POLÍTICA DE SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)
MARCO DE GESTIÓN DE SEGURIDAD INFORMÁTICA
Todas las políticas y procedimientos que figuran en este documento están aprobados, apoyados y respaldados por la Alta Dirección de la Agencia. Para la entidad está claro que la información depositada en los sistemas informáticos debe ser protegida de acuerdo con su criticidad, valor y sensibilidad de la misma.
Las medidas de seguridad informática deben ser tomadas, independientemente de los medios de almacenamiento donde se guarda la información, los sistemas utilizados para procesarla o los métodos usados para la transferencia de la misma.
La información que reposa en los sistemas informáticos debe ser protegida de acuerdo a su clasificación de seguridad.
OBJETIVOS DE LA POLÍTICA
El objetivo de la Política de Seguridad Informática consiste en establecer unos criterios, directrices y estrategias que le permitan a Pienza Meeting de Colombia SAS. proteger su información, así como la tecnología para el procesamiento y administración de la misma. La Política de Seguridad Informática proporciona la base para la aplicación de controles de seguridad que reduzcan los riesgos y las vulnerabilidades del sistema.
El propósito de estructurar Políticas de Seguridad Informática es, por tanto, garantizar que los riesgos para la Seguridad Informática sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
La seguridad informática consiste en garantizar la Confidencialidad, Integridad y Disponibilidad de la información, así como de los sistemas implicados en su tratamiento dentro de la Agencia.
Al aclarar las responsabilidades de los usuarios y las medidas que deben adoptar para proteger la información y los sistemas informáticos, la Agencia evita pérdidas graves o divulgación no autorizada. Por otra parte, el buen nombre de la Organización se debe en parte a la forma como protege su información y sus sistemas informáticos.
Este documento formaliza el compromiso de la Alta Dirección frente a la gestión de la seguridad informática y presenta de forma escrita a los usuarios de sistemas de información el compendio de acciones con las cuales la Agencia establece las normas para proteger de posibles riesgos de daño, pérdida y uso indebido de la información, los equipos y demás recursos informáticos de la Entidad, los cuales están en constante cambio y evolución de acuerdo con el avance de la tecnología y los requerimientos de la Entidad.
Por último, la Política de Seguridad Informática puede ser útil como prueba en los litigios, en las negociaciones del contrato con el cliente, en las ofertas de adquisición y en las relaciones de negocios en general.
ALCANCE
Los Empleados: La seguridad informática es un esfuerzo grupal. Esto requiere de la participación y el esfuerzo de todos los miembros de la organización que trabajan con los sistemas de información. Así, cada empleado deberá comprometerse en el cumplimiento de los requisitos de la Política de Seguridad Informática y de los documentos asociados a la misma.
Los Sistemas (Hardware y Software): Esta Política aplica para todos los computadores, redes, aplicaciones y sistemas operativos que son propiedad o son operados por la Agencia. La Política cubre únicamente la información manejada por los computadores y las redes corporativas.
Contratistas: Se definen como contratistas a aquellas personas que han suscrito un contrato con la Entidad y que pueden ser:
– Colaboradores en Misión
– Colaboradores por Outsourcing: son aquellas personas que laboran en la Entidad y tienen contrato con empresas de suministro de servicios y que dependen de ellos
– Personas naturales que prestan servicios independientes a la Entidad
– Proveedores de recursos informáticos.
DEFINICIONES
Para efectos del presente documento se entiende por:
Política de Seguridad Informática: Consiste en asegurar que los recursos y la información soportada en la plataforma informática (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Toda intención y directriz expresada formalmente por la alta dirección.
Confidencialidad: Es asegurar que la información es acezada sólo por las personas autorizadas para ello.
Integridad: Mantenimiento de la exactitud e integralidad de la información y sus métodos de proceso.
Disponibilidad: Es asegurar que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando éstos sean requeridos.
Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
Impacto: Medición de los efectos que se generan en el Sistema Informático cuando se materializa una amenaza.
Riesgo: Es la probabilidad de ocurrencia de un hecho favorable o desfavorable que pudiera afectar la Seguridad Informática.
