Seguridad en la Infraestructura de TI y Servicios Nube

 

 

 

Equipos móviles y computadores

La DSIT debe establecer la normatividad para la protección de los computadores, los dispositivos móviles y la información que en ellos se almacene o procese, o a la que desde ellos se tenga acceso. Esta normatividad debe considerar, como mínimo, la seguridad física y lógica de los equipos asignados a un usuario específico o de uso compartido, las normas de licenciamiento, el cumplimiento de disposiciones normativas y las consideraciones de movimiento, reasignación y disposición de los equipos.

Gestión de la Vulnerabilidad

La DSIT en caso de que un sistema presente vulnerabilidades críticas para las que aún no existan actualizaciones adecuadas, se reserva el derecho de desactivar o dejar de utilizar el sistema afectado hasta tanto no se cuente con una solución que minimice los riesgos de seguridad para la Universidad.

Para mayor información consulta los Lineamientos sobre la gestión de la vulnerabilidad técnica y el proceso gestión de vulnerabilidades.

Seguridad en la redes

La DSIT debe diseñar, implementar y mantener los controles necesarios para garantizar una adecuada seguridad en las redes de la Universidad, los cuales deben estar encaminados a identificar, autenticar, autorizar y controlar el uso de los recursos de red que están a disposición de los diferentes usuarios de acuerdo a su rol y al tipo de información o servicio que deseen acceder. Para mayor información, consulta:

Los lineamientos de seguridad en redes cableadas e inalámbricas.

Seguridad en los Servicios en la Nube

Los modelos de servicio en la nube más utilizados y comúnmente aceptados se clasifican de acuerdo con el nivel de administración de las capas de tecnología asignado al proveedor; si bien en cualquiera de estos modelos se deben aplicar todos los controles de seguridad necesarios para cumplir con las directrices, normas y lineamientos de seguridad de la información definidos, la administración de algunos controles será delegada al proveedor del servicio, de manera general:

Infraestructura como Servicio (IaaS)

El proveedor del servicio debe garantizar todos los controles de seguridad relacionados con el plano de gestión de su infraestructura, con la consola de aprovisionamiento y administración de los servicios, con la infraestructura de virtualización y orquestación, con las APIs de integración y con el almacenamiento de las máquinas virtuales.

Consulta los términos y condiciones de uso para el servicio Iaas Azure

 

Plataforma como Servicio (PaaS)

Adicional a los controles establecidos para IaaS, el proveedor del servicio debe garantizar los controles de seguridad relacionados con el sistema operativo, software base y software aplicativo, actualización de versiones y parches de seguridad, almacenamiento de información y conectividad de red.

Software como Servicio (SaaS)

Adicional a los controles establecidos para IaaS y PaaS, el proveedor del servicio debe garantizar los controles de seguridad relacionados con el software aplicativo, la gestión de vulnerabilidades y brindar los mecanismos para establecer una adecuada segregación de funciones.

Sitios de interés

  • Sitio web de la DSIT
  • Directriz institucional de TI
  • Política de seguridad de la información
  • Glosario de TI
  • La DSIT
  • Software Uniandes
  • Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.