políticas de seguridad de la información...parques nacionales naturales de colombia calle 74 no....
TRANSCRIPT
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
VERSIÓN 1
EN PROCESO DE APROBACIÓN
SUBDIRECCIÓN DE GESTIÓN Y MANEJO GRUPO DE SISTEMAS DE INFORMACIÓN Y RADIOCOMUNICACIONES
2018
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
CONTROL DE REVISIÓN
SGC PROCESO DE GESTIÓN DE
INFORMACIÓN
Versión 1
03/25/2016 Página 1 de 105 Confidencial
05/04/2018 En proceso de aprobación
La información contenida en este documento es propiedad intelectual de PNN
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Tabla de contenido 1. Introducción .................................................................................................................................................... 12
1.1 ¿Por qué implementar políticas de seguridad de la información? ......................................................... 20
1.2. ¿Qué riesgos se pueden derivar de no contar con Políticas de seguridad de la información? .............. 22
2. Política Uso aceptable de los Activos ............................................................................................................. 24
2.1. Alcance ................................................................................................................................................... 24
2.2. Objetivo ................................................................................................................................................... 24
2.3. Marco normativo ..................................................................................................................................... 24
2.4. Condiciones Obligatorias ........................................................................................................................ 24
2.5. Usos no autorizados ............................................................................................................................... 25
2.6. Responsabilidades ................................................................................................................................. 25
2.7. Seguimiento y control (monitoreo) .......................................................................................................... 26
2.8. Procedimientos por dominio ................................................................................................................... 26
2.9. Controles por dominio ............................................................................................................................. 27
2.10. Controles asociados ............................................................................................................................... 27
2.11. Estándares aplicables ............................................................................................................................. 28
3. Política de control de acceso físico ................................................................................................................ 29
3.1. Alcance ................................................................................................................................................... 29
3.2. Objetivo ................................................................................................................................................... 29
3.3. Marco normativo ..................................................................................................................................... 29
3.4. Condiciones obligatorias......................................................................................................................... 29
3.5. Usos no autorizados ............................................................................................................................... 30
3.6. Responsabilidades ................................................................................................................................. 30
3.7. Seguimiento y control (monitoreo) .......................................................................................................... 30
3.8. Procedimientos por dominio ................................................................................................................... 30
3.9. Controles por dominio ............................................................................................................................. 30
3.10. .Controles asociados .............................................................................................................................. 31
3.11. Estándares aplicables ............................................................................................................................. 31
4. Política de seguridad de la información para relaciones con proveedores .................................................... 32
4.1. Alcance ................................................................................................................................................... 32
4.2. Objetivo ................................................................................................................................................... 32
4.3. Marco normativo ..................................................................................................................................... 32
4.4. Condiciones obligatorias......................................................................................................................... 32
4.5. Usos no autorizados ............................................................................................................................... 33
4.6. Responsabilidades ................................................................................................................................. 33
4.7. Seguimiento y control (monitoreo) .......................................................................................................... 34
4.8. Procedimientos por dominio ................................................................................................................... 34
4.9. Controles por dominio ............................................................................................................................. 34
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
4.10. Controles asociados ............................................................................................................................... 34
4.11. Estándares aplicables ............................................................................................................................. 34
5. Política Trae tu propio dispositivo (BYOD, Bring Your Own Device) ............................................................. 35
5.1. Alcance ................................................................................................................................................... 35
5.2. Objetivo ................................................................................................................................................... 35
5.3. Definiciones ............................................................................................................................................ 35
5.4. Marco normativo ..................................................................................................................................... 35
5.5. Condiciones obligatorias......................................................................................................................... 35
5.6. Usos no autorizados ............................................................................................................................... 36
5.7. Responsabilidades ................................................................................................................................. 36
5.8. Seguimiento y control (monitoreo) .......................................................................................................... 37
5.9. Procedimientos por dominio ................................................................................................................... 37
5.10. Controles por dominio ............................................................................................................................. 37
5.11. Controles asociados ............................................................................................................................... 37
5.12. Estándares aplicables ............................................................................................................................. 37
6. Política de dispositivos móviles, teletrabajo y cumplimiento de funciones por fuera de las redes y sistemas de la Parques Nacionales Naturales De Colombia ................................................................................................ 38
6.1. Alcance ................................................................................................................................................... 38
6.2. Marco normativo ..................................................................................................................................... 38
6.3. Condiciones obligatorias......................................................................................................................... 38
6.4. Usos no autorizados ............................................................................................................................... 39
6.5. Responsabilidades ................................................................................................................................. 39
6.6. Seguimiento y control (monitoreo) .......................................................................................................... 40
6.7. Procedimientos por dominio ................................................................................................................... 40
6.8. Controles por dominio ............................................................................................................................. 40
6.9. Controles asociados ............................................................................................................................... 40
6.10. Estándares aplicables ............................................................................................................................. 40
7. Política de seguridad para proveedores ......................................................................................................... 41
7.1. Alcance ................................................................................................................................................... 41
7.2. Objetivo ................................................................................................................................................... 41
7.3. Marco normativo ..................................................................................................................................... 41
7.4. Condiciones obligatorias......................................................................................................................... 41
7.5. Responsabilidades ................................................................................................................................. 41
7.6. Seguimiento y control (monitoreo) .......................................................................................................... 42
7.7. Procedimientos por dominio ................................................................................................................... 42
7.8. Controles por dominio ............................................................................................................................. 42
7.9. Controles asociados ............................................................................................................................... 42
7.10. Estándares aplicables ............................................................................................................................. 42
8. Política de claves ............................................................................................................................................ 43
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
8.1. Alcance ................................................................................................................................................... 43
8.2. Objetivo ................................................................................................................................................... 43