Vulnerabilidad: Son aspectos que influyen negativamente en la Seguridad Informática y que posibilitan la materialización de una amenaza.
Amenaza: Es un evento que puede desencadenar un incidente en el sistema informático, produciendo daños materiales o pérdidas inmateriales en sus activos.
Ataque: Evento, exitoso o no que atenta sobre el buen funcionamiento del Sistema Informático.
Plan de Contingencia: Disponibilidad de recursos para atender oportunamente una eventualidad en el Sistema Informático.
Incidente de Seguridad Informática: Es un evento atribuible a una causa de origen humano. Esta distinción es particularmente importante cuando el evento es el producto de una intención dolosa de hacer daño. Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad, una falla de controles, o una situación previamente desconocida que puede ser pertinente para la seguridad.
Activos de Información: Toda aquella información que la Entidad considera importante o fundamental para sus procesos, puede ser ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, aplicaciones, software del sistema,
Análisis de Riesgos: Uso sistemático de la información para identificar las fuentes y estimar el riesgo.
Evaluación de Riesgos: Todo proceso de análisis y valoración del riesgo.
Valoración del riesgo: Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo.
Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.
Información confidencial (RESERVADA): Información administrada por La Agencia en cumplimiento de sus deberes y funciones y que en razón de aspectos legales debe permanecer reservada y puede ser únicamente compartida con previa autorización del titular de la misma.
Información confidencial (CONFIDENCIAL): Información generada por La Agencia en cumplimiento de sus deberes y funciones y que debe ser conocida exclusivamente por un grupo autorizado de funcionarios por esta. El acceso a este tipo de información debe ser restringido y basado en el principio del menor privilegio. Su divulgación a terceros requiere permiso del titular de la misma y de acuerdos de confidencialidad. Así mismo, su divulgación no autorizada puede causar daños importantes a la Entidad. Todo material generado durante la creación de copias de este tipo de información (ejemplo, mala calidad de impresión), debe ser destruido.
Información privada (USO INTERNO): Información generada por La Agencia en cumplimiento de sus deberes y funciones, que no debe ser conocida por el público en general. Su divulgación no autorizada no causa grandes daños a la Entidad y es accesible por todos los usuarios.
Información pública: Es la información administrada por La Cámara de Comercio en cumplimiento de sus deberes y funciones que está a disposición del público en general.
Sistema de Información: Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo).
Software: Es el conjunto de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un Sistema Informático.
Software Malicioso: Programa o parte de un programa destinado a perturbar, alterar o destruir la totalidad o parte de los elementos de la lógica esencial para el funcionamiento de un sistema de procesamiento de la información. Estos programas se pueden dividir en cuatro clases: los virus informáticos, gusanos, troyanos y bombas lógicas.
Software de gestión: Son todos aquellos programas utilizados a nivel empresarial, que por su definición genera acción de emprender algo y por su aplicación persigue fines lucrativo y no lucrativo. También es un software que permite gestionar todos los procesos de un negocio o de una empresa en forma integrada. Por lo general está compuesto por modulo cruzado del proceso del negocio.
Sistema Multiusuario: Se refiere a un concepto de sistemas operativos, pero en ocasiones también puede aplicarse a programas de ordenador de otro tipo (e.j. aplicaciones de base de datos). En general se le llama Multiusuario a la característica de un Sistema Operativo o Programa que permite proveer servicio y procesamiento a múltiples usuarios simultáneamente.
Acceso físico: La posibilidad de acceder físicamente a un computador o dispositivos, manipularlo tanto interna como externamente.
Acceso lógico: Ingresar al sistema operativo o aplicaciones de los equipos y operarlos, ya sea directamente, a través de la red de datos interna o de Internet.
FTP: (sigla en inglés de File Transfer Protocol – Protocolo de Transferencia de Archivos): En informática es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red.
Red Privada Virtual o VPN (siglas en inglés de Virtual Private Network): Es una tecnología de red que permite una extensión de la red local sobre una red pública.
Aplicaciones o aplicativos: Son herramientas informáticas que permiten a los usuarios comunicarse, realizar trámites, entretenerse, orientarse, aprender, trabajar, informarse y realizar una serie de tareas de manera práctica y desde distintos tipos de terminales como computadores tabletas o celulares.
