m-ti-01 manual general sistema de seguridad de la informacion

7/23/2019 M-TI-01 Manual General Sistema de Seguridad de La Informacion

1/44

MANUAL DE LA POLTICA DE SEGURIDAD PARA LAS TECNOLOGAS DE LAINFORMACIN Y LAS COMUNICACIONES - TICS

Bogot D.C., diciembre 2014


2/44

2

MANUAL DE LA POL TICA DE SEGURIDADPARA LAS TECNOLOGAS DE LA

INFORMACIN Y LAS COMUNICACIONES -

Cdi o: M-TI-01 Versin 05Proceso asociado:Tecnologa de Informacin y Comunicaciones

TABLA DE CONTENIDO

1.

OBJETIVO------------------------------------------------------------------------------------------------ 4

2. ALCANCE ------------------------------------------------------------------------------------------------ 43.

TRMINOS Y DEFINICIONES-------------------------------------------------------------------------- 44. POLTICAS, PROCEDIMIENTOS Y CONTROLES--------------------------------------------------- 11

4.1. Polticas de seguridad de la informacin---------------------------------------------------------- 11

4.1.1. Polticas generales de seguridad de la informacin.--------------------------------------- 11

4.1.2. Poltica de clasificacin de la informacin.------------------------------------------------- 13

4.1.3.

Polticas de seguridad para los recursos humanos.--------------------------------------- 14

4.1.4.

Polticas especficas para usuarios del DAPRE.------------------------------------------- 14

4.1.5. Polticas especficas para funcionarios y contratistas del rea de Informacin y Sistemas. 16

4.1.6. Polticas especficas para Webmaster.----------------------------------------------------- 18

4.1.7.

Poltica de Tercerizacin u Outsourcing.--------------------------------------------------- 18

4.1.8.

Poltica de retencin y archivo de datos.--------------------------------------------------- 19

4.1.9.

Poltica de disposicin de informacin, medios y equipos.-------------------------------- 19

4.1.10. Poltica de respaldo y restauracin de informacin.--------------------------------------- 20

4.1.11. Poltica de gestin de activos de informacin.--------------------------------------------- 21

4.1.12. Poltica de uso de los activos.-------------------------------------------------------------- 22

4.1.13.

Poltica de uso de estaciones cliente.------------------------------------------------------ 24

4.1.14.

Poltica de uso de Internet.------------------------------------------------------------------ 25

4.1.15. Poltica de uso de mensajera instantnea y redes sociales.------------------------------ 26

4.1.16. Poltica de uso de discos de red o carpetas virtuales.------------------------------------- 26

4.1.17. Poltica de uso de impresoras y del servicio de Impresin.-------------------------------- 27

4.1.18. Poltica de uso de puntos de red de datos (red de rea localLAN).-------------------- 28

4.1.19.

Polticas de seguridad del centro de datos y centros de cableado.----------------------- 28

4.1.20.

Polticas de seguridad de los Equipos------------------------------------------------------ 30

4.1.21.

Poltica de escritorio y pantalla limpia.------------------------------------------------------ 31

4.1.22. Poltica de uso de correo electrnico.------------------------------------------------------ 32

Principios gua------------------------------------------------------------------------------------------------- 32


3/44

3




Condiciones de uso del servicio------------------------------------------------------------------------ 324.1.23. Poltica de control de acceso.--------------------------------------------------------------- 33

4.1.24.

Poltica de establecimiento, uso y proteccin de claves de acceso.---------------------- 34

4.1.25.

Poltica de adquisicin, desarrollo y mantenimiento de sistemas de informacin.-------- 35

4.2.

Procedimientos que apoyan la Poltica de Seguridad--------------------------------------------- 36

4.2.1. Procedimiento de control de documentos-------------------------------------------------- 37

4.2.2. Procedimiento de control de registros------------------------------------------------------ 37

4.2.3. Procedimiento de auditora interna--------------------------------------------------------- 37

4.2.4. Procedimiento de accin correctiva-------------------------------------------------------- 38

4.2.5.

Procedimiento de accin preventiva-------------------------------------------------------- 38

4.2.6.

Procedimiento de revisin del Manual de Poltica de Seguridad-------------------------- 38

4.3. Gestin de los Incidentes de la Seguridad de la Informacin------------------------------------- 39

4.4. Proceso Disciplinario------------------------------------------------------------------------------- 39

4.5. Gestin de la Continuidad del Negocio------------------------------------------------------------ 41

4.6. Cumplimiento--------------------------------------------------------------------------------------- 42

4.7.

Controles-------------------------------------------------------------------------------------------- 42

4.8.

Declaracin de aplicabilidad----------------------------------------------------------------------- 42

5. MARCO LEGAL----------------------------------------------------------------------------------------- 436. REQUISITOS TCNICOS------------------------------------------------------------------------------ 43

7.

DOCUMENTOS ASOCIADOS-------------------------------------------------------------------------- 44

8. RESPONSABLE DEL DOCUMENTO------------------------------------------------------------------ 44


4/44

4




1. OBJETIVOPresentar en forma clara y coherente los elementos que conforman la poltica de seguridad que deben conocer ycumplir todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algn tipo derelacin con el Departamento Administrativo de la Presidencia de la Repblica.

2. ALCANCE

Las Polticas de Seguridad de la Informacin son aplicables para todos los aspectos administrativos y de controlque deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que presten sus servicios o tenganalgn tipo de relacin con el Departamento Administrativo de la Presidencia de la Repblica - DAPRE, para eladecuado cumplimiento de sus funciones y para conseguir un adecuado nivel de proteccin de las caractersticas

de calidad y seguridad de la informacin, aportando con su participacin en la toma de medidas preventivas ycorrectivas, siendo un punto clave para el logro del objetivo y la finalidad de dicho manual. Los usuarios tienen laobligacin de dar cumplimiento a las presentes polticas emitidas y aprobadas por la Direccin General.

3. TRMINOS Y DEFINICIONES

Accin correctiva:Medida de tipo reactivo orientada a eliminar la causa de una no conformidad asociada a laimplementacin y operacin del SGSI con el fin de prevenir su repeticin.

Accin preventiva:Medida de tipo pro-activo orientada a prevenir potenciales no conformidades asociadas a la

implementacin y operacin del SGSI.

Aceptacin del Riesgo:Decisin de aceptar un riesgo.

Activo:Segn [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organizacin. Tambin se entiendepor cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para laorganizacin.Es todo activo que contiene informacin, la cual posee un valor y es necesaria para realizar los procesosmisionales y operativos del DAPRE. Se pueden clasificar de la siguiente manera:

- Datos:Son todos aquellos elementos bsicos de la informacin (en cualquier formato) que se generan,recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word listado de

personal.docx

- Aplicaciones:Es todo el software que se utiliza para la gestin de la informacin. Ejemplo: SIGEPRE.

- Personal:Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y en general,todos aquellos que tengan acceso de una manera u otra a los activos de informacin del DAPRE.Ejemplo: Pedro Prez.


5/44

5




- Servicios:Son tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra,como los externos, aquellos que la organizacin suministra a clientes y usuarios.Ejemplo: Publicacin de hojas de vida, solicitud de vacaciones.

- Tecnologa:Son todos los equipos utilizados para gestionar la informacin y las comunicacionesEjemplo: equipo de cmputo, telfonos, impresoras.

- Instalaciones:Son todos los lugares en los que se alojan los sistemas de informacin. Ejemplo: OficinaPagadura.

- Equipamiento auxiliar:Son todos aquellos activos que dan soporte a los sistemas de informacin y queno se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire acondicionado, destructora depapel.

Administracin de riesgos:Gestin de riesgos, es un enfoque estructurado para manejar la incertidumbre relativa

a una amenaza, a travs de una secuencia de actividades humanas que incluyen evaluacin de riesgo, estrategiasde desarrollo para manejarlo y mitigacin del riesgo utilizando recursos gerenciales. Las estrategias incluyentransferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todaslas consecuencias de un riesgo particular.