8.3. Marco normativo ..................................................................................................................................... 43
8.4. Definiciones ............................................................................................................................................ 43
8.5. Condiciones obligatorias ......................................................................................................................... 43
8.6. Usos no autorizados ............................................................................................................................... 44
8.7. Responsabilidades .................................................................................................................................. 44
8.7.1. Responsabilidades de los usuarios ......................................................................................................... 44
8.7.2. Responsabilidades Unidad Informática ................................................................................................... 45
8.8. Seguimiento y control (monitoreo) .......................................................................................................... 45
8.9. Procedimientos por dominio .................................................................................................................... 45
8.10. Controles por dominio ............................................................................................................................. 45
8.11. Controles asociados................................................................................................................................ 45
8.12. Estándares aplicables ............................................................................................................................. 45
9. Política para la eliminación y destrucción de medios ..................................................................................... 46
9.1. Alcance ................................................................................................................................................... 46
9.2. Objetivo ................................................................................................................................................... 46
9.3. Marco normativo ..................................................................................................................................... 46
9.4. Condiciones obligatorias......................................................................................................................... 46
9.5. Usos no autorizados ............................................................................................................................... 47
9.6. Responsabilidades ................................................................................................................................. 47
9.7. Seguimiento y control (monitoreo) .......................................................................................................... 47
9.8. Procedimientos por dominio ................................................................................................................... 47
9.9. Controles por dominio ............................................................................................................................. 47
9.10. Controles asociados ............................................................................................................................... 47
9.11. Estándares aplicables ............................................................................................................................. 47
10. Política de escritorio limpio y pantalla limpia .............................................................................................. 48
10.1. Alcance ................................................................................................................................................... 48
10.2. Objetivo ................................................................................................................................................... 48
10.3. Marco normativo ..................................................................................................................................... 48
10.4. Condiciones obligatorias......................................................................................................................... 48
10.5. Responsabilidades ................................................................................................................................. 49
10.6. Seguimiento y control (monitoreo) .......................................................................................................... 49
10.7. Procedimientos por dominio ................................................................................................................... 49
10.8. Controles por dominio ............................................................................................................................. 49
10.9. Estándares aplicables ............................................................................................................................. 49
11. Política de Gestión de Cambios ................................................................................................................. 50
11.1. Alcance ................................................................................................................................................... 50
11.2. Objetivo ................................................................................................................................................... 50
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
11.3. Marco normativo ..................................................................................................................................... 50
11.4. Condiciones obligatorias......................................................................................................................... 50
11.5. Usos no autorizados ............................................................................................................................... 51
11.6. Responsabilidades ................................................................................................................................. 51
11.7. Seguimiento y control (monitoreo) .......................................................................................................... 52
11.8. Procedimientos por dominio ................................................................................................................... 52
11.9. Controles por dominio ............................................................................................................................. 52
11.10. Controles asociados ........................................................................................................................... 52
11.11. Estándares aplicables ......................................................................................................................... 52
12. Politica De Respaldo De Información ......................................................................................................... 53
12.1. Alcance ................................................................................................................................................... 53
12.2. Objetivo ................................................................................................................................................... 53
12.3. Marco normativo ..................................................................................................................................... 53
12.4. Condiciones obligatorias......................................................................................................................... 53
12.5. Responsabilidades ................................................................................................................................. 54
12.6. Seguimiento y control (monitoreo) .......................................................................................................... 54
12.7. Procedimientos por dominio ................................................................................................................... 54
12.8. Controles por dominio ............................................................................................................................. 54
12.9. Estándares aplicables ............................................................................................................................. 55
13. Política de Transferencia de Información ................................................................................................... 56
13.1. Alcance ................................................................................................................................................... 56
13.2. Objetivo ................................................................................................................................................... 56
13.3. Marco normativo ..................................................................................................................................... 56
13.4. Condiciones obligatorias......................................................................................................................... 56
13.5. Usos no autorizados ............................................................................................................................... 57
13.6. Responsabilidades ................................................................................................................................. 57
13.7. Seguimiento y control (monitoreo) .......................................................................................................... 58
13.8. Procedimientos por dominio ................................................................................................................... 58
13.9. Controles por dominio ............................................................................................................................. 58
13.10. Controles asociados ........................................................................................................................... 58
13.11. Estándares aplicables ......................................................................................................................... 58
14. Política de Concientización en seguridad de la información ...................................................................... 59
14.1. Alcance ................................................................................................................................................... 59
14.2. Objetivo ................................................................................................................................................... 59
14.3. Marco normativo ..................................................................................................................................... 59
14.4. Condiciones Obligatorias ........................................................................................................................ 59
14.5. Responsabilidades ................................................................................................................................. 60
14.6. Seguimiento y control (monitoreo) .......................................................................................................... 60
14.7. Procedimientos por dominio ................................................................................................................... 60
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
14.8. Controles por dominio ............................................................................................................................. 60
14.9. Controles complementarios .................................................................................................................... 60
14.10. Estándares aplicables ......................................................................................................................... 60
15. Política de control de acceso a la información ........................................................................................... 61
15.1. Alcance ................................................................................................................................................... 61