Cableado estructurado: Cableado de un edificio o una serie de edificios que permite interconectar equipos activos, de diferentes o igual tecnología permitiendo la integración de los diferentes servicios que dependen del tendido de cables como datos, telefonía, control,
Contraseña o Clave (Password): Es una forma de autenticación o control de acceso que utiliza información secreta para controlar el acceso hacia algún recurso informático. Puede está conformado por números, letras y/o caracteres especiales
Cifrado de datos: Proceso por el que una información legible se transforma mediante un algoritmo (llamado cifra) en información ilegible, llamada criptograma o secreto. Esta información ilegible se puede enviar a un destinatario con muchos menos riesgos de ser leída por terceras partes.
Copia de respaldo o backup: Operación que consiste en duplicar y asegurar datos e información contenida en un sistema informático. Es una copia de seguridad.
Contenido: Todos los tipos de información o datos que se divulguen a través de los diferentes servicios informáticos, entre los que se encuentran: textos, imágenes, video, diseños, software, animaciones, etc.
Correo electrónico institucional: Servicio que permite el intercambio de mensajes a través de sistemas de comunicación electrónicos.
Cuenta de acceso: Colección de información que permite a un usuario identificarse en un sistema informático o servicio, mediante un usuario y una contraseña, para que pueda obtener seguridad, acceso al sistema, administración de recursos, etc.
Dominio: Es un conjunto de computadores, conectados en una red, que confían a uno de los equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los usuarios tiene en la red.
Herramientas ofimáticas: Conjunto de aplicaciones informáticas que se utilizan en funciones de oficina para optimizar, automatizar y mejorar los procedimientos o tareas relacionadas.
Información/Documento electrónico: Es la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares. Se pueden clasificar por su forma y formato en documentos ofimáticos, cartográficos, correos electrónicos, imágenes, videos, audio, mensajes de datos de redes sociales, formularios electrónicos, bases de datos, entre
Licencia de uso: Contrato entre el licenciante (autor/titular de los derechos de explotación/distribuidor) y el licenciatario (usuario consumidor/usuario profesional o empresa) del programa informático, para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas, es decir, es un conjunto de permisos que un desarrollador le puede otorgar a un usuario en los que tiene la posibilidad de distribuir, usar y/o modificar el producto bajo una licencia
Medios de almacenamiento extraíble: Son aquellos soportes de almacenamiento diseñados para ser extraídos del computador sin tener que apagarlo. Por ejemplo, memorias USB, discos duros externos, discos ópticos (CD, DVD), tarjetas de memoria (SD, CompactFlash, MemoryStick).
Plataforma web: Sistema que permite la ejecución de diversas aplicaciones bajo un mismo entorno, dando a los usuarios la posibilidad de acceder a ellas a través de Internet.
Propiedad intelectual: Se relaciona con las creaciones de la mente como invenciones, obras literarias y artísticas, así como símbolos, nombres e imágenes utilizados en el comercio. Es el conjunto de derechos que corresponden a los autores y a otros titulares.
Red de datos: Es un conjunto de ordenadores que están conectados entre sí, y comparten recursos, información, y servicios.
Servidor: Se entiende como el software que configura un PC como servidor para facilitar el acceso a la red y sus recursos. Ofrece a los clientes la posibilidad de compartir datos, información y recursos de hardware y software. Los clientes usualmente se conectan al servidor a través de la red pero también pueden acceder a él a través de la computadora donde está
UPS: Sistema de alimentación ininterrumpida (SAI), en inglés uninterruptible power supply (UPS), es un dispositivo que gracias a sus baterías u otros elementos almacenadores de energía, puede proporcionar energía eléctrica por un tiempo limitado y durante un apagón eléctrico a todos los dispositivos que tenga conectados.
ROLES Y RESPONSABILIDADES
Direcciones o Áreas responsables de la Seguridad Informática
El Comité de Seguridad Informática, gestionado, conformado y respaldado por la Alta Dirección de la Agencia, es el responsable de establecer y mantener las Políticas de Seguridad Informática, las normas, directrices y procedimientos de la Organización.