Administracin de incidentes de seguridad:Un sistema de seguimiento de incidentes (denominado en inglscomo issue tracking system, trouble ticket system o incident ticket system) es un paquete de software queadministra y mantiene listas de incidentes, conforme son requeridos por una institucin. Los sistemas de este tiposon comnmente usados en la central de llamadas de servicio al cliente de una organizacin para crear, actualizary resolver incidentes reportados por usuarios, o inclusive incidentes reportados por otros funcionarios, contratistas,colaboradores de la entidad o de terceras partes. Un sistema de seguimiento de incidencias tambin contiene unabase de conocimiento que contiene informacin de cada cliente, soluciones a problemas comunes y otros datos

relacionados. Un sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores(bugtracker) y, en algunas ocasiones, una entidad de software puede tener ambos, y algunos bugtrackers puedenser usados como un sistema de seguimiento de incidentes, y viceversa.

Alcance: mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de lasdependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin.

Alerta:Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacinque puede evolucionar hasta convertirse en desastre.

Amenaza:Segn [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el cual puede causar eldao a un sistema o la organizacin.

Anlisis de riesgos:Segn [ISO/lEC Gua 73:2002): Uso sistemtico de la informacin para identificar fuentes yestimar el riesgo.

Auditabilidad: Los activos de informacin deben tener controles que permitan su revisin. Permitir lareconstruccin, revisin y anlisis de la secuencia de eventos.


6/44

6




Auditor:Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se harealizado en un rea particular.

Auditoria:Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitanemitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin.

Autenticacin:Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema.

Autenticidad:Los activos de informacin solo pueden estar disponibles verificando la identidad de un sujeto orecurso, Propiedad que garantiza que la identidad de un sujeto o recurso es la que declara, Se aplica a entidadestales como usuarios, procesos, sistemas de informacin.

Base de datos de gestin de configuraciones (CMDB, Configuration Management Database):Es una base dedatos que contiene toda la informacin pertinente acerca de los componentes del sistema de informacin utilizadoen una organizacin de servicios de TI y las relaciones entre esos componentes. Una CMDB ofrece una vista

organizada de los datos y una forma de examinar los datos desde cualquier perspectiva que desee. En estecontexto, los componentes de un sistema de informacin se conocen como elementos de configuracin (CI). Un CIpuede ser cualquier elemento imaginable de TI, incluyendo software, hardware, documentacin y personal, ascomo cualquier combinacin de ellos. Los procesos de gestin de la configuracin tratan de especificar, controlar yrealizar seguimiento de elementos de configuracin y los cambios introducidos en ellos de manera integral ysistemtica.

B57799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fuepublicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad dela informacin no es certificable- y la parte segunda especifica el sistema de gestin de seguridad de lainformacin -es certificable-o La parte primera es el origen de ISO 17799 e ISO 27002 Y la parte segunda de ISO27001. Como tal el estndar, ha sido derogado ya, por la aparicin de estos ltimos.

Caractersticas de la Informacin: las principales caractersticas son la confidencialidad, la disponibilidad y laintegridad.

Checklist:Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de laauditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios delauditor y su carga de trabajo, Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI parafacilitar su desarrollo.

CobiT - Control Objectives for Information and related Technology: Publicados y mantenidos por ISACA. Sumisin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa deInformacin rectores, actualizados, internacionales y generalmente aceptados para ser empleados por gerentes de

empresas y auditores.

Compromiso de la Direccin: Alineamiento firme de la Direccin de la organizacin con el establecimiento,implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.

Computo forense: El cmputo forense, tambin llamado informtica forense, computacin forense, anlisisforense digital o exanimacin forense digital es la aplicacin de tcnicas cientficas y analticas especializadas a


7/44

7




infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentrode un proceso legal.

Confiabilidad:Se puede definir como la capacidad de un producto de realizar su funcin de la manera prevista, Deotra forma, la confiabilidad se puede definir tambin como la probabilidad en que un producto realizar su funcinprevista sin incidentes por un perodo de tiempo especificado y bajo condiciones indicadas.

Confidencialidad:Acceso a la informacin por parte nicamente de quienes estn autorizados, Segn [ISO/lEC13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos,entidades, o procesos no autorizados.

Control:Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantenerlos riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido, (Nota: Control es tambinutilizado como sinnimo de salvaguarda).

Control correctivo: Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzcaprdidas. Supone que la amenaza ya se ha materializado pero que se corrige.

Control detectivo:Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que laamenaza ya se ha materializado, pero por s mismo no la corrige.

Control disuasorio:Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio deavisos disuasorios.

Control preventivo: Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que unaamenaza llegue siquiera a materializarse.

Declaracin de aplicabilidad:Documento que enumera los controles aplicados por el SGSI de la organizacin -tras el resultado de los procesos de evaluacin y tratamiento de riesgos- adems de la justificacin tanto de suseleccin como de la exclusin de controles incluidos en el anexo A de la norma.

Denegacin de servicios:Accin iniciada por una persona u otra causa que incapacite el hardware o el software,o ambos y despus niegue el servicio.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicioshabituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manerasignificativa.

Directiva:Segn [ISO/lEC 13335-1: 2004): una descripcin que clarifica qu debera ser hecho y cmo, con el

propsito de alcanzar los objetivos establecidos en las polticas.

Disponibilidad:Segn [ISO/lEC 13335-1: 2004): caracterstica o propiedad de permanecer accesible y disponiblepara su uso cuando lo requiera una entidad autorizada.

Evaluacin de riesgos:Segn [ISO/lEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criteriode riesgo dado con el objeto de determinar la importancia del riesgo.


8/44

8




Evento: Segn [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indicauna posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardas, o una situacinanterior desconocida que podra ser relevante para la seguridad.

Evidencia objetiva:Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basadaen observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad deun proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de lainformacin.

Gestin de claves:Controles referidos a la gestin de claves criptogrficas.

Gestin de riesgos:Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de losriesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos.Segn [ISO/lEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto alriesgo.

Gusanos:Es un programa de computador que tiene la capacidad de duplicarse a s mismo. A diferencia del virus,no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Siempredaan la red (aunque sea simplemente consumiendo ancho de banda).

Impacto: Resultado de un incidente de seguridad de la informacin.

Incidente: Segn [ISO/lEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacininesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocioy amenazar la seguridad de la informacin.

Informacin:La informacin constituye un importante activo, esencial para las actividades de una organizacin y,

en consecuencia, necesita una proteccin adecuada. La informacin puede existir de muchas maneras. Puedeestar impresa o escrita en papel, puede estar almacenada electrnicamente, ser transmitida por correo o pormedios electrnicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.

Ingeniera Social:En el campo de la seguridad informtica, es la prctica de obtener informacin confidencial atravs de la manipulacin de usuarios legtimos ganando su confianza muchas veces. Es una tcnica que puedenutilizar investigadores privados, criminales, delincuentes computacionales (conocidos como cracker) para obtenerinformacin, acceso o privilegios en sistemas de informacin que les permiten realizar algn acto que perjudique oexponga a la persona o entidad a riesgos o abusos.

Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn[ISOIIEC 13335-1: 2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos.

Inventario de activos:Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios,personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin ynecesiten por tanto ser protegidos de potenciales riesgos.

IPS:Sistema de prevencin de intrusos. Es un dispositivo que ejerce el control de acceso en una red informticapara proteger a los sistemas computacionales de ataques y abusos.


9/44

9




ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin deorganizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares.

ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISOtranscribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 deJulio de 2007. No es certificable.

ISO 19011:"Guidelines for quality and/or environmental management systems auditing". Gua de utilidad para eldesarrollo de las funciones de auditor interno para un SGSI.

ISO 27001:Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendola segunda parte de BS 7799. Es certificable. Primera publicacin en 20005.