15.2. Objetivo ................................................................................................................................................... 61
15.3. Marco normativo ..................................................................................................................................... 61
15.4. Condiciones Obligatorias ........................................................................................................................ 61
15.5. Usos no autorizados ............................................................................................................................... 62
15.6. Responsabilidades ................................................................................................................................. 62
15.7. Seguimiento y control (monitoreo) .......................................................................................................... 62
15.8. Procedimientos por dominio ................................................................................................................... 62
15.9. Controles por dominio ............................................................................................................................. 62
15.10. Controles asociados ........................................................................................................................... 63
15.11. Estándares aplicables ......................................................................................................................... 63
16. Acceso a Componentes de Tecnología de Información y Comunicaciones .............................................. 64
16.1. Alcance ................................................................................................................................................... 64
16.2. Objetivo ................................................................................................................................................... 64
16.3. Marco normativo ..................................................................................................................................... 64
16.4. Condiciones Obligatorias ........................................................................................................................ 64
16.5. Usos no autorizados ............................................................................................................................... 65
16.6. Responsabilidades ................................................................................................................................. 65
16.7. Seguimiento y control (monitoreo) .......................................................................................................... 65
16.8. Procedimientos por dominio ................................................................................................................... 65
16.9. Controles por dominio ............................................................................................................................. 65
16.10 Controles asociados .............................................................................................................................. 66
16.11 Estándares aplicables ............................................................................................................................. 66
17. Política de desvinculación cambio de funciones, ausencia temporal o vacaciones .................................. 67
17.1. Alcance ................................................................................................................................................... 67
18. Política de uso de correo electrónico.......................................................................................................... 69
18.1. Alcance ................................................................................................................................................... 69
18.2. Objetivo ................................................................................................................................................... 69
18.3. Marco normativo ..................................................................................................................................... 69
18.4. Condiciones obligatorias......................................................................................................................... 69
18.5. Usos no autorizados ............................................................................................................................... 70
18.6. Responsabilidades ................................................................................................................................. 70
18.7. Seguimiento y control (monitoreo) .......................................................................................................... 70
18.8. Procedimientos por dominio ................................................................................................................... 71
18.9. Controles por dominio ............................................................................................................................. 71
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
18.10. Estándares aplicables ......................................................................................................................... 71
19. Política de uso de servicios de acceso a Internet ...................................................................................... 72
19.1. Alcance ................................................................................................................................................... 72
19.2. Objetivo ................................................................................................................................................... 72
19.3. Marco normativo ..................................................................................................................................... 72
19.4. Condiciones Obligatorias ........................................................................................................................ 72
19.5. Usos no autorizados ............................................................................................................................... 73
19.6. Responsabilidades ................................................................................................................................. 73
19.7. Seguimiento y control (monitoreo) .......................................................................................................... 74
19.8. Procedimientos por dominio ................................................................................................................... 74
19.9. Controles por dominio ............................................................................................................................. 74
19.10. Controles asociados ........................................................................................................................... 74
19.11. Estándares aplicables ......................................................................................................................... 74
20. Política de Antivirus .................................................................................................................................... 75
20.1. Alcance ................................................................................................................................................... 75
20.2. Objetivo ................................................................................................................................................... 75
20.3. Marco normativo ..................................................................................................................................... 75
20.4. Condiciones obligatorias......................................................................................................................... 75
20.5. Usos no autorizados ............................................................................................................................... 75
20.6. Responsabilidades ................................................................................................................................. 76
20.7. Seguimiento y control (monitoreo) .......................................................................................................... 76
20.8. Procedimientos por dominio ................................................................................................................... 76
20.9. Controles por dominio ............................................................................................................................. 76
20.10. Controles asociados ........................................................................................................................... 76
20.11. Estándares aplicables ......................................................................................................................... 76
21. Política de Controles para Cifrado de Datos .............................................................................................. 77
21.1. Alcance ................................................................................................................................................... 77
21.2. Objetivo ................................................................................................................................................... 77
21.3. Marco normativo ..................................................................................................................................... 77
21.4. Condiciones obligatorias......................................................................................................................... 77
21.5. Usos no autorizados ............................................................................................................................... 78
21.6. Responsabilidades ................................................................................................................................. 78
21.7. Seguimiento y control (monitoreo) .......................................................................................................... 78
21.8. Procedimientos por dominio ................................................................................................................... 78
21.9. Controles por dominio ............................................................................................................................. 78
21.10. Controles asociados ........................................................................................................................... 78
21.11. Estándares aplicables ......................................................................................................................... 78
22. Política de uso de dispositivos móviles ...................................................................................................... 79
22.1. Alcance ................................................................................................................................................... 79
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
22.2. Objetivo ................................................................................................................................................... 79
22.3. Marco Normativo .................................................................................................................................... 79
22.4. Condiciones obligatorias......................................................................................................................... 79
22.5. Usos no autorizados ............................................................................................................................... 80
22.6. Responsabilidades ................................................................................................................................. 80
22.7. Seguimiento y control (monitoreo) .......................................................................................................... 80
22.8. Procedimientos por dominio ................................................................................................................... 80
22.9. Controles por dominio ............................................................................................................................. 80