El Comité de Seguridad Informática, el cual está integrado por el Director o “CEO”, los Directores de área, el Especialista en Seguridad de la Información, y el Líder de Gestión Integral de la Agencia, debe asegurar la alineación entre las políticas y las tecnologías de información, procedimientos y la legislación aplicable.
Las siguientes son las principales responsabilidades a cargo del Comité de Seguridad Informática, dentro de la Agencia:
– Revisión y seguimiento al modelo de gobierno de seguridad de la información a implementar en la organización.
– Revisión y valoración de la Política de Seguridad Informática.
– Alineación e integración de la seguridad a los objetivos del negocio.
– Garantizar que la seguridad de la información forma parte integral del proceso de planeación estratégica de la organización.
– Establecer las funciones y responsabilidades específicas de seguridad de la información para la Agencia.
– Establecer, a través de reuniones Trimestrales asuntos de la seguridad y protección de la información en la Agencia y la necesidad de nuevos proyectos en temas de seguridad de la información.
– Establecer y respaldar los programas de concientización de la Agencia en materia de seguridad y protección de la información.
– Evaluar la adecuación, coordinación y la implementación de los controles de seguridad específicos para nuevos servicios o sistemas de información.
– Promover explícitamente el apoyo institucional a la seguridad de la información en toda la organización.
– Supervisar y controlar los cambios significativos en la exposición de los activos de información a las principales amenazas.
– Revisar y dar tratamiento a los incidentes de seguridad de la información.
– La investigación de incidentes de Seguridad Informática es responsabilidad del comité.
– Las medidas disciplinarias en respuesta a las violaciones de las normas de Seguridad Informática se adoptarán de acuerdo con los lineamientos establecidos en el Reglamento Interno de Trabajo de la Agencia.
Responsabilidades del Colaborador
Los empleados deben tomar conciencia de la importancia del establecimiento de la Política de Seguridad Informática, los procedimientos y la normatividad aplicable. Estas normas deben ser completamente entendidas y aplicadas en la cotidianidad de sus tareas y deben cumplir con lo establecido en las políticas (POL-GT-08-Gobierno Seguridad de la Información, POL-GT-07-Manejo de Usuarios y seguridad de la información)
Los empleados responsables de la información deberán almacenarla, de acuerdo a los lineamientos establecidos en la agencia para el correcto almacenamiento de la información y así evitar la pérdida de información crítica (POL-GT-09-Politica de Almacenamiento de Información,).
DECLARACION RESERVA DE DERECHOS.
Pienza Meeting de Colombia SAS, usa controles de acceso y otras medidas de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información manejada por computadores y sistemas de información.
Para mantener estos objetivos La Agencia se reserva el derecho y la autoridad de:
– Restringir o revocar los privilegios de cualquier usuario.
– Inspeccionar, copiar, remover cualquier dato, programa u otro recurso que vaya en contra de los objetivos antes planteados.
– Tomar cualquier medida necesaria para manejar y proteger los sistemas de información de La Agencia y/o de cualquiera de sus Clientes.
Esta autoridad se puede ejercer con o sin conocimiento de los usuarios, bajo la responsabilidad del comité de seguridad, siempre con la autorización de la dirección de La Agencia o de quién él delegue esta función.
MARCO LEGAL
DOCUMENTOS DE REFERENCIA
Documentos de fundamentación Legal:
Ley 1266 de 2008: La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las Informaciones que se hayan recogido sobre ellas en bancos de datos, y los demás derechos, libertades y garantías constitucionales relacionadas con la recolección, tratamiento y circulación de datos personales
Ley 1581 de 2012El objetivo principal es desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos
Decreto 1377 de 2013: El presente Decreto tiene como objeto reglamentar parcialmente la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales
Decreto 886 de 2014: El presente decreto tiene como objeto reglamentar la información mínima que debe contener el Registro Nacional de Bases de Datos, creado por la Ley 1581 de 2012, así como los términos y condiciones bajo las cuales se deben inscribir en este los Responsables del Tratamiento.
Circular Externa No. 002 de 2015: Impartir instrucciones a los Responsables del Tratamiento de datos personales, personas jurídicas de naturaleza privada inscritas en las Cámaras de Comercio y sociedades de economía mixta, para efectos de realizar la inscripción de sus bases de datos en el Registro Nacional de Bases de Datos (RNBD).