ISO 27002:Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799).No es certificable. Cambio oficial de nomenclatura de ISO 17799:20005 a ISO 27002:20005 el 1 de Julio de 2007.

ISO 9000:Normas de gestin y garanta de calidad definidas por la ISO.

ISO/lEC TR 13335-3:"Information technology. Guidelines for the management of IT Security .Techniques for themanagement of IT Security." Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo.

ISO/lEC TR 18044:"Information technology. Security techniques. Information security incident management". Guade utilidad para la gestin de incidentes de seguridad de la informacin.

ITIL IT Infrastructure Library:Un marco de gestin de los servicios de tecnologas de la informacin.

Keyloggers:Aplicaciones que registran el teclado efectuado por un usuario.

Legalidad:El principio de legalidad o Primaca de la ley es un principio fundamental del Derecho pblico conformeal cual todo ejercicio del poder pblico debera estar sometido a la voluntad de la ley de su jurisdiccin y no a lavoluntad de las personas (ej. el Estado sometido a la constitucin o al Imperio de la ley). Por esta razn se diceque el principio de legalidad establece la seguridad jurdica, Seguridad de Informacin, Seguridad informtica ygaranta de la informacin.

No conformidad:Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algnaspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar laconfidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor.

No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en

evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad,integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable.

No repudio:Los activos de informacin deben tener la capacidad para probar que una accin o un evento hantenido lugar, de modo que tal evento o accin no pueda ser negado posteriormente.


10/44

10




PDCA Plan-Do-Check-Act: Modelo de proceso basado en un ciclo continuo de las actividades de planificar(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar(mantener y mejorar el SGSI).

Phishing:Tipo de delito encuadrado dentro del mbito de las estafas, que se comete mediante el uso de un tipode ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puedeser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria).

Plan de continuidad del negocio (Bussines Continuity Plan):Plan orientado a permitir la continuacin de lasprincipales funciones de la Entidad en el caso de un evento imprevisto que las ponga en peligro.

Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestin que define las acciones parareducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar loscontroles necesarios para proteger la misma.

Poltica de seguridad:Documento que establece el compromiso de la Direccin y el enfoque de la organizacinen la gestin de la seguridad de la informacin. Segn [ISO/lEC 27002:20005): intencin y direccin generalexpresada formalmente por la Direccin.

Poltica d escritorio despejado:La poltica de la empresa que indica a los funcionarios, contratista y demscolaboradores del DAPRE deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de maluso al finalizar el da.

Proteccin a la duplicidad:La proteccin de copia, tambin conocida como prevencin de copia, es una medidatcnica diseada para prevenir la duplicacin de informacin. La proteccin de copia es a menudo tema dediscusin y se piensa que en ocasiones puede violar los derechos de copia de los usuarios, por ejemplo, elderecho a hacer copias de seguridad de una videocinta que el usuario ha comprado de manera legal, el instalar un

software de computadora en varias computadoras, o el subir la msica a reproductores de audio digital parafacilitar el acceso y escucharla.

Riesgo:Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida odao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y susconsecuencias.

Riesgo Residual: Segn [ISOIIEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo.

Salvaguarda:Vase: Control.

Segregacin de tareas:Separar tareas sensibles entre distintos funcionarios o contratistas para reducir el riesgo

de un mal uso de los sistemas e informaciones deliberado o por negligencia.

Seguridad de la informacin:Segn [ISO/lEC 27002:20005]: Preservacin de la confidencialidad, integridad ydisponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio,trazabilidad y fiabilidad pueden ser tambin consideradas.

Seleccin de controles:Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivelaceptable.


11/44

11




SGSI Sistema de Gestin de la Seguridad de la Informacin:Segn [ISO/lEC 27001: 20005]: la parle de unsistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa,

mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura deorganizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.)

Servicios de tratamiento de informacin: Segn [ISO/lEC 27002:20005]: cualquier sistema, servicio oinfraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.

Spamming:Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipopublicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras alreceptor. La accin de enviar dichos mensajes se denomina spamming. La va ms usada es el correo electrnico.

Sniffers:Programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidaddocente o de control, aunque tambin puede ser utilizado con fines maliciosos.

Spoofing:Falsificacin de la identidad origen en una sesin: la identidad es por una direccin IP o Mac Address.

Tratamiento de riesgos:Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas paramodificar el riesgo.

Trazabilidad:Propiedad que garantiza que las acciones de una entidad se puede rastrear nicamente hasta dichaentidad.

Troyano: Aplicacin que aparenta tener un uso legtimo pero que tiene funciones ocultas diseadas parasobrepasar los sistemas de seguridad.

Usuario: en el presente documento se emplea para referirse a directivos, funcionarios, contratistas, terceros yotros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas o aplicativos informticosdisponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.

Valoracin de riesgos: Segn [ISO/lEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos.

Virus: tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o conocimiento delusuario.

Vulnerabilidad:Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite queuna amenaza afecte a un activo. Segn [ISOIlEC 13335-1:2004]: debilidad de un activo o conjunto de activos quepuede ser explotado por una amenaza.

4. POLTICAS, PROCEDIMIENTOS Y CONTROLES

4.1. Polticas de seguridad de la informacin

4.1.1.Polticas generales de seguridad de la informacin.


12/44

12




Las Polticas de Seguridad de la Informacin, surgen como una herramienta institucional para concienciar a cadauno de los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algn tipo de relacincon el DAPRE sobre la importancia y sensibilidad de la informacin y servicios crticos, de tal forma que le permitan

desarrollar adecuadamente sus labores y cumplir con su propsito misional.

Objetivo:Definir las pautas de propsito general para asegurar una adecuada proteccin de la informacin del DAPRE.Brindar apoyo y orientacin a la direccin con respecto a la seguridad de la informacin, de acuerdo con losrequisitos del negocio y los reglamentos y las leyes pertinentes.

Aplicabilidad:Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de lainformacin que cumplan con los propsitos generales del DAPRE.

Directrices:

Se debe verificar que se definan, implementen, revisen y actualicen las polticas de seguridad de lainformacin.

Disear, programar y realizar los programas de auditora del sistema de gestin de seguridad de lainformacin, los cuales estarn a cargo de control interno.

Todo aplicativo informtico o software debe ser comprado o aprobado por el rea de Informacin y Sistemasen concordancia con la poltica de adquisicin de bienes de la entidad de acuerdo con lo definido en el procesoC-BS-07 Adquisicin de Bienes y Servicios.

El DAPRE debe contar con un firewall o dispositivo de seguridad perimetral para la conexin a Internet ocuando sea inevitable para la conexin a otras redes en outsourcingo de terceros.

La conexin remota a la red de rea local del DAPRE debe realizarse a travs de una conexin VPN segurasuministrada por la entidad, la cual debe ser aprobada, registrada y auditada, a excepcin de los casos queautorice el rea de Informacin y Sistemas.

Los jefes de rea o dependencia deben asegurarse que todos los procedimientos de seguridad de lainformacin dentro de su rea de responsabilidad, se realizan correctamente para lograr el cumplimiento de laspolticas y estndares de seguridad de la informacin del DAPRE.

El DAPRE en caso de tener un servicio de transferencia de archivos deber realizarlo empleando protocolosseguros. Cuando el origen sea el DAPRE hacia entidades externas, el DAPRE establecer los controlesnecesarios para preservar la seguridad de la informacin; cuando el origen de la transferencia sea unaentidad externa, se acordarn las polticas y controles de seguridad de la informacin con esa entidad; en todocaso se deben revisar y proponer controles en concordancia con las polticas de seguridad de la informacindel DAPRE; los resultados de la revisin de requerimientos de seguridad se documentarn y preservarn parafuturas referencias o para demostrar el cumplimiento con las polticas y con los controles de seguridad delDAPRE.