22.10. Controles asociados ........................................................................................................................... 80
22.11. Estándares aplicables ......................................................................................................................... 80
23. Política de adquisición, desarrollo y mantenimiento de software ............................................................... 81
23.1. Alcance ................................................................................................................................................... 81
23.2. Objetivo ................................................................................................................................................... 81
23.3. Marco normativo ..................................................................................................................................... 81
23.4. Condiciones Obligatorias ........................................................................................................................ 81
23.5. Responsabilidades ................................................................................................................................. 81
23.6. Seguimiento y control (monitoreo) .......................................................................................................... 82
23.8. Controles por dominio ............................................................................................................................. 82
23.9. Controles asociados ............................................................................................................................... 82
23.10. Estándares aplicables ......................................................................................................................... 82
24. Cuentas para acceso a sistemas de información ....................................................................................... 83
24.1. Alcance ................................................................................................................................................... 83
24.2. Objetivo ................................................................................................................................................... 83
24.3. Marco normativo ..................................................................................................................................... 83
24.4. Condiciones obligatorias......................................................................................................................... 83
24.5. Usos no autorizados ............................................................................................................................... 83
24.6. Responsabilidades ................................................................................................................................. 84
24.7. Seguimiento y control (monitoreo) .......................................................................................................... 84
24.8. Procedimientos por dominio ................................................................................................................... 84
24.9. Controles por dominio ............................................................................................................................. 84
24.10. Estándares aplicables ......................................................................................................................... 84
25. Política de gestión de incidentes de seguridad de la información ............................................................. 85
25.1. Alcance ................................................................................................................................................... 85
25.2. Objetivo ................................................................................................................................................... 85
25.3. Marco normativo ..................................................................................................................................... 85
25.4. Definiciones ............................................................................................................................................ 85
25.5. Detalle ..................................................................................................................................................... 85
25.6. Responsabilidades ................................................................................................................................. 86
25.7. Seguimiento y control (monitoreo) .......................................................................................................... 86
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
25.8. Procedimientos por dominio ................................................................................................................... 86
25.9. Controles por dominio ............................................................................................................................. 86
25.10. Controles asociados ........................................................................................................................... 86
25.11. Estándares aplicables ......................................................................................................................... 87
26. Politica de tratamiento de datos personales ............................................................................................... 88
26.1. Alcance ................................................................................................................................................... 88
26.2. Objetivo ................................................................................................................................................... 88
26.3. Marco normativo ..................................................................................................................................... 88
26.4. Definiciones ............................................................................................................................................ 88
26.5. Condiciones obligatorias......................................................................................................................... 89
26.6. Condiciones obligatorias......................................................................................................................... 89
26.7. Responsabilidades ................................................................................................................................. 92
26.8. Seguimiento y control (monitoreo) .......................................................................................................... 93
26.9. Procedimientos por dominio ................................................................................................................... 93
26.10. Controles por dominio ......................................................................................................................... 93
26.11. Estándares aplicables ......................................................................................................................... 93
27. Política de clasificación de la información .................................................................................................. 94
27.1. Alcance ................................................................................................................................................... 94
27.2. Objetivo ................................................................................................................................................... 94
27.3. Marco normativo ..................................................................................................................................... 94
27.4. Definiciones ............................................................................................................................................ 94
27.5. Condiciones obligatorias......................................................................................................................... 96
27.6. Usos no autorizados ............................................................................................................................... 97
27.7. Responsabilidades ................................................................................................................................. 97
27.8. Seguimiento y control (monitoreo) .......................................................................................................... 97
27.9. Procedimientos por dominio ................................................................................................................... 97
27.10. Controles por dominio ......................................................................................................................... 97
27.11. Controles asociados ........................................................................................................................... 97
27.12. Estándares aplicables ......................................................................................................................... 97
28. Politica para la gestion de vulnerabildades sobre los componentes de la infraestructura tecnologica ..... 98
28.1. Alcance ................................................................................................................................................... 98
28.2. Objetivo ................................................................................................................................................... 98
28.3. Marco normativo ..................................................................................................................................... 98
28.4. Definiciones ............................................................................................................................................ 98
28.5. Condiciones obligatorias......................................................................................................................... 99
28.6. Usos no autorizados ............................................................................................................................... 99
28.7. Roles y Responsabilidades .................................................................................................................... 99
28.8. Seguimiento y control (monitoreo) ........................................................................................................ 100
28.9. Procedimientos por dominio ................................................................................................................. 100
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
28.10. Controles por dominio ....................................................................................................................... 100
28.11. Controles asociados ......................................................................................................................... 100
28.12. Estándares aplicables ....................................................................................................................... 100
29. Sistema de clasificacion de riesgos .......................................................................................................... 101
29.1. Grupo Meta ........................................................................................................................................... 101
29.2. Propósito del Sistema de Clasificación de Riesgos ............................................................................. 101
29.3. Responsabilidades ............................................................................................................................... 101
29.4. 29.4. Conceptos Básicos ................................................................................................................. 101
30. Bibliografía ................................................................................................................................................ 105
30. BIBLIOGRAFÍA........................................................................................................97
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
1. Introducción
La mayor parte de las organizaciones dependen de los sistemas automatizados para la
obtención de la información necesaria en la toma de decisiones.
