Definicin de polticas de seguridad

informtica de los servidores y sitios web

del Sistema de Investigacin de la
Universidad Nacional - SIUN
Disposiciones generales

Introduccin
En este documento se sealan diversos agentes, relacionados con la seguridad de la informacin, encaminados
a definir un conjunto de prcticas y lineamientos para mantener la seguridad de los servidores y sitios web del
Sistema de Investigacin de la UN - SIUN.

Trminos y definiciones
Para los propsitos de estandarizar y precisar los aspectos que intervienen en el presente documento, se
establecen los siguientes trminos y definiciones1:

Activo: cualquier cosa que tenga valor para la organizacin (informacin).

Confidencialidad: la propiedad que un activo est disponible y no sea divulgado a personas, entidades
o procesos no autorizados.
Integridad: propiedad de salvaguardar la exactitud e integridad de los activos
Disponibilidad: la propiedad de un activo de estar disponible y utilizable cuando lo requiera una
persona, entidad o proceso autorizados.
Seguridad de la informacin: preservacin de la confidencialidad, integridad y disponibilidad de la
informacin.
Poltica: arte o traza con que se conduce un asunto o se emplean los medios para alcanzar un fin
determinado2. Declaracin de los principios que presenta la posicin de la administracin para un rea
de control definida3.
Evento de seguridad de la informacin: una ocurrencia identificada del estado de un sistema, servicio
o red indicando una posible violacin de la poltica de seguridad de la informacin o falla en las
salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad.
Incidente de seguridad de la informacin: un solo, o una serie, de eventos de seguridad de la
informacin no deseados o inesperados que tienen una significativa probabilidad de comprometer los
procesos y amenazan la seguridad de la informacin.

1
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL COMMISSION. ISO/IEC-
27001:2005. Primera edicin.
2
REAL ACADEMIA DE LA LENGUA ESPAOLA. poltico, ca. {En lnea}. {23 septiembre 2014}. Disponible en:
(http://buscon.rae.es/drae/srv/search?id=N8z4PHRJ5DXX20xsnrZh).
3
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009: Por el cual se
definen y aprueban las polticas de Informtica y Comunicaciones que se aplicarn en la Universidad Nacional de
Colombia.
 Usuario: persona que usa una cosa con cierta limitacin.
Cuenta de usuario: una instancia que permite identificar al usuario de un sistema informtico para
hacer uso del mismo.
Servidor: Unidad informtica que proporciona diversos servicios a computadoras conectadas con ella a
travs de una red4.
Sitio web: conjunto de pginas relacionadas y comunes a un dominio.
CMS: Content Management System (Sistema de Administracin de Contenidos) es el sistema que
administra los contenidos que son cargados y publicados en un sitio web.

Objetivos
Objetivo general
Definir prcticas mediante las cuales se preserve la seguridad de la informacin de los servidores y
sitios web del Sistema de Investigacin de la UN SIUN.

Objetivos especficos
Concienciar a los usuarios sobre la necesidad e importancia de comprender los riesgos de seguridad
informtica de los servidores y sitios web del Sistema de Investigacin de la UN - SIUN.
Adoptar y ejecutar un conjunto de lineamientos para establecer buenas prcticas de uso de la
infraestructura tecnolgica con el que se minimice la probabilidad de ocurrencia de incidentes
informticos (control del riesgo informtico) de los servidores y sitios web del SIUN y se pueda
responder a eventos inesperados e indeseados.

Alcance
Con base en estas polticas, se establecen los procedimientos que se aplican a la seguridad informtica
de los servidores y sitios web del Sistema de Investigacin de la UN SIUN.
Las directrices aqu definidas aplican a los usuarios de los servidores y sitios web del Sistema de
Investigacin de la UN SIUN.