Documentos de operación:
Políticas
– POL-GT-06-Tratamiento De Datos Personales.
– POL-GT-07-Manejo de Usuarios y seguridad de la información.
– POL-GT-05 Políticas de Seguridad de la Información.
– POL-GT-08 Gobierno seguridad de la información.
– POL-GT-09 Política de Almacenamiento de Información
POLÍTICAS GENERALES DE SEGURIDAD FÍSICA
Protección y ubicación de los equipos
– Se destinará un área en la Agencia que servirá como centro de telecomunicaciones en el cual se ubicarán los sistemas de telecomunicaciones y servidores, debidamente protegidos con la infraestructura apropiada, de manera que se restrinja el acceso directo a usuarios no.
– El centro de Telecomunicaciones deberá contar con sistema eléctrico de respaldo (UPS).
– Contar por lo menos con uno (1) extintores de incendio adecuado y cercano al centro de
– Los equipos que hacen parte de la infraestructura tecnológica de la Agencia, tales como servidores, estaciones de trabajo, centro de cableado, UPS, dispositivos de almacenamiento, entre otros, deben estar protegidos y ubicados en sitios libres de amenazas como robo, incendio, inundaciones, humedad, agentes biológicos, explosiones, vandalismo.
– Los funcionarios y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnológica de PIENZA MEETING DE COLOMBIA no pueden fumar, beber o consumir algún tipo de alimento cerca de los equipos.
– Cualquier traslado de equipos de cómputo se realizará con la coordinación del área de Tecnología previa verificación de las condiciones técnicas y de seguridad.
– Toda persona que note algún problema de funcionamiento o ataque de virus en una estación de trabajo debe reportarlo de inmediato al personal de soporte técnico del Departamento de Sistemas mediante el uso de los canales de comunicación definidos para ello.
– La Agencia mediante mecanismos adecuados monitoreará las condiciones ambientales de las zonas donde se encuentren los equipos.
– Ningún empelado, contratista o tercero podrá́ desarmar o destapar equipos sin la autorización previa del Departamento de Sistemas.
Seguridad de los equipos y medios de información fuera de las instalaciones
– Independientemente del propietario, todos los funcionarios son responsables de velar por la seguridad de los equipos de Bendita que se encuentren fuera de las instalaciones de la organización.
– Bajo ninguna circunstancia los equipos de cómputo pueden ser dejados desatendidos en lugares públicos o a la vista, en el caso que esté siendo transportado en un vehículo.
– Los equipos de infraestructura de la Agencia deben ser transportados con las medidas de seguridad apropiadas, que garanticen la integridad física de los dispositivos.
– Los equipos portátiles siempre deben ser llevados como equipaje de mano y se debe tener especial cuidado de no exponerlos a fuertes campos electromagnéticos.
– Los equipos de la Agencia deberán contar con un seguro que los proteja de robo.
– En caso de pérdida o robo de un equipo de PIENZA MEETING DE COLOMBIA S.A.S. se deberá́ informar inmediatamente al Líder del Proceso para que se inicie el tramite interno y se deberá́ poner la denuncia ante la autoridad competente.
– El retiro de equipos de cómputo, periféricos, dispositivos de almacenamientos, software e información considerada critica propiedad de la Agencia, fuera de las instalaciones de la organización debe seguir los procedimientos establecidos por Dirección Administrativa y todas las Políticas con relación a la Seguridad de la Información.
POLÍTICAS ORIENTADAS A LOS USUARIOS INTERNOS
Gestión de la Información:
Todo funcionario de planta o contratista que inicie labores en la Agencia, relacionadas con el uso de equipos de cómputo, software de gestión, aplicativos, plataformas web y servicios informáticos, debe aceptar las condiciones de confidencialidad y de uso adecuado de los recursos informáticos, así como cumplir y respetar las directrices impartidas en el documento “POL-GT-05 Políticas de Seguridad de la Información”, Adicionalmente deben cumplir con las siguientes premisas
– Los funcionarios que se desvinculen y los contratistas que culminen su vínculo contractual con la Agencia, deberán hacer entrega formal de los equipos asignados, así como de la totalidad de la información electrónica que se produjo y se recibió con motivo de sus funciones y actividades, como requisito para expedición de paz y salvo y/o liquidación de contrato.