13/44

13




El comit de seguridad informtica y de sistemas del DAPRE definir de acuerdo a la clasificacin de lainformacin, que datos deben ser cifrados y dar las directrices necesarias para la implementacin de losrespectivos controles (dispositivos a emplear, mecanismos de administracin de claves, polticas de uso de

sistemas de cifrado de datos).

4.1.2.Poltica de clasificacin de la informacin.

Objetivo:Asegurar que la informacin recibe el nivel de proteccin apropiado de acuerdo al tipo de clasificacin establecidopor la ley y el DAPRE.

Aplicabilidad:Estas polticas se aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,Secretarios, Jefes de Oficina y Jefes de rea, de acuerdo al documento G-GD-02 Gua para la clasificacin de lainformacin de acuerdo a sus niveles de seguridad.

Directrices:Se considera informacin toda forma de comunicacin o representacin de conocimiento o datos digitales, escritosen cualquier medio, ya sea magntico, papel, visual u otro que genere el DAPRE como por ejemplo:

Formularios / comprobantes propios o de terceros. Informacin en los sistemas, equipos informticos, medios magnticos/electrnicos o medios fsicos como

papel. Otros soportes magnticos/electrnicos removibles, mviles o fijos. Informacin transmitida va oral o por cualquier otro medio de comunicacin.

Los usuarios responsables de la informacin del DAPRE, deben identificar los riesgos a los que est expuesta lainformacin de sus reas, teniendo en cuenta que la informacin pueda ser copiada, divulgada, modificada odestruida fsica o digitalmente por personal interno o externo.

Un activo de informacin es un elemento definible e identificable que almacena registros, datos o informacin encualquier tipo de medio y que es reconocida como Valiosa para el DAPRE; Independiente del tipo de activo, sedeben considerar las siguientes caractersticas.

1) El activo de informacin es reconocido como valioso para el DAPRE.2) No es fcilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o lacombinacin de los anteriores.3) Forma parte de la identidad de la organizacin y sin el cual el DAPRE puede estar en algn nivel deriesgo. (La determinacin del nivel y tipo de riesgo se estima sobre la base del modelo MECI del DAPRE).4) Los niveles de clasificacin de la informacin que se ha establecido son: INFORMACIN PBLICARESERVADA, INFORMACIN PBLICA CLASIFICADA (PRIVADA Y SEMI-PRIVADA) e INFORMACINPBLICA.

Los aspectos detallados de la poltica de clasificacin de la informacin se encuentran en el documento G-GD-02Gua para la clasificacin de la informacin de acuerdo con sus niveles de seguridad


14/44

14




4.1.3.Polticas de seguridad para los recursos humanos.

Objetivo:Asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan sus responsabilidades ylas funciones de sus roles y usuarios, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuadode la informacin y de las instalaciones.


Directrices:Se debe asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan susresponsabilidades en relacin con las polticas de seguridad de la informacin del DAPRE y acten de manera

consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado de lainformacin o los equipos empleados para el tratamiento de la informacin

4.1.4.Polticas especficas para usuarios del DAPRE.

Objetivo:Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de losusuarios de la entidad.

Aplicabilidad:Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,

Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de lainformacin que cumplan con los propsitos generales del DAPRE.

Directrices:

El DAPRE suministra una cuota de almacenamiento de la informacin en un servidor de archivos con lospermisos necesarios para que cada usuario guarde la informacin que crea importante y sobre ella segarantizar la disponibilidad en caso de un dao en el equipo asignado, esta informacin ser guardadadurante un mximo de 2 aos; es de aclarar que el usuario final deber copiar la informacin necesaria en lacarpeta destinada para este fin (Mi Arbolito) la cual tiene un acceso directo en el escritorio del PC.

El DAPRE instalar copia de los programas que han sido adquiridos legalmente en los equipos asignados en

las cantidades requeridas para suplir las necesidades. El uso de programas sin su respectiva licencia yautorizacin del DAPRE (imgenes, vdeos, software o msica), obtenidos a partir de otras fuentes (internet,dispositivos de almacenamiento externo), puede implicar amenazas legales y de seguridad de la informacinpara la entidad, por lo que sta prctica no est autorizada.

Todo el software usado en la plataforma tecnolgica del DAPRE debe tener su respectiva licencia y acordecon los derechos de autor.


15/44

15




El DAPRE no se hace responsable por las copias no autorizadas de programas instalados o ejecutados en losequipos asignados a sus funcionarios o contratistas.

El uso de dispositivos de almacenamiento externo (dispositivos mviles, DVD, CD, memorias USB, agendaselectrnicas, celulares, etc.) pueden ocasionalmente generar riesgos para la entidad al ser conectados a loscomputadores, ya que son susceptibles de transmisin de virus informticos o pueden ser utilizados para laextraccin de informacin no autorizada. Para utilizar dispositivos de almacenamiento externo se debe obteneraprobacin formal e individual del rea de Informacin y Sistemas del DAPRE.

Los programas instalados en los equipos, son de propiedad del DAPRE, la copia no autorizada de programaso de su documentacin, implica una violacin a la poltica general del DAPRE. Aquellos funcionarios,contratistas o dems colaboradores que utilicen copias no autorizadas de programas o su respectivadocumentacin, quedarn sujetos a las acciones disciplinarias establecidas por el DAPRE o las sanciones queespecifique la ley.

El DAPRE se reserva el derecho de proteger su buen nombre y sus inversiones en hardware y software,fomentando controles internos para prevenir el uso o la realizacin de copias no autorizadas de los programasde propiedad de la entidad. Estos controles pueden incluir valoraciones peridicas del uso de los programas,auditoras anunciadas y no anunciadas.

Los recursos tecnolgicos y de software asignados a los funcionarios del DAPRE son responsabilidad de cadafuncionario.

Los usuarios son los responsables de la informacin que administran en sus equipos personales y debenabstenerse de almacenar en ellos informacin no institucional, de acuerdo con la gua de clasificacin de lainformacin.

Los usuarios solo tendrn acceso a los datos y recursos autorizados por el DAPRE, y sern responsablesdisciplinaria y legalmente de la divulgacin no autorizada de esta informacin.

Es responsabilidad de cada usuario proteger la informacin que est contenida en documentos, formatos,listados, etc., los cuales son el resultado de los procesos informticos; adicionalmente se deben proteger losdatos de entrada de estos procesos.

Los dispositivos electrnicos (computadores, impresoras, fotocopiadoras, escner, etc.) solo deben utilizarsepara los fines autorizados por la entidad.

Cualquier evento o posible incidente que afecte la seguridad de la informacin, debe ser reportadoinmediatamente a la mesa de ayuda (PUCPunto nico de Contacto) del rea de Informacin y Sistemas delDAPRE o al CSIRT.

Los jefes de las diferentes reas del DAPRE, en conjunto con el Comit de Seguridad Informtica y deSistemas propiciarn actividades para concienciar al personal sobre las precauciones necesarias que debenrealizar los usuarios finales, para evitar revelar informacin confidencial cuando se hace una llamadatelefnica, que pueda ser interceptada mediante acceso fsico a la lnea o al auricular o ser escuchada por


16/44

16




personas que se encuentren cerca. Lo anterior debe aplicar tambin cuando el funcionario, contratista ocolaborador se encuentre en sitios pblicos como restaurantes, transporte pblico, ascensores, etc.

Los datos de los sistemas de informacin y aplicaciones no deben intercambiarse utilizando archivoscompartidos en los computadores, discos virtuales, CD, DVD, medios removibles; deben usarse los mismosservicios del sistema de informacin, los cuales estn controlados y auditados.

4.1.5.Polticas especficas para funcionarios y contratistas del rea de Informacin ySistemas.

Objetivo:Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de losfuncionarios y contratistas de TI de la entidad.

Aplicabilidad:Estas polticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y aterceros que estn encargados de cualquier sistema de informacin.