Justificacin
La interconexin, casi generalizada, de diversos sistemas y redes de internet, que se extiende mucho ms all
de los lmites nacionales, ha propiciado una infraestructura operativa que abarca diversos sectores que
intercambian grandes volmenes de informacin. sta hace que los sistemas y redes individuales sean ms
vulnerables ya que estn expuestos a una gran variedad de amenazas que pueden ocasionar prdida,
alteracin o propagacin no autorizada de la informacin.

Para identificar amenazas, es necesario conocer los diversos tipos de ataques y los propsitos de quienes los
llevan a cabo. Los tipos ms comunes son: la falta de actualizaciones de seguridad, procedimientos de inicio de
sesin defectuosos y la falta de conocimientos sobre vulnerabilidades informticas5.

4
REAL ACADEMIA DE LA LENGUA ESPAOLA. servidor, ra. {En lnea}. {23 septiembre 2014}. Disponible en:
(http://lema.rae.es/drae/srv/search?id=OAM4DFt4b2x5Nhp2owJ).
5
SEGURIDAD INFORMTICA: NOTICIAS DE SEGURIDAD INFORMTICA. 5 de fallas de seguridad de tu sitio web que
puedes solucionar ya!. {En lnea}. {23 septiembre 2014}. Disponible en: (https://seguinfo.wordpress.com/2012/08/27/5-
de-fallas-de-seguridad-de-tu-sitio-web-que-puedes-solucionar-ya/).
Es de resaltar que gran parte de los incidentes de seguridad de la informacin ocurren por el desconocimiento
o descuido de los usuarios que intervienen en el sistema o por la ausencia de mecanismos de control de riesgos
informticos.

Los siguientes apartados justifican completamente la necesidad de definir e implementar un conjunto de

polticas que, mediante la evaluacin del riesgo informtico al cual el sistema est expuesto, los anticipe y que
minimice la posibilidad de ocurrencia de incidentes informticos.

Antecedentes
Los das 27 y 28 de marzo de 2014, por solicitud de profesor Alexander Gmez Meja, como vicerrector de
investigacin, se contact a Alexis Miguel Taborda, jefe de la Oficina de Tecnologas de Informacin y
Comunicaciones de la sede Manizales, quien realiz una visita a las instalaciones de la Vicerrectora de
Investigacin con el objetivo de evaluar la pertinencia de la contratacin de una auditora en seguridad
informtica con el fin de minimizar ataques a la infraestructura Hermes y a las otras pginas adscritas a la
Vicerrectora de Investigacin6.

El informe ejecutivo de la visita recomienda, entre otras cosas, lo siguiente:

1. Realizar la definicin inmediata el CMS estndar de la Universidad.

2. Migrar de manera inmediata los portales que se encuentran en Joomla 1.5 al CMS que se defina.
3. Definir el procedimiento de actualizaciones de versin en el CMS definido y las diferentes extensiones
para que, inmediatamente salga la nueva versin, se inicie el proceso de migracin.
4. Definir el procedimiento para las actualizaciones de los servicios y sistema operativo de los servidores
en cuanto salgan las nuevas versiones de los mismos.
5. Definir el procedimiento de administracin de contraseas.
6. Realizar un anlisis de vulnerabilidades automatizado que encuentre fallas comunes en los aplicativos.
7. Elaborar un procedimiento de auditoras internas para verificar el cumplimiento de los procedimientos
antes mencionados.

Ataques comunes a sitios y servidores web

Inyeccin SQL
Los ataques de inyeccin, ms especficamente SQLI (Structured Query Language Injection), es una tcnica para
modificar una cadena de consulta de base de datos mediante la inyeccin de cdigo en la consulta. El SQLI
explota una posible vulnerabilidad donde las consultas se pueden ejecutar con los datos validados. Puede ser
utilizada para obtener acceso a las tablas de bases de datos, incluyendo informacin del usuario y la
contrasea.

Los ataques de inyeccin SQL se producen cuando un hacker intenta insertar comandos SQL en los campos de
la pgina web. En el caso de que un dato contenga una comilla simple () al final de un nombre de usuario, su
base de datos podra ver esto como una consulta SQL construida. Debido a esto, se podra recibir datos de una
consulta SQL.