– Toda la información recibida y producida en el ejercicio de las funciones y cumplimiento de obligaciones contractuales, que se encuentre almacenada en los equipos de cómputo, pertenece a la Agencia, por lo tanto, no se hará divulgación ni extracción de la misma sin previa autorización de las directivas.
– No se realizará por parte de los funcionarios o contratistas copia no autorizada de información electrónica confidencial y software de propiedad de la Agencia y/o sus respectivos Clientes y proveedores. El retiro de información electrónica perteneciente a Pienza Meeting de Colombia SAS y/o de sus clientes o proveedores y clasificada como confidencial, se hará única y exclusivamente con la autorización del Directivo.
– Ningún funcionario o contratista podrá visualizar, copiar, alterar o destruir información que no se encuentre bajo su
– Todo contrato o convenio relacionado con servicios de tecnología y/o acceso a información, debe contener una obligación o cláusula donde el contratista o tercero acepte el conocimiento de las políticas de seguridad y acuerde mantener confidencialidad de la información con la suscripción de un acuerdo o compromiso de confidencialidad de la información, el cual se hará extensivo a todos sus
Hardware y Software:
– La instalación y desinstalación de software, la configuración lógica, conexión a red, instalación y desinstalación de dispositivos, la manipulación interna y reubicación de equipos de cómputo y periféricos, será realizada únicamente por personal del área de Tecnología.
– El espacio en disco duro de los equipos de cómputo pertenecientes a la Agencia será ocupado únicamente con información institucional, no se hará uso de ellos para almacenar información de tipo personal (documentos, imágenes, música, video).
– Ningún colaborador o contratista podrá acceder a equipos de cómputo diferentes al suyo sin el consentimiento explícito de la persona.
– Ningún colaborador o contratista podrá interceptar datos informáticos en su origen, destino o en el interior de un sistema informático protegido o no con una medida de seguridad, sin autorización.
– Ningún colaborador o contratista podrá impedir u obstaculizar el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, salvo el personal autorizado del área de Tecnología en aplicación de las políticas o medidas de
– No se permite el uso de la plataforma y servicios informáticos (equipos de cómputo, periféricos, dispositivos, internet, red de datos, correo electrónico institucional) de la Agencia, para actividades que no estén relacionadas con las labores propias de La
– Los colaboradores y contratistas serán responsables de contar con conocimientos actualizados en informática básica y el uso de herramientas ofimáticas.
Correo Electrónico:
– El correo electrónico institucional es exclusivo para envío y recepción de mensajes de datos relacionados con las actividades de la Agencia, no se hará uso de él para fines personales como registros en redes sociales, registros en sitios web con actividades particulares o comerciales o en general entablar comunicaciones en asuntos no relacionados con las funciones y actividades en la Entidad.
– La información transmitida a través de las cuentas de correo electrónico corporativo no se considera correspondencia privada, ya que estas tienen como fin primordial la transmisión de información relacionada con las actividades ordinarias de la Agencia.
– Es prohibido utilizar el correo electrónico corporativo para divulgar información confidencial, reenviar mensajes que falten al respeto o atenten contra la dignidad e intimidad de las personas, difundir propaganda política, comercial, religiosa, racista, sexista o similares, reenviar contenido y anexos que atenten contra la propiedad intelectual.
– Es responsabilidad del colaborador o contratista depurar su cuenta de correo periódicamente, en todo caso se debe hacer copia de seguridad completa de los correos tanto recibidos como enviados.
Internet:
– No se harán descargas de archivos por internet que no provengan de páginas conocidas o relacionadas con las funciones y actividades de la Entidad.