Directrices:

El personal del rea de Informacin y Sistemas no debe dar a conocer su clave de usuario a terceros sinprevia autorizacin del Jefe del rea de Informacin y Sistemas.

Los usuarios y claves de los administradores de sistemas y del personal del rea de Informacin y Sistemasson de uso personal e intransferible.

El personal del rea de Informacin y Sistemas debe emplear obligatoriamente las claves o contraseas conun alto nivel de complejidad y utilizar los servicios de autenticacin fuerte que posee la entidad de acuerdo alrol asignado.

Los administradores de los sistemas de informacin deben seguir las polticas de cambio de clave y utilizarprocedimiento de salvaguarda o custodia de las claves o contraseas en un sitio seguro. A este lugar solo debetener acceso el Jefe del rea de Informacin y Sistemas o el Asesor para la de Seguridad Informtica.

Los documentos y en general la informacin de procedimientos, seriales, software etc. deben mantenersecustodiados en todo momento para evitar el acceso a personas no autorizadas.

Para el cambio o retiro de equipos de funcionarios, se deben seguir polticas de saneamiento, es decir llevara cabo mejores prcticas para la eliminacin de la informacin de acuerdo al software disponible en laentidad. Ej: Formateo seguro, destruccin total de documentos o borrado seguro de equipos electrnicos.

Los funcionarios encargados de realizar la instalacin o distribucin de software, slo instalarn productoscon licencia y software autorizado.


17/44

17




Los funcionarios del rea de Informacin y Sistemas no deben otorgar privilegios especiales a los usuariossobre las estaciones de trabajo, sin la autorizacin correspondiente del Jefe del rea de Informacin ySistemas y el registro en el sistema de la mesa de ayuda (PUC).

Los funcionarios del rea de Informacin y Sistemas se obligan a no revelar a terceras personas, lainformacin a la que tengan acceso en el ejercicio de sus funciones de acuerdo con la gua de clasificacinde la informacin segn sus niveles de seguridad. En consecuencia, se obligan a mantenerla de maneraconfidencial y privada y a protegerla para evitar su divulgacin.

Los funcionarios del rea de Informacin y Sistemas no utilizarn la informacin para fines comerciales odiferentes al ejercicio de sus funciones.

Toda licencia de software o aplicativo informtico y sus medios, se deben guardar y relacionar de tal formaque asegure su proteccin y disposicin en un futuro.

Las copias licenciadas y registradas del software adquirido, deben ser nicamente instaladas en los equiposy servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las polticas delproveedor y de la entidad.

La copia de programas o documentacin, requiere tener la aprobacin escrita del DAPRE y del proveedor siste lo exige.

El personal del rea de Informacin y Sistemas debe velar por que se cumpla con el registro en la bitcorade acceso al datacenter,de las personas que ingresen y que hayan sido autorizadas previamente por la

jefatura del rea o por quien esta delegue.

Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en los servidores;no se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado oficialmente por la entidad atravs del Comit de Seguridad Informtica y de Sistemas establecido en la resolucin 5519 del 1 dediciembre de 2014 o el Asesor para la de Seguridad Informtica.

Aquellos servicios y actividades que no son esenciales para el normal funcionamiento de los sistemas deinformacin, deben ser aprobados oficialmente por la entidad, a travs del Comit de Seguridad Informtica yde Sistemas, cuyas funciones se encuentran en la resolucin 5519 del 1 de diciembre de 2014 y deben serasegurados mediante controles que permitan la preservacin de la seguridad de la informacin.

El acceso a cualquier servicio, servidor o sistema de informacin debe ser autenticado y autorizado.

Todos los servidores deben ser configurados con el mnimo de servicios necesarios y obligatorios paradesarrollar las funciones designadas.

Las pruebas de laboratorio o piloto deben ser autorizadas por el Comit de Seguridad Informtica y deSistemas, para sistemas de informacin, de software tipo freeware o shareware o de sistemas quenecesiten conexin a internet; estas deben ser realizadas sin conexin a la red LAN de la entidad y con unaconexin separada de internet o en su defecto con una direccin IP diferente a las direcciones pblicas deproduccin.


18/44

18




4.1.6.Polticas especficas para Webmaster.

Objetivo:Proteger la integridad de las pginas Web institucionales, el software y la informacin contenida.

Aplicabilidad:Estas polticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y aterceros que se encuentren desempeando el rol de Webmaster.

Directrices:Los responsables de los contenidos de las pginas Web (webmasters), deben preparar y depurar la informacin de

su rea o dependencia y reportar a la mesa de ayuda (PUC) los requerimientos de actualizacin de la versin delsoftware; deben disponer de un archivo actualizado con la informacin de la pgina inicial del sitio; y debenregistrar la autorizacin de publicacin por parte del funcionario autorizado y coordinar con el administrador web delrea de Informacin y Sistemas los lineamientos del sitio.

Se deber seguir la Poltica Editorial y Actualizacin de Contenidos Web, que permita auditar la publicacin omodificacin de informacin oficial en las pginas web.

Las claves de acceso de los responsables de los contenidos de las pginas Web (webmasters), son estrictamenteconfidenciales, personales e intransferibles.

4.1.7.Poltica de Tercerizacin u Outsourcing.

Objetivo:Mantener la seguridad de la informacin y los servicios de procesamiento de informacin, a los cuales tienenacceso terceras partes, entidades externas o que son procesados, comunicados o dirigidos por estas.

Aplicabilidad:Estas son polticas que aplican a contratistas, proveedores de outsourcing, consultores y contratistas externos,personal temporal y en general a todos los usuarios de la informacin que realicen estas tareas en el DAPRE.

Directrices:

Seleccin de outsourcingSe deben establecer criterios de seleccin que contemplen la historia y reputacin de terceras partes,certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compaa, seguimiento deestndares de gestin de calidad y de seguridad y otros criterios que resulten de un anlisis de riesgos de laseleccin y los criterios establecidos por la entidad.


19/44

19




Anlisis de riesgosSe deben identificar los riesgos para la informacin y los servicios de procesamiento de informacin que involucrenpartes externas al DAPRE. El resultado del anlisis de riesgos ser la base para el establecimiento de los controles

y debe ser presentado al Comit de Seguridad Informtica y de Sistemas antes de firmar el contrato deoutsourcing.

Acuerdos con terceras partesCon el fin de proteger la informacin de ambas partes, se debe formalizar un acuerdo de confidencialidad. Elacuerdo deber definir claramente el tipo de informacin que intercambiarn las partes, los medios, la frecuencia ylos procedimientos a seguir.

Si la informacin intercambiada lo amerita teniendo en cuenta la clasificacin de la informacin de acuerdo a losniveles de seguridad, se debe preparar y legalizar un acuerdo de confidencialidad entre la entidad y el outsourcingde acuerdo al objetivo y al alcance del contrato; el cual debe quedar firmado por ambas partes. En todos los casos

deben firmarse acuerdos de niveles de servicio que permitan cumplir con las polticas de seguridad de lainformacin y con los objetivos de la entidad.

4.1.8.Poltica de retencin y archivo de datos.

Objetivo:Mantener la integridad y disponibilidad de la informacin y de los servicios de procesamiento de informacin.

Aplicabilidad:Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,

Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de lainformacin que cumplan con los propsitos generales del DAPRE.

Directrices:La poltica de retencin de archivos debe establecer cunto tiempo se deben mantener almacenados los archivosen el DAPRE de acuerdo a las tablas de retencin documental.

Las reglas y los principios generales que regulan la funcin archivstica del Estado, se encuentran definidos por laLey, la cual es aplicable a la administracin pblica en sus diferentes niveles producidos en funcin de su misin ynaturaleza.

La ley prev el uso de las tecnologas de la informacin y las comunicaciones en la administracin, conservacin

de archivos y en la elaboracin e implantacin de programas de gestin de documentos.

4.1.9.Poltica de disposicin de informacin, medios y equipos.