6
ALEXIS MIGUEL TABORDA SALAZAR. Oficio CC-067: Resumen de informe de visita e Informe final de la visita efectuada a
la Vicerrectora de Investigacin los das 27 y 28 de marzo de 2014.
DDoS
La Denegacin de Servicio DoS o Denegacin de Servicio Distribuida - DDoS son las formas ms comunes para
congelar el funcionamiento de un sitio web. Estos son los intentos de inundar un sitio con solicitudes externas,
por lo que ese sitio no podra estar disponible para los usuarios reales. Los ataques de denegacin de servicio
por lo general se dirigen a puertos especficos, rangos de IP o redes completas, pero se pueden dirigir a
cualquier dispositivo o servicio conectado.

Fuerza Bruta
Bsicamente se intenta romper todas las combinaciones posibles de nombre de usuario y contrasea en una
pgina web. Los ataques de fuerza bruta buscan contraseas dbiles para ser descifradas y tener acceso de
forma fcil.

Cross Site Scripting

Los atacantes utilizan Cross Site Scripting - XSS para inyectar scripts maliciosos en lo que seran sitios web
inofensivos. Debido a que estos scripts parecen provenir de sitios web de confianza, el navegador de los
usuarios finales casi siempre ejecuta la secuencia de comandos, la concesin de los piratas informticos el
acceso a la informacin contenida en las cookies o tokens de sesin utilizados con ese sitio. El XSS
generalmente se utiliza para obtener acceso de un usuario de la cuenta.

Defacement
Es un ataque a un sitio web que cambia el aspecto visual del sitio o una pgina web. Estos son por lo general el
trabajo de los crackers de sistemas, que irrumpen en un servidor web y sustituyen el sitio web alojado con uno
de los suyos. Defacement se entiende generalmente como una especie de grafiti electrnico, aunque
recientemente se ha convertido en un medio para difundir mensajes por motivos polticos "manifestantes
cibernticos" o hacktivistas.

Ingeniera social
Es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una
tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes
informticos, para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan
realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el eslabn dbil".
En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, fingiendo
ser, por ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o
un cliente. Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de
acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas cadenas, llevando as a
revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros
sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones,
-por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener
que encontrar agujeros de seguridad en los sistemas informticos.

Fallas al restringir acceso URL.

Una pgina en el sitio que no sea no validada puede permitir el acceso reas restringidas mediante la
manipulacin de la URL otorgando permisos administrativos a un atacante. Por ejemplo tener una pgina
admin.php como centro de control y no validar su acceso.
Forwards y Redirects no validados.
Permitir que el sitio web enve a sus visitantes a otra pgina o sitio sin validar puede dejarlos caer en sitios de
phising o malware, lo cual es inconveniente para su reputacin.

Inclusin de ficheros remotos (RFI Remote File Inclusion)

El RFI es uno de los ataques favoritos contra (o a travs) de pginas web para los hackers, en 2011 se situ
entre los cuatro ataques ms comunes contra pginas web. Este tipo de ataques es tan popular ya que a travs
de una explotacin exitosa de la vulnerabilidad obtener el control del servidor de la web y adems permite un
realizar defacements de manera relativamente sencilla.

RFI o LFI es posible gracias a la existencia de parmetros vulnerables en el cdigo PHP en las pginas web que
referencian a objetos externos sin filtrarlos.

El ataque RFI es posible solo en pginas web que cumplan con ciertos requisitos:

Primero deben tener cdigo PHP, ya que permite enlace a archivos remotos. Actualmente se calcula
que tres cuartas partes de las webs contienen cdigo PHP, entre ellas Facebook, Wikipedia y
WordPress.
La programacin del cdigo debe contener errores bsicos de seguridad, aunque mucho ms comunes
de lo que se pueda pensar, como la falta de filtrado de los datos.