A medida que la sociedad se vuelve más dependiente de la tecnología de la información y del
procesamiento automatizado de la información es natural hacer énfasis en la necesidad de
proteger las funciones vitales, que constituyen un componente clave para la organización
susceptible a pérdida, daños o usos indebidos.
La información y los sistemas de información son un recurso muy valioso; por lo que deben
ser tratados como un recurso estratégico que requiere ser administrado (tal como el capital, el
recurso humano y recursos técnicos), debiendo dárseles la misma atención. Las
consecuencias financieras pueden ser desastrosas si los sistemas fallan o si se pierde la
información.
El tema de la seguridad de la información cobra gran importancia y tiene como meta proteger
los activos o recursos de la organización y asegurar la viabilidad de las operaciones si
algo llegara a pasar, promoviendo e implementando medidas de seguridad, controles
administrativos y especialmente, por medio de la actitud de cada uno de los miembros de la
Institución.
Entre otros, la seguridad informática considera aspectos como daño o divulgación de
información no autorizada, pérdida de medios físicos, hechos resultantes de errores del
operador, errores en el software, errores en los datos, daños a las instalaciones, daños en
bases de datos, crimen por computadora ya sea que esté dirigido al software, a los datos o al
hardware, documentación de sistemas, criptografía, comunicaciones, y otros.
Los recursos informáticos están sujetos a amenazas generadas por los diferentes tipos de
riesgos a los que están expuestos dependiendo de sus componentes y sus propósitos,
por lo tanto, es necesario implementar controles para prevenir, detectar o corregir los
ataques de las amenazas y para disminuir los riesgos.
Los controles deben ser proporcionales a los riegos; la falta de protección de los
recursos informáticos es muy peligroso, pero el exceso de estos es muy costoso. Por esto
es necesario identificar en dónde podría suceder algo y qué implicaciones originaría para
el área o entidad afectada, así como también, lo que le costaría a la Institución eliminar
el riesgo o disminuir la probabilidad de ocurrencia.
Solamente así se pueden tomar decisiones en cuanto al establecimiento de las
previsiones requeridas o de los riesgos que se asumen.
La seguridad de la información involucra el establecimiento de un sistema de control para
proporcionar confidencialidad, integridad y disponibilidad de la información, así como ética del
recurso humano.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
El primer desafío para la seguridad está representado no por la tecnología sino por las
personas involucradas, por lo tanto, se requiere de un alto grado de compromiso por
parte de la Administración de la PARQUES NACIONALES NATURALES DE COLOMBIA,
para que todos los esfuerzos en este sentido tengan razón de ser
Desde el punto de vista de las regulaciones en Colombia, vamos identificar la necesidad
del por qué contar con una política de clasificación de la información:
Normas o Regulación: Constitución política de Colombia. Artículo 15.
“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el
Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y
rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de
entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán
la libertad y demás garantías consagradas en la Constitución. La correspondencia y demás formas
de comunicación privada son inviolables. Sólo pueden ser interceptadas o registradas mediante
orden judicial, en los casos y con las formalidades que establezca la ley. Para efectos tributarios o
judiciales y para los casos de inspección, vigilancia e intervención del Estado podrá exigirse la
presentación de libros de contabilidad y demás documentos privados, en los términos que señale
la ley
Ley 1581 de 2012 Protección de Datos personales,
Artículo 1°. Objeto. La presente ley tiene por objeto desarrollar el derecho constitucional que
tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías
constitucionales a que se refiere el artículo
15 de la Constitución Política; así como el derecho a la información consagrado en el artículo
20 de la misma.
Artículo 2°. Ámbito de aplicación. Los principios y disposiciones contenidas en la presente
ley serán aplicables a los datos personales registrados en cualquier base de datos que los haga
susceptibles de tratamiento por entidades de naturaleza pública o privada.
La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o
cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio
nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales
Artículo 4°. Principios para el Tratamiento de datos personales. En el desarrollo, interpretación
y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se
derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el
Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros
medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable
para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la
presente
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
1.1 Objetivos del Manual Brindar a los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA una
herramienta que les permita mejorar la seguridad de la información de la Institución, donde
quiera que tenga presencia y proveer información útil para cualquiera que tenga
responsabilidades en relación con la seguridad de los sistemas de información de la
PARQUES NACIONALES NATURALES DE COLOMBIA, garantizando la continuidad,
confiabilidad y confidencialidad de la información tanto de los usuarios como de la Entidad
misma.