– El Servicio de internet de la Agencia no podrá ser usado para fines diferentes a los requeridos en el desarrollo de las actividades propias de la Entidad. Esta restricción incluye el acceso a páginas con contenido pornográfico, terrorismo, juegos en línea, redes sociales y demás cuyo contenido no sean obligatorios para desarrollar las labores encomendadas al
– No es permitido el uso de Internet para actividades ilegales o que atenten contra la ética y el buen nombre de la Agencia o de las
– La Agencia se reserva el derecho a registrar los accesos y monitorear el contenido al que el usuario puede acceder a través de Internet, desde los recursos y servicios de Internet de la Entidad.
Cuentas de Acceso:
– Todas las cuentas de acceso a los sistemas y recursos de las tecnologías de información son personales e intransferibles, cada colaborador y contratista es responsable por las cuentas de acceso asignadas y las transacciones que con ellas se realicen. Se permite su uso única y exclusivamente durante el tiempo que tenga vínculo laboral o contractual con la Agencia.
– Las contraseñas de acceso deben poseer un mínimo de ocho (8) caracteres y debe contener al menos una letra mayúscula, una letra minúscula, un número y un carácter especial (+-*/@#$%&). No debe contener vocales tildadas, ni eñes, ni
– La contraseña inicial de acceso a la red que le sea asignada debe ser cambiada la primera vez que acceda al sistema, además, debe ser cambiada mínimo cada 4 meses, o cuando se considere necesario debido a alguna vulnerabilidad en los criterios de
– Solamente puede solicitar cambio o restablecimiento de contraseña desde el servidor el funcionario o contratista al cual pertenece dicho usuario, o el jefe inmediato mediante solicitud motivada al correo electrónico del área de TIC´S.
– Todo funcionario o contratista que se retire de la Entidad de forma definitiva o temporal (superior a 1 semana), deberá hacer entrega formal a quien lo reemplace en sus funciones o a su superior inmediato de la clave de acceso de las cuentas asignadas, con el fin de garantizar la continuidad de las operaciones a su cargo.
Seguridad Física:
– Es responsabilidad de los colaboradores y contratistas velar por la conservación física de los equipos a ellos asignados, haciendo uso adecuado de ellos y en el caso de los equipos portátiles, estos podrán ser retirados de las instalaciones de la Entidad única y exclusivamente por el usuario a cargo y estrictamente para ejercer labores que estén relacionadas con la Agencia. En caso de daño, pérdida o robo, se establecerá su responsabilidad a través de los procedimientos definidos por para tal.
– Los colaboradores y contratistas deberán reportar de forma inmediata a los directivos la detección de riesgos reales o potenciales sobre equipos de cómputo o de comunicaciones, tales como caídas de agua, choques eléctricos, caídas o golpes, peligro de incendio, peligro de robo, entre otros. Así como reportar de algún problema o violación de la seguridad de la información, del cual fueren.
– Mientras se operan equipos de cómputo, no se deberá consumir alimentos ni ingerir
– Se debe evitar colocar objetos encima de los equipos de cómputo que obstruyan las salidas de ventilación del monitor o de la
Derechos de Autor:
– Ningún usuario, debe descargar y/o utilizar información, archivos, imagen, sonido, software u otros que estén protegidos por derechos de autor de terceros sin la previa autorización de los
Uso de Unidades de Almacenamiento Extraíbles:
– El uso de dispositivos de almacenamiento USB está restringido y únicamente puede utilizarse con autorización Escrita de la dirección de la agencia. Los funcionarios y contratistas que tengan información de propiedad de la Agencia en medios de almacenamiento removibles, deben protegerlos del acceso lógico y físico, asegurándose además que el contenido se encuentre libre de virus y software malicioso, a fin de garantizar la integridad, confidencialidad y disponibilidad de la información.
– Toda información que provenga de un archivo externo de la Entidad o que deba ser restaurado tiene que ser analizado con el antivirus corporativo vigente.
Clasificación de la información:
– Los documentos electrónicos resultantes de los procesos misionales y de apoyo de la Agencia, se tratarán conforme a los lineamientos y parámetros establecidos en POL-GT-05 Política de Almacenamiento de Información.
– Los activos de información asociados a cada sistema de información, serán identificados y clasificados por su tipo y uso siguiendo lo establecido en las tablas de retención documental
Personal de Tecnología:
– El control de los equipos tecnológicos deberá estar bajo la responsabilidad del área de Infraestructura y Seguridad de la Información, así como la asignación de usuarios y la ubicación física.