El problema aparece si el cdigo de las funciones que toman archivos externos no est suficientemente
filtrado, en ese caso se podra crear una peticin manipulada a travs de la cual se podra ejecutar cdigo,
aadir ficheros... directamente en el servidor.

Fuga de informacin
Mas que ser un ataque, es un error del administrador del sitio, el cual consiste en dejar pblico el registro de
errores, lo que facilita al atacante ver las fallas exactas del sistema, tomar provecho de estas, y obtener el
control parcial o total del sitio.

Marco normativo
La normativa relacionada con las polticas de seguridad, que en este documento se definen, se relata a
continuacin:

Normativa internacional
ISO/IEC 27001: proporciona un modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin (SGSI).
ISO/IEC 27002: proporciona recomendaciones de las mejores prcticas en la gestin de la seguridad de
la informacin a todos los interesados y responsables en iniciar, implantar o mantener un Sistema de
Gestin de la Seguridad de la Informacin (SGSI).
ISO/IEC 27005: proporciona directrices para la gestin del riesgo de seguridad de la informacin en una
organizacin.
Directrices de la OCDE (Organization for Economic Co-operation and Development) para la seguridad
de sistemas y redes de informacin: Hacia una cultura de seguridad.
Normativa nacional e institucional
Ley 1273 de 2009: Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado - denominado de la proteccin de la informacin y de los datos y se preservan integralmente
los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras
disposiciones.
Acuerdo 046 de 2009 CSU: Por el cual se definen y aprueban las polticas de Informtica y
Comunicaciones que se aplicarn en la Universidad Nacional de Colombia.
Gua para la elaboracin de polticas de seguridad Direccin Nacional de Informtica y
Comunicaciones.

Lineamientos generales
Principios
Los principios que dirigen la definicin de las polticas de seguridad, y que son transversales a la aplicacin de
las mismas, son la implementacin de las directrices de la OCDE para la seguridad de sistemas y redes de
informacin.

1. Concienciacin: los usuarios de los servidores y sitios web del SIUN debern ser conscientes de la
necesidad de contar con un sistema seguro y conocer los modos de mejorar la seguridad.
2. Responsabilidad: todos los usuarios son responsables de la seguridad de los servidores y sitios web del
SIUN, segn aplique.
3. Respuesta: los usuarios de los servidores y sitios web del SIUN deben actuar de manera adecuada y
conjunta para prevenir, detectar y solucionar incidentes de seguridad de la informacin.
4. tica: los usuarios de los servidores y sitios web del SIUN deben respetar los intereses legtimos de
terceros. Es decir, reconocer que sus acciones o la falta de ellas ocasionan daos a terceros.
5. Democracia: la seguridad de los servidores y sitios web del SIUN debe ser compatible con los valores
esenciales de una sociedad democrtica.
6. Evaluacin del riesgo: los usuarios de los servidores y sitios web del SIUN deben llevar a cabo
evaluaciones de riesgo informtico.
7. Diseo y realizacin de la seguridad: los usuarios de los servidores y sitios web del SIUN deben
incorporar la seguridad como un elemento fundamental de todos los productos.
8. Gestin de la seguridad: los usuarios de los servidores y sitios web del SIUN deben adoptar una visin
integral de la administracin de la seguridad informtica en aras de crear un sistema coherente de
seguridad.
9. Reevaluacin: los usuarios de los servidores y sitios web del SIUN deben revisar, reevaluar y realizar las
modificaciones adecuadas sobre polticas, prcticas, medidas y procedimientos de seguridad.

Centralizacin
La informacin almacenada en los sitios web del SIUN, hospedados en sus servidores, estar concentrada bajo
un mismo CMS con el objeto de mantener la organizacin y estandarizacin de la estructura y la presentacin
de sus contenidos.
Polticas de seguridad
Las siguientes polticas, complementarias entre s, son de inters y aplicabilidad general y en todos los niveles,
tanto en el mbito administrativo y tcnico. Conservan una clasificacin respondiendo al conjunto de riesgos
que comprometen la seguridad de la informacin.