1.2 Objetivo de la Seguridad de la Información
Promover la protección no sólo de las personas y organizaciones que confían en la
información para la toma de decisiones, sino también los sistemas y comunicaciones
susceptibles de sufrir fallas en relación con la confiabilidad, confidencialidad, continuidad y uso
legítimo de la información, a través de la identificación y definición de las medidas necesarias
para evitar el daño accidental o intencional de los recursos informáticos (tanto de
procesamiento como de comunicaciones).
1.3 Política institucional de la seguridad de la información
En el cumplimiento de sus funciones institucionales de Administrar las áreas del Sistema de Parques Nacionales Naturales y coordinar el Sistema Nacional de Áreas Protegidas, en el marco del ordenamiento ambiental del territorio, con el propósito de conservar in situ la diversidad biológica y eco sistémica representativa del país, proveer y mantener bienes y servicios ambientales, proteger el patrimonio cultural y el hábitat natural donde se desarrollan las culturas tradicionales como parte del Patrimonio Nacional y aportar al Desarrollo Humano Sostenible; bajo los principios de transparencia, solidaridad, equidad, participación y respeto a la diversidad cultural, PARQUES NACIONALES NATURALES DE COLOMBIA, acogerá todas las medidas que estén a su alcance para salvaguardar la integridad, la disponibilidad y la confidencialidad de la información necesaria para el cumplimiento de su misión, gestionando los riesgos de manera integral con criterios de efectividad, eficiencia y transparencia en todos sus procesos, mejorando permanentemente sus capacidades en materia de seguridad de la información.
En este sentido, se declara como prioritario y de la más alta relevancia la seguridad de la
información en la ejecución permanente de las labores de la PARQUES NACIONALES
NATURALES DE COLOMBIA, mediante la protección de los activos de información, la
infraestructura crítica y de soporte, con el fin de garantizar un nivel adecuado de
continuidad de negocio y sus servicios relacionados; contribuyendo por tanto al
cumplimiento en los procesos misionales y los objetivos estratégicos organizacionales.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
POLÍTICA DE CLASIFICACIÓN DE LA
INFORMACIÓN Alcance
La Política de Seguridad Informática aplica para todas las dependencias de la PARQUES
NACIONALES
NATURALES DE COLOMBIA, donde quiera que tenga presencia. Cubre todos los
componentes informáticos, datos e información, tanto de la institución como de sus clientes, así
como los sistemas de información relacionados, que estén almacenados en cualquier sitio o sean
movilizados.
Responsabilidades básicas
La Dirección General tiene la responsabilidad última por la seguridad de la información en la
PARQUES NACIONALES NATURALES DE COLOMBIA. Es el responsable por el establecimiento de la Política de Seguridad de la Información y por el establecimiento de una estructura de control para asegurar su cumplimiento.
Las Dependencias son las responsables por la seguridad de sus unidades organizacionales y de todos los activos bajo su control. Son responsables de asegurar que sus funcionarios y contratistas comprenden su obligación de proteger los recursos informáticos y asegurar que periódicamente se verifique y evalúe la implementación y efectividad de los controles.
Todos los funcionarios y contratistas son responsables por el cumplimiento de la Política de Seguridad de la Información, así como de las directrices, estándares y procedimientos asociados.
REPONSABILIDADES BASICAS DEL ESQUEMA DE SEGURIDAD DE LA
INFORMACIÓN Introducción
Una clara definición de responsabilidades es una condición básica para una seguridad adecuada.
Descripción de las responsabilidades básicas por el uso y la seguridad de los sistemas
automatizados en la PARQUES NACIONALES NATURALES DE COLOMBIA
Las responsabilidades básicas pueden ser clasificadas de acuerdo con el siguiente
esquema: Responsabilidades generales en relación con la responsabilidad hacia la
Institución
Ejecutivos
Funcionarios
Responsabilidades específicas en relación con los sistemas automatizados. En relación con los sistemas automatizados, puede subdividirse en: “Dueño” del sistema Usuario
Desarrolladores de Sistemas
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Operadores de Sistemas
Administradores de Bases de Datos
Auditores Internos
Una persona puede tener varias funciones, por ejemplo, ser funcionario y desarrollador
de sistemas. Todas las responsabilidades asociadas a las diversas funciones se le
aplican a dicha persona.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Responsabilidades en Seguridad de la Información
Ejecutivos
Definición: Funcionario con responsabilidades de jefatura dentro de la PARQUES
NACIONALES NATURALES DE COLOMBIA.
Responsabilidades:
a) Asegurar que los “funcionarios” estén familiarizados con las regulaciones y responsabilidades que les competen en seguridad de la información, así como la supervisión de la observancia de las mismas.
b) Asegurar una adecuada segregación de funciones dentro de su estructura organizacional, y que las funciones críticas estén adecuadamente asignadas a personal calificado.
c) Asegurar que los derechos de acceso de sus funcionarios a los sistemas automatizados,
estén de acuerdo y permanezcan actualizados con el nivel de autorización asociado a sus
funciones.
d) Tomar, dentro de su área de acción y responsabilidad, las acciones oportunas y efectivas
contra los riesgos e incidentes de seguridad de la información identificados.
