Administrador del Centro de Cómputo designado por el Registrador de Instrumentos Públicos de la Oficina correspondiente. Debe existir un Administrador Principal y un Administrador Auxiliar o Suplente en cada oficina. Pero todos los aplicativos y software tendrán registrado como único propietario a la. NORMAS: El Sistema de Gestión de la Seguridad de la Información (SGSI) basada en la Norma ISO 270001, es la parte del sistema de gestión global basada un enfoque de riesgos del negocio, para implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 19

6.1. LA RESPONSABILIDAD PRIMARIA DE LOS DATOS El Administrador del Centro de Cómputo, tiene la responsabilidad primaria por los datos, debe determinar el valor y riesgo de los datos de su aplicación, determinar los niveles requeridos de control y restricciones de acceso y definir los requerimientos de archivo. 6.2. BACKUP S La actividad de tomar una copia de uno o más archivos en un segundo medio magnético se denomina "Backup". Los Backup s en medios magnéticos externos (cintas, diskettes, entre otros) deben ser hechas con todas las seguridades del caso, para tener una buena contingencia en caso de requerirse una recuperación de información cuando ocurra cualquier evento anormal, se debe tener suficientes copias de las cintas, para permitir la rotación sin poner en riesgo la actualización de la información. Para los equipos servidores, se debe tener un registro exacto de las copias de seguridad que reposan en el archivo externo en la bitácora del Sistema, esta tarea es responsabilidad del Administrador del Centro de Cómputo. Se deben hacer los trámites correspondientes con la División Administrativa (En las Oficinas de Registro) o Coordinación de Asistencia Técnica, para garantizar un stock de cintas magnéticas nuevas. Se deben mantener copias en medio magnético, actualizadas y verificadas, de los servidores que se utilizan en la Superintendencia y las Oficinas de Registro, los principales Backup s son: El Backup de la base de datos (colbackup y/o exports), es de vital importancia, por lo tanto, el Registrador de cada Oficina de Registro o Jefe de División, debe controlar "personalmente" que esta tarea se efectúe diariamente. Backup del sistema operacional: copia de los directorios de configuración y administración del servidor. 20

Backup de aplicación, copia de las aplicaciones, en las que se deben tener en cuenta archivos fuente y compilado de formas, reportes, scripts y principales archivos de configuración de las diferentes aplicaciones que se ejecutan en los servidores. Backup de motor de Base de Datos. 6.2.1. Toma de Backups diarios en los servidores Solaris, con aplicaciones bajo Oracle: Dentro del menú del usuario de administración, se encuentran las opciones de Bajar redologs a cinta y tomar Backup a la base de datos, las cuales se ejecutan diariamente, el administrador debe realizar los procesos necesarios, para que en el Backup de la Base de Datos, sean guardados archivos de configuración y acceso del sistema, configuración de discos duros y archivos para el manejo de usuarios, tales como: archivos con extensiones *.ora, *.sql, ubicados en el subdirectorio dbs del usuario oracle, archivos passwd, group, vfstab, hosts, shadow, services, remote, del directorio /etc/. BACKUP DIARIO 1- Redologs 2- Base de Datos, con los indicados anteriormente. Se tomaran dos copias de la Base de Datos a cinta, se conservarán por un período semanal de rotación, hasta el siguiente día correspondiente. 6.2.2. Backups especiales del Sistema en los Servidores Solaris, con aplicaciones bajo Oracle: Estos Backup s nos garantizan la conservación de la información propia del equipo servidor; su realización debe ser mensual y trimestral o cuando se efectúen cambios. UP CLASE CONSERVACIÓN Mensual Base de datos En la Oficina de Registro, cada cinta marcada con el nombre del mes, se conserva por un año. Trimestral Base de datos En la Oficina Asesora de Informática, cada cinta se rota y una vez se reciba, se envía cinta anterior a cada Oficina 21

Aplicación En la Oficina Asesora de Informática, cada cinta se rota y una vez se reciba, se envía cinta anterior a cada Oficina Anual ó cuando ocurran cambios Base de datos. En la Oficina de Registro, cada cinta marcada con el nombre del año, se conserva por el mismo período. Oracle En la Oficina de Registro, las cintas se conservan mientras que se produzcan nuevos cambios. Aplicación En la Oficina de Registro, se toman las siguientes copias: Antes de los cambios a la aplicación. Después de los cambios a la aplicación Las cintas se conservan mientras que se produzcan nuevos cambios Mensual Sistema Operacional En la Oficina de Registro, las cintas se conservan mientras que se produzcan nuevos cambios. 6.2.3. Backup s de Servidores de respaldo de Folio: Estos Backup s aplican a las Oficinas de Registro que cuentan con un servidor de respaldo que nos garantizan la conservación de la información propia del equipo servidor de producción a otro de características inferiores o que anteriormente se encontraba en producción; su realización debe ser diaria y en horas no hábiles o cuando se efectúen cambios en la aplicación de folio. 6.2.4. Backup s en Servidor de la Coordinación de Asistencia Técnica: Estos Backup s aplican a las Oficinas de Registro que están conectadas a la red nacional y nos garantizan la conservación de la información propia del equipo servidor de producción; su realización debe ser una vez a la semana y en horas no hábiles. 22