Responsabilidades
1. El SIUN tendr como responsabilidad definir, aplicar, evaluar y modificar las polticas de seguridad de
sus servidores y sitios web, as como establecer la frecuencia de su actualizacin.
2. Todos los usuarios de los servidores y sitios web del SIUN debern aplicar las polticas de seguridad de
los sitios web del SIUN y el SIUN har seguimiento de su cumplimiento.

Acceso fsico
1. La Direccin Nacional de Tecnologas de la Informacin y las Comunicaciones DNTIC ser la
responsable de la administracin fsica de los servidores del SIUN, del acceso fsico a ellos y de la
regulacin de la energa para su correcto funcionamiento.

Acceso lgico
Gestin de cuentas de usuario
1. Perfiles de usuario: se clasificarn las cuentas de usuario, con los privilegios adecuados sobre el CMS y
sin llegar a ser sobredimensionados, de acuerdo a la responsabilidad, actividades laborales y
dependencia a la que pertenezca un usuario de los sitios web del SIUN.
2. Administracin de cuentas de usuario: es responsabilidad de las dependencias usuarias designar un
administrador que crear, asignar, mantendr y eliminar las cuentas de usuario, con el perfil
adecuado, para la administracin de contenidos del sitio web correspondiente.
3. Cuentas de usuario de base de datos: los administradores de los servidores, dnde se encuentran
alojados sitios web, debern crear un usuario de base de datos diferente para cada sitio web y
proporcionarle acceso slo a la base de datos del sitio web especfico, restringiendo sus permisos a:
SELECT, INSERT, UPDATE, DELETE, FILE y CREATE TEMPORARY TABLES, y aadir otros permisos
slo si es necesario para el funcionamiento del sitio.
4. Nombres de cuentas de usuario: la asignacin de los nombres de cuentas de usuario no debe ser
arbitraria. Deber cumplir las siguientes caractersticas:
a. Debe reflejar el cargo o la funcin que el usuario desempea y la dependencia a la que
pertenece.
b. No debe estar relacionado con el nombre del sitio web, del cargo, funcin o informacin del
funcionario asociado.

Gestin de contraseas
1. Asignacin de contraseas: se fijarn contraseas a las cuentas de usuario que se asignen por primera
vez a un usuario particular, quien deber cambiarla posteriormente.
2. Responsabilidad de las credenciales de acceso: cada usuario es responsable de sus credenciales de
acceso, es decir, del usuario y contrasea necesarios para acceder a la informacin e infraestructura
tecnolgica.
3. Confidencialidad de las credenciales de acceso: las credenciales de acceso son personales e
intransferibles, no se deben prestar a otras personas para que accedan a los sitios o servidores web.
 4. Confiabilidad de las contraseas: al momento de cambiar o asignar una contrasea, sta debe reunir
las siguientes cualidades:
a. La cantidad mnima de caracteres que debe contener la contrasea es ocho (8).
b. La contrasea debe contener al menos un carcter de cada uno de los siguientes tipos: letra
minscula, letra mayscula, nmero y smbolo.
5. Cambio de contraseas: la frecuencia con la que se deben cambiar las contraseas, asociadas a cada
cuenta de usuario, debe ser semestral.
6. Contraseas de cuentas de usuario de bases de datos: las contraseas de las cuentas de usuario de
base de datos deben ser diferentes para cada una y cumplir las polticas de confiabilidad y cambio de
contraseas.

Recomendaciones
A continuacin se hacen algunas recomendaciones sobre la gestin de contraseas:

La contrasea no debe contener, explcitamente, informacin del usuario ni de la cuenta de usuario,

como nombres, apellidos, fechas, funciones, entre otra.
Al momento de cambiar una contrasea, comprobar que la nueva contrasea no se parece a las
contraseas anteriormente asociadas a una misma cuenta de usuario.
Las credenciales de acceso deben ser memorizadas, no escritas en papel y no guardadas en medios
magnticos.
Los usuarios debern mantener sus equipos de cmputo con controles de acceso como contraseas y
protectores de pantalla, como una medida de seguridad cuando el usuario se ausente temporalmente.