Funcionario
Definición: Personal contratado por la PARQUES NACIONALES NATURALES DE
COLOMBIA, indistintamente de estar nombrado en propiedad, subcontratado o en
entrenamiento.
Responsabilidades:
a) Conocer y acatar las regulaciones de seguridad de la información. b) Reportar a sus superiores las deficiencias detectadas en materia de seguridad de la información. c) Asegurar que los datos e información “sensitivos”, tanto de la institución, como de los
clientes sean mantenidos en forma confidencial.
Responsabilidades en Seguridad de la Información (Roles en Sistemas Automatizados)
Dueño del Sistema
Definición: Funcionario responsable por la definición y aceptación de los requerimientos
para el desarrollo y mantenimiento de los sistemas automatizados y con autoridad sobre su
uso.
Responsabilidades:
a) Determinar el valor y los riesgos asociados a sus sistemas, clasificándolos de acuerdo con la
“sensitividad” al riesgo y evaluar su clasificación periódicamente. b) Asegurar que existe una adecuada seguridad en sus sistemas, determinando los
requerimientos de seguridad acordes a las políticas institucionales de seguridad informática. En los sistemas nuevos, verificar que estos satisfacen los requerimientos de seguridad preestablecidos y evaluar periódicamente su clasificación de “sensitividad” al riesgo.
c) Autorizar los derechos de acceso y uso a sus sistemas.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Usuario
Definición: Funcionario que utiliza los sistemas
automatizados. Responsabilidades:
a) Utilizar el sistema de acuerdo con los derechos de acceso y uso asociados a sus funciones. b) Familiarizarse y cumplir con las regulaciones en seguridad de la información y operacionales. c) Utilizar las opciones provistas, determinando que el proceso y resultados obtenidos sean
correctos. d) Indicar a sus superiores cualquier deficiencia del sistema que detecte.
Desarrollador de Sistemas
Definición: Funcionario quién, - en representación del “dueño”-, selecciona, desarrolla
y/o da mantenimiento a los sistemas automatizados.
Responsabilidades:
a) Asegurar que la clasificación de riesgo definida por el “dueño” sea efectivamente implementada
en el sistema automatizado. b) En coordinación con el “dueño” y representantes de otras funciones relacionadas, define los
riesgos y los requerimientos con respecto al uso, control y seguridad del sistema a desarrollar. Específica y concreta las medidas de seguridad a ser implementadas.
c) Asegurar que el “dueño”, los responsables de la operación, el auditor interno y otras instan cias relacionadas conozcan, evalúen y acepten los resultados intermedios relevantes.
d) Tomar las medidas necesarias para asegurar la funcionalidad del sistema para que pueda ser usado y administrado adecuadamente.
Operadores de Sistemas
Definición: Funcionario que opera y da mantenimiento al sistema automatizado en representación del
“dueño”.
Responsabilidades:
a) Resguarda y procesa el sistema de acuerdo con los requerimientos del “dueño” en cuanto
a uso, control y seguridad. Debe asegurar que el sistema sólo pueda ser sustituido, modificado, eliminado o utilizado de acuerdo con la autoridad requerida y determinar que las medidas de seguridad funcionan adecuadamente.
b) Asegurar que el sistema es puesto en producción previa aceptación del “dueño” y del responsabl e de operaciones.
c) Administrar los derechos de acceso de acuerdo con los requerimientos aprobados por el “dueño” del sistema y el usuario administrador del sistema, e informar a ellos de los derechos de acceso definidos.
d) Registrar el uso e intentos de violación de los sistemas, reportándolo a “dueños” y usuarios.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Administradores de Bases de Datos
Definición: Funcionarios responsables por la custodia de los datos físicos de la institución, así
como proveer experiencia en la administración de bases de datos y guiar a los dueños de
datos, desarrolladores y usuarios finales en el diseño, creación, mantenimiento, manipulación
e integración de bases de datos.
Responsabilidades:
a) Definir y mantener los estándares en materia de Bases de Datos (documentación,
diseño, manuales técnicos, otros). b) Documentar y mantener actualizadas las Bases de Datos de la
institución. c) Definir, implementar y vigilar el cumplimiento de los esquemas de seguridad en Bases de Datos. d) Apoyar, evaluar y certificar el diseño de Bases de Datos, ya sea que se diseñen
internamente o por terceros.
Auditores Internos
Definición: Funcionarios que proveen una evaluación independiente y recomiendan acerca de
los controles internos y seguridad.
Responsabilidades:
a) Evaluar y recomendar sobre la estructura y operación del control interno y las
medidas de seguridad para el desarrollo, administración, proceso y uso de los sistemas automatizados.
b) Reportar a los interesados sobre los resultados de su evaluación y las
recomendaciones pertinentes.
1.1 ¿Por qué implementar políticas de seguridad de la información?
En su artículo 227. Obligatoriedad de suministro de información, el plan nacional de desarrollo
2010-2014, parágrafo tercero establece que:
“El Gobierno Nacional debe garantizar mediante la implementación de sistemas de gestión para la
seguridad de la información que el acceso a las bases de datos y a la utilización de la información sea
seguro y confiable para no permitir el uso indebido de ella.”