– En el área de Infraestructura y Seguridad de la Información se deberá llevar un control total y sistematizado de los recursos tecnológicos tanto de hardware como de
– El área de Infraestructura y Seguridad de la Información será la encargada de velar por que se cumpla con la normatividad vigente sobre propiedad intelectual de soporte lógico (software).
– Las licencias de uso de software estarán bajo custodia del área de Infraestructura y Seguridad de la Información. Así mismo, los manuales y los medios de almacenamiento (CD, cintas magnéticas u otros medios) que acompañen a las versiones originales de software.
– El área de Infraestructura y Seguridad de la Información es la única dependencia autorizada para realizar copia de seguridad del software original, aplicando los respectivos controles. Cualquier otra copia del programa original será considerada como una copia no autorizada y su utilización con lleva a las sanciones administrativas y legales
– Todas las publicaciones que se realicen en el sitio WEB de la entidad, deberán atender el cumplimiento de las normas en materia de propiedad intelectual.
– El acceso a los sistemas de información y red de datos será controlado por medio de nombres de usuario personales y contraseña. El área de Infraestructura y Seguridad de la Información será la encargada de crear y asignar las cuentas de acceso y sus permisos a dominio de red, sistemas de información y correo electrónico, previo cumplimiento del procedimiento establecido para tal
– Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y aplicaciones, garantizando la estandarización por cada usuario; es decir, que cada usuario debe tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la Entidad. La estandarización de los nombres de usuario estará compuesto de la siguiente forma: (Primer nombre + guion bajo (_) + primer apellido, en caso de existir duplicidad, segundo nombre + guion bajo (_) + primer apellido o segundo apellido).
– Las cuentas de acceso a sistemas, servicios y aplicaciones no podrán ser eliminadas al retiro de los colaboradores o contratistas, debe aplicarse la inactivación del
– Se realizará backup a la información institucional y bases de datos, conforme a lo establecido en la política de backup y cronograma, así como en los casos extraordinarios: desvinculación de funcionario o contratista, envío de equipo para garantía, mantenimiento correctivo de
– Las contraseñas de los usuarios administradores de las plataformas tecnológicas y sistemas de información de la Entidad, deberán ser salvaguardadas por el área de TIC´S en un archivo protegido a través de técnicas de cifrado de datos u otro mecanismo
– La red interna de la Agencia deberá estar protegida de amenazas externas, a través de sistemas que permitan implementar reglas de control de tráfico desde y hacia la
– Todos los equipos de la entidad deben tener instalado un antivirus, en funcionamiento, actualizado y debidamente
– Se realizará mantenimiento lógico preventivo a los equipos de cómputo mínimo cada 6 meses y mantenimiento físico preventivo mínimo una vez por año, que incluya el cableado estructurado. El área de TIC´S deberá elaborar el plan y cronograma de mantenimientos, el cual será notificado a los usuarios, adicionalmente, deberá informarse el nombre e identificación del personal autorizado para realizar las actividades de mantenimiento con el fin de evitar el riesgo de hurto y/o pérdida de equipos e información.
Directivos:
– La Entidad debe garantizar capacitación a los funcionarios en el manejo del software de gestión, plataformas y aplicativos implementados en la Agencia.
– Deberá notificarse al área de Infraestructura y Seguridad de la Información las novedades de vinculación y desvinculación de personal de la Agencia, con el fin de crear o cancelar, según sea el caso, los accesos a los sistemas de información, correo electrónico y red de
POLÍTICAS ORIENTADAS A LOS USUARIOS EXTERNOS
– El acceso de terceras personas a la Entidad debe ser controlado y su ingreso a las diferentes dependencias debe ser autorizado por los funcionarios a
Duración y terminación
CUMPLIMIENTO DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA
La Dirección de la Agencia, los lideres de Área, el área de Infraestructura y Seguridad de la Información y los supervisores de contrato, son responsables de conocer y asegurar la implementación de las políticas de seguridad informática, dentro de sus áreas de responsabilidad, así como del cumplimiento de las políticas por parte de su equipo de trabajo.[/vc_column_text][/vc_column][/vc_row]