Gestin de actualizacin de software

1. Licencias: verificar las licencias de las extensiones que se van a instalar en los sitios, en lo posible,
utilizar nicamente las recomendadas por la comunidad de desarrollo del CMS en sitios web oficiales.
2. Extensin de seguridad: realizar la instalacin de una extensin/componente de seguridad
recomendado en los sitios oficiales de la comunidad de desarrollo del CMS. Para el caso del CMS
Joomla, usar Security jHackGuard.
3. Acceso a la plataforma de administracin de contenidos: modificar el acceso a la plataforma de
administracin de contenidos a travs de la instalacin de un componente o de la implementacin de
una ruta-clave que slo debern conocer quienes tengan acceso autorizado. Para el caso del CMS
Joomla, usar JSecure.
4. Actualizacin de componentes: es prioridad mantener los componentes de los servidores y del CMS de
los sitios web en su ltima versin disponible. Para lograr esto, se deber hacer, cada mes, un
inventario de los componentes y revisar si hay actualizaciones disponibles. Siempre que se instale o
desinstale un componente actualizar el formato del inventario. (Ver anexo 1 Inventario
componentes)
5. Actualizaciones de seguridad: aplicar los parches de seguridad a los sistemas operativos de los
servidores.
6. Disponibilidad de servicios e informacin: verificar y deshabilitar aquellos servicios que no se
requieren, como telnet y ftp, y eliminar, renombrar o cambiar de ubicacin los archivos que
proporcionen informacin del sistema, como los archivos info.php y configuration.php-dist.
7. Archivos de configuracin: cambiar el archivo htaccess.txt por .htaccess y anexar directrices de
seguridad, como:
 a. Restringir el acceso a archivos sensibles.
b. Evitar ejecucin de archivos en los directorios de imgenes, log, tmp, entre otros.
c. Restringir el acceso a aquellas IP que se detecten sospechosas en los logs del servidor.

Gestin de hardware
1. Soporte tcnico: contratar el servicio de soporte tcnico para los servidores que incluya, el soporte de
hardware en sitio, el reemplazo de partes defectuosas y garanta sobre lo componentes
proporcionados.

Gestin de copias de respaldo

1. Copias de respaldo: los responsables de los servidores donde se alojen los sitios web del SIUN debern
realizar copias de respaldo de los recursos y las bases de datos de los mismos siguiendo el esquema de
Backups - Sitios web VRI y realizar pruebas peridicas de la integridad de los backups.
2. Copias de respaldo para pruebas: a peticin de los responsables de los sitios web y para propsitos
experimentales, los administradores de los servidores debern proporcionar copias del sitio web en
produccin y de la base de datos.
3. Recuperacin de servicios: es responsabilidad del administrador del servidor recuperar el servicio del
sitio web, en el mismo servidor o en otro, en caso de que ocurra una falla o incidente, dentro de las
siguientes 24 horas posteriores al suceso.

Gestin de cambios
1. Administracin de contenidos: es responsabilidad de las dependencias usuarias la administracin de
los sitios web que les corresponda y la asignacin del personal encargado del manejo y mantenimiento,
en cuanto a consulta, ingreso, modificacin, eliminacin y/o divulgacin, de la informacin almacenada
en los sitios web que les corresponda.
2. Instalacin y/o actualizacin de componentes: para realizar la instalacin o actualizacin de una
extensin, componente, plantilla, idioma o plugin en el CMS de los sitios web, se debe realizar una
prueba inicial en un equipo local con la ltima versin del sitio web y de la extensin, para lo cual se
debe solicitar al administrador del servidor una copia de la ltima versin del sitio y, tras el xito de la
prueba, se podr realizar la instalacin o actualizacin en el servidor.