Objetivo:Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crticos contra los efectosde fallas importantes en los sistemas de informacin o contra desastres y propender por su recuperacin oportuna.


20/44

20





Directrices:Los medios y equipos donde se almacena, procesa o comunica la informacin, deben mantenerse con las medidasde proteccin fsicas y lgicas, que permitan su monitoreo y correcto estado de funcionamiento; para ello se deberealizar los mantenimientos preventivos y correctivos que se requieran.

4.1.10. Poltica de respaldo y restauracin de informacin.

Objetivo:Proporcionar medios de respaldo adecuados para asegurar que toda la informacin esencial y el software, sepueda recuperar despus de una falla.

Aplicabilidad:Esta poltica ser aplicada por los administradores de tecnologa, encargados de sistemas de informacin y

jefaturas de rea que decidan sobre la disponibilidad en integridad de los datos.

Directrices: La informacin de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento

como cinta, cartucho, CD, DVD, etc.

Los administradores de los servidores, los sistemas de informacin o los equipos de comunicaciones, sonlos responsables de definir la frecuencia de respaldo y los requerimientos de seguridad de la informacin(codificacin) y el administrador del sistema de respaldo, es el responsable de realizar los respaldosperidicos.

Todas las copias de informacin crtica deben ser almacenadas en un rea adecuada y con control deacceso.

Las copias de respaldo se guardaran nicamente con el objetivo de restaurar el sistema luego de un virusinformtico, defectos en los discos de almacenamiento, problemas de los servidores o computadores,materializacin de amenazas, catstrofes y por requerimiento legal.

Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen informacin crtica;el dueo de la informacin debe asegurar que el plan es adecuado, frecuentemente actualizado yperidicamente probado y revisado.


21/44

21




Ningn tipo de informacin institucional puede ser almacenada en forma exclusiva en los discos duros delas estaciones de trabajo; por lo tanto, es obligacin de los usuarios finales realizar las copias en lascarpetas destinadas para este fin.

Deben existir al menos una copia de la informacin de los discos de red, la cual deber permanecer fuerade las instalaciones del DAPRE.

La restauracin de copias de respaldo en ambientes de produccin debe estar debidamente aprobada porel propietario de la informacin.

Semanalmente los administradores de infraestructura del DAPRE, verificarn la correcta ejecucin de losprocesos de backup, suministrarn las cintas requeridas para cada trabajo y controlarn la vida til decada cinta o medio empleado.

El rea de Informacin y Sistemas debe mantener un inventario actualizado de las copias de respaldo de

la informacin y los aplicativos o sistemas del DAPRE.

Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro 1 y posteriormentesern eliminados o destruidos de forma adecuada.

Es responsabilidad de cada dependencia mantener depurada la informacin de las carpetas virtuales parala optimizacin del uso de los recursos de almacenamiento que entrega el DAPRE a los usuarios.

4.1.11. Poltica de gestin de activos de informacin.

Objetivo:Establece la forma en que se logra y mantiene la proteccin adecuada de los activos de informacin.

Aplicabilidad:Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales,Directores, Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos losusuarios de la informacin que cumplan con los propsitos generales del DAPRE.

Directrices:

Inventario de activos de informacin

El DAPRE mantendr un inventario actualizado de sus activos de informacin, bajo la responsabilidad de cadapropietario de informacin y centralizado por el rea Informacin y Sistemas.

1El borrado seguro se ejecuta cuando al borrar un archivo o formatear un dispositivo de almacenamiento, alguna utilidad de borrado escribeceros (o) sobre el archivo, no permitiendo que ste se pueda recuperar posteriormente. Tomado de:http://es.wikipedia.org/wiki/Borrado_de_archivos
http://es.wikipedia.org/wiki/Borrado_de_archivoshttp://es.wikipedia.org/wiki/Borrado_de_archivos


22/44

22




Una parte de los activos de informacin se mantendr en una base de datos bajo la responsabilidad del rea deInformacin y Sistemas. (Base de datos de gestin de configuraciones - Configuration Management Database

CMDB).

Propietarios de los activos de informacin

El DAPRE es propietario de los activos de informacin y los administradores de estos activos son los funcionarios,contratistas o dems colaboradores del DAPRE ( denominados usuarios) que estn autorizados y seanresponsables por la informacin de los procesos a su cargo, de los sistemas de informacin o aplicacionesinformticas, hardware o infraestructura de tecnologa de informacin y comunicaciones (TIC).

4.1.12.Poltica de uso de los activos.

Objetivo:Lograr y mantener la proteccin adecuada de los activos de informacin mediante la asignacin de estos a losusuarios finales que deban administrarlos de acuerdo a sus roles y funciones.


Directrices: Los activos de informacin pertenecen al DAPRE y el uso de los mismos debe emplearse exclusivamente

con propsitos laborales.

Los usuarios2debern utilizar nicamente los programas y equipos autorizados por el rea de Informaciny Sistemas.

El DAPRE proporcionar al usuario los equipos informticos y los programas instalados en ellos; losdatos/informacin creados, almacenados y recibidos, sern propiedad del DAPRE, los funcionarios solopodrn realizar backup de sus archivos personales o de informacin pblica, para copiar cualquier tipo de

informacin clasificada o reservada debe pedir autorizacin a su jefe inmediato, de acuerdo a las normassobre clasificacin de la informacin de acuerdo a los niveles de seguridad establecidos por el DAPRE ;Su copia, sustraccin, dao intencional o utilizacin para fines distintos a las labores propias de laInstitucin, sern sancionadas de acuerdo con las normas y legislacin vigentes.

2 Funcionarios, contratistas y otros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas y/o aplicativosinformticos disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.


23/44

23




Peridicamente, el rea de Informacin y Sistemas efectuar la revisin de los programas utilizados encada dependencia. La descarga, instalacin o uso de aplicativos o programas informticos no autorizadosser considera como una violacin a las Polticas de Seguridad de la Informacin del DAPRE.

Todos los requerimientos de aplicativos, sistemas y equipos informticos deben ser solicitados a travs dela mesa de ayuda del rea de Informacin y Sistemas con su correspondiente justificacin para surespectiva viabilidad.

Estarn bajo custodia del rea de Informacin y Sistemas los medios magnticos/electrnicos (disquetes,CDs u otros) que vengan originalmente con el software y sus respectivos manuales y licencias de uso,adicionalmente las claves para descargar el software de fabricantes de sus pginas web o sitios eninternet y los passwords de administracin de los equipos informticos, sistemas de informacin oaplicativos.

En caso de ser necesario y previa autorizacin del Comit de Seguridad Informtica y de Sistemas delDAPRE , los funcionarios del DAPRE podrn acceder a revisar cualquier tipo de activo de informacin ymaterial que los usuarios creen, almacenen, enven o reciban, a travs de Internet o de cualquier otra redo medio, en los equipos informticos a su cargo.

Los recursos informticos del DAPRE no podrn ser utilizados, sin previa autorizacin escrita, paradivulgar, propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas,programas destructivos (virus), propaganda poltica, material religioso o cualquier otro uso que no estautorizado.

Los usuarios no deben realizar intencionalmente actos que impliquen un mal uso de los recursostecnolgicos. Estos actos incluyen, pero no se limitan a: envi de correo electrnico masivo con fines noinstitucionales y prctica de juegos en lnea.

Los usuarios no podrn efectuar ninguna de las siguientes labores sin previa autorizacin del rea deInformacin y Sistemas:

Instalar software en cualquier equipo del DAPRE; Bajar o descargar software de Internet u otro servicio en lnea en cualquier equipo del DAPRE; Modificar, revisar, transformar o adaptar cualquier software propiedad del DAPRE; Descompilar o realizar ingeniera inversa en cualquier software de propiedad del DAPRE. Copiar o distribuir cualquier software de propiedad del DAPRE.

El usuario deber informar al Jefe Inmediato de cualquier violacin de las polticas de seguridad o usoindebido que tenga conocimiento.