6.2.5. Backup s otros servidores: El Administrador del centro de cómputo, debe realizar los procedimientos necesarios para obtener Backup s descritos en el Ítem 6.2, de los diferentes servidores existentes en los que se ejecutan diferentes aplicativos como nómina, contabilidad, inventarios, reparto notarial, quejas y reclamos, procesadores de texto, hoja electrónica, mail, redes entre otros. La periodicidad de estos Backup s debe realizarse según criterio establecido por el administrador del centro de cómputo teniendo en cuenta aspectos como: Sugerencias del Proveedor del software y/o manejador de Base de datos. Frecuencia de las transacciones de lectura/escritura realizadas en la Base de Datos. Crecimiento de la Base de Datos. Valor y Riesgo de los datos. 6.2.6. Backup s en los computadores: El valor y riesgo de los datos almacenados en los computadores de la Superintendencia y de las Oficinas de Registro, son determinados por cada funcionario, por consiguiente, el funcionarios encargado de cada área, División, Oficina o Departamento es responsable por la custodia de los datos de los computadores de su área y de tomar o coordinar los Backup s en CD s, DVD s, discos externos y otros dispositivos de almacenamiento de los datos que consideren importantes para evitar pérdidas en el evento de un siniestro o falla del computador. Los Backup s deben guardarse en una caja fuerte o en una caja de seguridad a prueba de incendio en las Oficinas en las que se cuente con estos medios. La persona responsable definirá el tiempo de retención de los Backup s y su rotación. 7. SOBRE LA MOVILIZACION DE EQUIPOS La movilización de equipos es una práctica que se lleva a cabo dentro de cualquier organización debido a los cambios en la estructura organizacional o en la infraestructura de las oficinas o simplemente debido a actualizaciones 23

tecnológicas, cuando ocurra un evento de esta naturaleza se deben observar las siguientes normas. NORMAS: Ubicar el lugar adecuado, uso de mobiliario y equipo ergonómico de acuerdo a las Políticas de seguridad e higiene 7.1 RETIRO DE LOS EQUIPOS Todo retiro de equipos (servidores, impresoras, unidades de cinta, módems, hubs, switch, router, computadores) del centro de cómputo, debe ser debidamente documentado y autorizado por el Jefe de la Oficina de Planeación e Informática, el Coordinador de Asistencia Técnica ó el Registrador. La documentación debe ser evidencia clara del movimiento de los equipos, en la cual se deben registrar las causas del retiro y todos los aspectos relacionados con el proceso. De igual forma, se debe actualizar el inventario del Centro de Cómputo. 7.2 CONSERVACIÓN DE LA INFORMACIÓN En caso de retiro de un servidor por un periodo de tiempo temporal o definitivo, se debe borrar la información vital de los discos duros, copiando previamente esta información a medio magnético externo (si se justifica) para mantenerla en Backup durante el tiempo establecido por la Oficina de Informática. No se deben retirar de la Superintendencia o de Oficinas de Registro, equipos que contengan información o de la Base de Datos o de cualquier aplicación, con el fin de evitar la pérdida de confidencialidad de la misma. Se debe evaluar si el Disco debe ser inicializado o si debe permanecer con el software básico (Sistema Operacional, compiladores, entre otros) dependiendo del lugar de destino o motivo de retiro. 7.3 MOVIMIENTO DEL INVENTARIO En caso de movilización de computadores u otros equipos entre diferentes puntos de la Superintendencia o de las Oficinas, se debe registrar el movimiento, en el 24

formato de control y actualización de los inventarios y se debe reportar la novedad al Grupo de Inventarios de la Superintendencia ó a las Divisiones Operativas ó Administrativas de las Oficinas de Registro. 8 SOBRE LA EXISTENCIA DE INSUMOS EN CASO DE EMERGENCIA NORMA: Se debe mantener en la Dirección Administrativa de la Superintendencia u Oficina de Registro, stock adecuado de insumos para el manejo de los equipos de cómputo. Papel de Impresoras Láser Forma continua para las Impresoras de matriz de puntos Papel térmico para las máquinas de FAX. Toner y piezas de desgaste de las impresoras láser. Cinta de impresora y piezas de desgaste. Medios magnéticos removibles (Discos Ópticos, CD s, DVD s, Cintas magnéticas y cartuchos). Otros Se debe efectuar un estudio de la rotación de estos insumos, algunos son perecederos; otros se pueden volver a utilizar un número predeterminado de veces, según especificaciones del fabricante. 25

9 CONTROL DE VERSIONES VERSION NATURALEZA DEL CAMBIO 1.0 Noviembre de 2001 Actualización de la información solicitada por la Oficina Asesora de Planeación e Informática. 2.0- Febrero de 2010 Ajustes desde el Centro de Cómputo Nivel Central. 3.0- Mayo de 2012 Actualización de la Información solicitada por la Jefatura de Informática REVISÓ: Ing. Mario Perdomo Devia Ing. Oscar Fabián Corredor C. Coord. Centro de Cómputo Coord. Asistencia Técnica SNR SNR PROYECTÓ: Ing. Luz Marina Mejía I. Profesional Universitario Oficina de Informática - SNR APROBÓ: Ing. Elba Lucía Corredor Jefe Oficina de Informática SNR 26