Mantenimiento de polticas
Auditoras
1. Auditoras internas: una vez implementada la presente poltica se debe llevar a cabo al menos una
auditora semestralmente la cual evaluar el cumplimiento de lo dispuesto en el presente documento.
Los anexos 6 y 7 disponen de los formatos que se deben utilizar para la planeacin y presentacin de
informe de la auditora.
2. Auditoras externas: con al menos una frecuencia anual se debe gestionar la realizacin de una
auditora externa, que est basada en riesgos, con el fin de adoptar la medidas pertinentes y realizar la
actualizacin a la poltica de seguridad con base en los resultados reportados. Se debe considerar la
consecucin de los permisos necesarios de acuerdo al alcance de la auditora, en caso de que pueda
haber afectacin de la disponibilidad de los servicios.
Bibliografa
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION E INTERNATIONAL ELECTROTECHNICAL
COMMISSION. ISO/IEC-27001:2005. Primera edicin.
ORGANIZATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. Directrices para la seguridad de
sistemas y redes de informacin: Hacia una cultura de seguridad. 2001.
UNIVERSIDAD NACIONAL DE COLOMBIA. CONSEJO SUPERIOR UNIVERSITARIO. Acuerdo 046 de 2009:
Por el cual se definen y aprueban las polticas de Informtica y Comunicaciones que se aplicarn en la
Universidad Nacional de Colombia.
.SEGURIDAD: CULTURA DE PREVENCIN PARA TI. Seguridad de la informacin. Disponible en:
(http://revista.seguridad.unam.mx/).
WIKILIBROS. Mejores prcticas para redes de datos. Definicin de contraseas. Disponible en:
(http://es.wikibooks.org/wiki/Mejores_pr%C3%A1cticas_para_redes_de_datos/Definici%C3%B3n_de_
contrase%C3%B1as).
HOSTDIME BOLG. Tipos De Ataques Ms Comunes A Sitios Web Y Servidores. Disponible en:
(http://www.hostdime.com.co/blog/tipos-de-ataques-mas-comunes-a-sitios-web-y-servidores/).
WIKIPEDIA. Website defacement. Disponible en:
(http://en.wikipedia.org/wiki/Website_defacement).
WIKIPEDIA. Ingeniera social (seguridad informtica). Disponible en:
(http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29).
NOVACREAIONS. Protegiendo tu sitio web de las vulnerabilidades ms comunes. Disponible en:
(http://novacreations.net/diez-vulnerabilidades-aplicaciones-web/).
CYBERSEGURIDAD. Inclusin de ficheros remotos (RFI Remote File Inclusion) (Ataques informticos
II). Disponible en: (http://cyberseguridad.net/index.php/181-inclusion-de-ficheros-remotos-rfi-
remote-file-inclusion-ataques-informaticos-ii).
TYPO3. TYPO3 Security Bulletins. Disponible en: (http://typo3.org/teams/security/security-
bulletins/).

Anexos
1. Inventario de servidores y sitios web del Sistema de Investigacin de la Universidad Nacional SIUN.
2. Resumen de informe de visita e Informe final de la visita efectuada a la Vicerrectora de Investigacin
los das 27 y 28 de marzo de 2014.
3. ISO/IEC-27001:2005.
4. Directrices de la OCDE para la seguridad de sistemas y redes de informacin: Hacia una cultura de
seguridad. 2001.
5. Acuerdo 046 de 2009: Por el cual se definen y aprueban las polticas de Informtica y Comunicaciones
que se aplicarn en la Universidad Nacional de Colombia.
6. Formato Universidad Nacional para plan de auditora interna.
7. Formato Universidad Nacional para presentacin de informe de auditora interna.

Control de versiones
Versin Nombre Cargo Fecha
 Martha Correa
Creado por: 1.0 23 Octubre 2014
Ivn Cabezas
Modificado por:
Revisado por:
Aprobado por:
Estado: Borrador