El usuario ser responsable de todas las transacciones o acciones efectuadas con su cuenta de usuario.

Ningn usuario deber acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuarioo clave de otro usuario.

Cada usuario es responsable de asegurar que el uso de redes externas, tal como Internet, no comprometala seguridad de los recursos informticos del DAPRE. El rea de Informacin y Sistemas del DAPRE, es


24/44

24




el rea responsable de realizar el aseguramiento de los accesos a internet, acceso a redes de terceros y alas redes de la entidad; esta responsabilidad incluye, pero no se limita a prevenir que intrusos tenganacceso a los recursos informticos y a prevenir la introduccin y propagacin de virus.

Todo archivo o material recibido a travs de medio magntico/electrnico o descarga de Internet o decualquier red externa, deber ser revisado para deteccin de virus y otros programas destructivos antesde ser instalados en la infraestructura TIC del DAPRE.

Todos los archivos provenientes de equipos externos al DAPRE, deben ser revisados para deteccin devirus antes de su utilizacin dentro de la red del DAPRE.

Todo cambio a la infraestructura informtica deber estar controlado y ser realizado de acuerdo con losprocedimientos de gestin de cambios del rea de informacin y sistemas del DAPRE.

La informacin del DAPRE debe ser respaldada de forma frecuente, debe ser almacenada en lugaresapropiados en los cuales se pueda garantizar que la informacin este segura y podr ser recuperada encaso de un desastre o de incidentes con los equipos de procesamiento.

4.1.13.Poltica de uso de estaciones cliente.

Objetivo:Garantizar que la seguridad es parte integral de los activos de informacin y que son bien utilizados por losusuarios finales.


Directrices:

La instalacin de software en los computadores suministrados por el DAPRE, es una funcin exclusiva delrea de Informacin y Sistemas. Se mantendr una lista actualizada del software autorizado para instalaren los computadores.

Se definirn dos (2) perfiles de Administradores locales:1. Desarrolladores de aplicaciones.2.Usuarios que necesitan utilizar software especfico, que por su naturaleza requieren permisos de

administrador local para su ejecucin.

Los usuarios no deben mantener almacenados en los discos duros, de las estaciones cliente o discosvirtuales de red, archivos de vdeo, msica y fotos que no sean de carcter institucional.

En el Disco C:\ de las estaciones cliente se tiene configurado el sistema operativo, aplicaciones y perfil deusuario. El usuario deber abstenerse de realizar modificaciones a stos archivos.


25/44

25




Los usuarios podrn trabajar sus documentos institucionales en borrador en la estacin cliente asignadapor el DAPRE y debern ubicar copias y documentos finales en las carpetas virtuales centralizadas que seestablezca para cumplir con las tablas de retencin documental TRD de la Entidad.

El prstamo de equipos de cmputo, computadores porttiles y vdeo proyectores se debe tramitar atravs de la mesa de ayuda con anticipacin y se proveer de acuerdo a la disponibilidad.

Los equipos que ingresan temporalmente al DAPRE que son de propiedad de terceros: deben serregistrados en las porteras de la entidad para poder realizar su retiro sin autorizacin; el DAPRE no sehar responsable en caso de prdida o dao de algn equipo informtico de uso personal o que haya sidoingresado a sus instalaciones.

El rea de Informacin y Sistemas no prestar servicio de soporte tcnico (revisin, mantenimiento,reparacin, configuracin y manejo e informacin) a equipos que no sean del DAPRE.

4.1.14. Poltica de uso de Internet.

Objetivo:Establecer unos lineamientos que garanticen la navegacin segura y el uso adecuado de la red por parte de losusuarios finales, evitando errores, prdidas, modificaciones no autorizadas o uso inadecuado de la informacin enlas aplicaciones WEB.


Directrices: La navegacin en Internet debe realizarse de forma razonable y con propsitos laborales.

No se permite la navegacin a sitios con contenidos contrarios a la ley o a las polticas del DAPRE o querepresenten peligro para la entidad como: pornografa, terrorismo, hacktivismo, segregacin racial u otrasfuentes definidas por el DAPRE.

El acceso a este tipo de contenidos con propsitos de estudio de seguridad o de investigacin, debecontar con la autorizacin expresa del Comit de Seguridad Informtica y de Sistemas del DAPRE.

La descarga de archivos de Internet debe ser con propsitos laborales y de forma razonable para noafectar el servicio de Internet/Intranet, en forma especfica el usuario debe cumplir los requerimientos de lapoltica de uso de internet descrita en este manual.


26/44

26




4.1.15.Poltica de uso de mensajera instantnea y redes sociales.

Objetivo:Definir las pautas generales para asegurar una adecuada proteccin de la informacin de la Presidencia de laRepblica, en el uso del servicio de mensajera instantnea y de las redes sociales, por parte de los usuariosautorizados.


Directrices: El uso de servicios de mensajera instantnea y el acceso a redes sociales estarn autorizados solo para

un grupo reducido de usuarios, teniendo en cuenta sus funciones y para facilitar canales de comunicacincon la ciudadana.

No se permite el envo de mensajes con contenido que atente contra la integridad de las personas oinstituciones o cualquier contenido que represente riesgo de cdigo malicioso.

La informacin que se publique o divulgue por cualquier medio de Internet, de cualquier funcionario,contratista o colaborador del DAPRE, que sea creado a nombre personal, como redes sociales, twitter,facebook, youtube likedink o blogs, se considera fuera del alcance del SGSI y por lo tanto suconfiabilidad, integridad y disponibilidad y los daos y perjuicios que pueda llegar a causar sern decompleta responsabilidad de la persona que las haya generado.

4.1.16.Poltica de uso de discos de red o carpetas virtuales.

Objetivo:Asegurar la operacin correcta y segura de los discos de red o carpetas virtuales.


Directrices:

Para que los usuarios tengan acceso a la informacin ubicada en los discos de red, el jefe inmediatodeber enviar un correo autorizando el acceso y permisos, correspondientes al rol y funciones adesempear, a la mesa de ayuda del rea de Informacin y Sistemas del DAPRE. Los usuarios tendrnpermisos de escritura, lectura o modificacin de informacin en los discos de red, dependiendo de susfunciones y su rol.


27/44

27




La informacin institucional que se trabaje en las estaciones cliente de cada usuario debe ser trasladadaperidicamente a los discos de red por ser informacin institucional.

La informacin almacenada en cualquiera de los discos de red debe ser de carcter institucional.

Est prohibido almacenar archivos con contenido que atente contra la moral y las buenas costumbres dela entidad o las personas, como pornografa, propaganda racista, terrorista o cualquier software ilegal omalicioso, ya sea en medios de almacenamiento de estaciones de trabajo, computadores de escritorio oporttiles, tablets, celulares inteligentes, etc. o en los discos de red.

Se prohbe extraer, divulgar o publicar informacin de cualquiera de los discos de red o estaciones detrabajo, sin expresa autorizacin de su jefe inmediato.

Se prohbe el uso de la informacin de los discos de red con fines publicitarios, de imagen negativa,lucrativa o comercial.

La responsabilidad de generar las copias de respaldo de la informacin de los discos de red, est a cargodel rea de Informacin y Sistemas.

La responsabilidad de custodiar la informacin en copias de respaldo controladas, fuera de lasinstalaciones del DAPRE, estar a cargo del rea de Informacin y Sistemas.

4.1.17.Poltica de uso de impresoras y del servicio de Impresin.

Objetivo:Asegurar la operacin correcta y segura de las impresoras y del servicio de impresin.


Directrices: Los documentos que se impriman en las impresoras del DAPRE deben ser de carcter institucional.

Es responsabilidad del usuario conocer el adecuado manejo de los equipos de impresin (escner y

fotocopiado) para que no se afecte su correcto funcionamiento. Ningn usuario debe realizar labores de reparacin o mantenimiento de las impresoras. En caso de

presentarse alguna falla, esta se debe reportar a la mesa de ayuda del rea de Informacin y Sistemas.


28/44

28




4.1.18.Poltica de uso de puntos de red de datos (red de rea localLAN).

Objetivo:Asegurar la operacin correcta y segura de los puntos de red.


Directrices: Los usuarios debern emplear los puntos de red, para la conexin de equipos informticos estndar. Los

equipos de uso personal, que no son de propiedad del DAPRE, solo tendrn acceso a servicios limitadosdestinados a invitados o visitantes, estos equipos deben ser conectados a los puntos de accesoautorizados y definidos por el rea de Informacin y Sistemas del DAPRE.

La instalacin, activacin y gestin de los puntos de red es responsabilidad del rea de Informacin ySistemas.

4.1.19.Polticas de seguridad del centro de datos y centros de cableado.

Objetivo:Asegurar la proteccin de la informacin en las redes y la proteccin de la infraestructura de soporte.

Aplicabilidad:Estas polticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a

terceros que estn encargados de cualquier parte o sistema de la plataforma informtica.

Directrices: No se permite el ingreso al centro de datos, al personal que no est expresamente autorizado. Se debe

llevar un control de ingreso y salida del personal que visita el centro de datos. En el centro de datos debedisponerse de una planilla para el registro, la cual debe ser diligenciada en lapicero de tinta al iniciar yfinalizar la actividad a realizar.

El rea de Informacin y Sistemas debe garantizar que el control de acceso al centro de datos delDAPRE, cuenta con dispositivos electrnicos de autenticacin o sistema de control biomtrico.

El rea de Informacin y Sistemas deber garantizar que todos los equipos de los centros de datos

cuenten con un sistema alterno de respaldo de energa

La limpieza y aseo del centro de datos estar a cargo del rea Administrativa y debe efectuarse enpresencia de un funcionario o contratista del rea de Informacin y Sistemas del DAPRE. El personal delimpieza debe ser ilustrado con respecto a las precauciones mnimas a seguir durante el proceso delimpieza. Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no seanestrictamente necesarios para su labor de limpieza y aseo.


29/44

29




En las instalaciones del centro de datos o centros de cableado, no se debe fumar, comer o beber; de igualforma se debe eliminar la permanencia de papelera y materiales que representen riesgo de propagacinde fuego, as como mantener el orden y limpieza en todos los equipos y elementos que se encuentren eneste espacio.

El centro de datos debe estar provisto de: Sealizacin adecuada de todos y cada uno de los diferentes equipos y elementos, as como luces de

emergencia y de evacuacin, cumpliendo las normas de seguridad industrial y de salud ocupacional. Pisos elaborados con materiales no combustibles. Sistema de refrigeracin por aire acondicionado de precisin. Este equipo debe ser redundante para

que en caso de falla se pueda continuar con la refrigeracin. Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de

garantizar el servicio de energa elctrica durante una falla momentnea del fluido elctrico de la redpblica.

Alarmas de deteccin de humo y sistemas automticos de extincin de fuego, conectada a un

sistema central. Los detectores debern ser probados de acuerdo a las recomendaciones delfabricante o al menos una vez cada 6 meses y estas pruebas debern estar previstas en losprocedimientos de mantenimiento y de control.

Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad dedetener el fuego generado por equipo elctrico, papel o qumicos especiales.

El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.

Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas tcnicas.

La grabacin de vdeo en las instalaciones del centro de datos debe estar expresamente autorizada por elComit de Seguridad Informtica y de Sistemas y exclusivamente con fines institucionales.

Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadaspor un funcionario o contratista autorizado del DAPRE.

Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiereingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicar dentro del centrode datos.

Cuando se requiera realizar alguna actividad sobre algn armario (rack), este debe quedar ordenado,cerrado y con llave, cuando se finalice la actividad.

Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces debenpermanecer apagadas.

Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallasque se puedan presentar.


30/44

30




4.1.20.Polticas de seguridad de los Equipos

Objetivo:Asegurar la proteccin de la informacin en los equipos.


Directrices:

Protecciones en el suministro de energaA la red de energa regulada de los puestos de trabajo solo se pueden conectar equipos como computadores,pantallas; los otros elementos debern conectarse a la red no regulada. Esta labor debe ser revisada por el reaAdministrativa.

Seguridad del cableadoLos cables deben estar claramente marcados para identificar fcilmente los elementos conectados y evitardesconexiones errneas.

Deben existir planos que describan las conexiones del cableado.

El acceso a los centros de cableado (Racks), debe estar protegido.

Mantenimiento de los Equipos

El DAPRE debe mantener contratos de soporte y mantenimiento de los equipos crticos.

Las actividades de mantenimiento tanto preventivo como correctivo deben registrarse para cada elemento.

Las actividades de mantenimiento de los servidores, elementos de comunicaciones, energa o cualquiera quepueda ocasionar una suspensin en el servicio, deben ser realizadas y programadas.

Los equipos que requieran salir de las instalaciones del DAPRE para reparacin o mantenimiento, deben estardebidamente autorizados y se debe garantizar que en dichos elementos no se encuentra informacin establecidacomo crtica en la clasificacin de la informacin de acuerdo a los niveles de clasificacin de la informacin.

Para que los equipos puedan salir fuera de las instalaciones, se debe suministrar un nivel mnimo de seguridad,

que al menos cumpla con los requerimientos internos, teniendo en cuenta los diferentes riesgos de trabajar en unambiente que no cuenta con las protecciones ofrecidas en el interior del DAPRE.

Cuando un dispositivo vaya a ser reasignado o retirado de servicio, debe garantizarse la eliminacin de todainformacin residente en los elementos utilizados para el almacenamiento, procesamiento y transporte de lainformacin, utilizando herramientas para realizar sobre-escrituras sobre la informacin existente o la presencia decampos magnticos de alta intensidad. Este proceso puede adems incluir, una vez realizado el proceso anterior,la destruccin fsica del medio, utilizando impacto, fuerzas o condiciones extremas.


31/44

31




Ingreso y retiro de activos de informacin de terceros.El retiro e ingreso de todo activo de informacin de propiedad de los usuarios del DAPRE, utilizados para finespersonales, se realizar mediante los procedimientos establecidos por la Administracin del Edificio. El DAPRE nose hace responsable de los bienes o los problemas que se presenten al conectarse a la red elctrica delDepartamento.

El retiro e ingreso de todo activo de informacin de los visitantes que presten servicios al DAPRE (consultores,pasantes, visitantes, etc.) ser registrado y controlado en las porteras del edificio. El personal de vigilancia derecepcin verificar y registrar las caractersticas de identificacin del activo de informacin.

El traslado entre dependencias del DAPRE de todo activo de informacin, est a cargo del rea Administrativa,para el control de inventarios.

4.1.21.Poltica de escritorio y pantalla limpia.

Objetivo:Definir las pautas generales para reducir el riesgo de acceso no autorizado, prdida y dao de la informacindurante y fuera del horario de trabajo normal de los usuarios.


Directrices: El personal del DAPRE debe conservar su escritorio libre de informacin, propia de la entidad, que pueda

ser alcanzada, copiada o utilizada por terceros o por personal que no tenga autorizacin para su uso oconocimiento.

El personal del DAPRE debe bloquear la pantalla de su computador con el protector de pantalla, en losmomentos que no est utilizando el equipo o cuando por cualquier motivo deba dejar su puesto detrabajo.

Al imprimir documentos de carcter confidencial, estos deben ser retirados de la impresorainmediatamente y no se deben dejar en el escritorio sin custodia.

No se debe utilizar fotocopiadoras, escneres, equipos de fax, cmaras digitales y en general equipostecnolgicos que se encuentren desatendidos.


32/44

32

MANUAL DE LA POL TICA DE SEG

m-ti-01 manual general sistema de seguridad de la informacion

Documents