A su vez el programa gobierno en línea del Ministerio de las tecnologías de información y las
comunicaciones en su modelo de Gobierno en Línea 3.1 establece que:
“Los componentes de la Estrategia de Gobierno en línea definidos en el Decreto 2693 de 2012 que se
derivan de la evolución de las “Fases de Gobierno en línea” contempladas en el Decreto 1151 de
2008, se adiciona un nuevo componente que contempla temas y actividades transversales, así:
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
1) Elementos Transversales:
…
En este componente también se describen actividades orientadas a que cada entidad cuente con una política de seguridad que es aplicada de forma transversal y mejorada constantemente; y que se garantice la incorporación del Gobierno en línea como parte de la cultura organizacional y elemento de soporte en sus actividades misionales. Para alcanzar los objetivos de este componente, las entidades deberán desarrollar las siguientes actividades:
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
1. Institucionalizar la Estrategia de Gobierno en línea 2. Centrar la atención en el
usuario 3. Implementar un sistema de gestión de Tecnologías de Información 4. Implementar un sistema de gestión de seguridad de la información (SGSI).
Complementariamente el modelo Estándar de control Interno MECI define en su control 1.3
COMPONENTE ADMINISTRACIÓN DEL RIESGO: la necesidad de:
“1.3.5 Políticas de Administración de Riesgos: Elemento de Control, que permite estructurar criterios
orientadores en la toma de decisiones, respecto al tratamiento de los riesgos y sus efectos al interior
de la Entidad Pública.”
De todo lo anterior se deduce que es una obligación para las entidades del estado contar con un
conjunto de políticas que les permitan gestionar los riesgos y en particular gestionar la seguridad de la
información.
Además de las obligaciones normativas, la implementación de un sistema de gestión de seguridad de
la información, como lo define la norma técnica Colombiana NTC/ISO IEC 27001:2013, define la
obligatoriedad de contar con una política de seguridad de la información:
1.2. ¿Qué riesgos se pueden derivar de no contar con Políticas de seguridad de la información?
Se pueden derivar múltiples riesgos de no contar con políticas de seguridad de la información.
Citaremos algunos por su relevancia:
1) Riesgo Legal. La normatividad Colombiana ya ha establecido multiplicidad de normas que obligan a la implementación de controles de seguridad, algunas de las cuales están orientadas a la protección de información personal y otras a la obligación de disponer al ciudadano de información oportuna y veraz para la toma de decisiones. Cuando una entidad no tiene definidas políticas de seguridad de la información, se somete a posibles sanciones de entes de control por no contar con mecanismos que le permitan demostrar la debida diligencia en el cumplimiento de normas
2) Riesgo Técnico
La inexistencia de políticas de seguridad hace que los controles de seguridad informática se orienten a resolver problemas inmediatos, es decir una posición reactiva frente a riesgo y no proactiva, con lo cual, los controles de tecnología se adquieren para resolver problemas del momento y no como mecanismos para soportar las misión, visión, objetivos y requisitos de la entidad. De esta forma no se puede saber con claridad si estamos o no suficientemente protegidos.
3) Riesgo Administrativo
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Como se explicó en la primera sección de este documento, las políticas definen el conjunto de principios para la correcta toma de decisiones. Cuando no se definen con claridad las políticas de seguridad de la información, por ejemplo a quién podemos suministrar cierto tipo de información y a quién no, las entidades se someten a constante riesgo administrativo porque sus procesos carecen de directrices claras sobre su ejecución, poniendo en riesgo no solo los resultados del proceso, sino también al directo responsable del proces
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
2. Política Uso aceptable de los Activos
2.1. Alcance
Esta política aplica para todos los funcionarios, contratistas y terceros que presten sus servicios a la
PARQUES NACIONALES NATURALES DE COLOMBIA responsables de usar o administrar activos
de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
2.2. Objetivo
Definir las pautas generales para asegurar un adecuado uso y administración de los activos informáticos de la
PARQUES NACIONALES NATURALES DE COLOMBIA por parte del personal a cargo de su administración.
2.3. Marco normativo
Ley 1712 del 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y del
Derecho de acceso a la información pública nacional y se dictan otras disposiciones.
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes.Numeral 4
Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el
cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
2.4. Condiciones Obligatorias
La información es uno de los activos más valiosos de la PARQUES NACIONALES NATURALES DE COLOMBIA, es por esa razón que todos los funcionarios, servidores públicos y contratistas prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA se deben comprometer a realizar sus mejores esfuerzos para aplicar todos los controles de seguridad de la información definidos por el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA para garantizar la preservación de la Confidencialidad, Integridad y Disponibilidad de la información que está a su cargo y a la que tengan acceso por la naturaleza misma de sus actividades.
Las actividades de administración y operación de los activos de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben estar orientadas a garantizar la prestación de los servicios necesarios para el cumplimiento de la misionalidad de la Entidad, los usos diferentes deben ser formalmente autorizados.
La PARQUES NACIONALES NATURALES DE COLOMBIA mantiene y mejora continuamente un
inventario de los activos de información que son de vital importancia para el desarrollo de sus
funciones misionales.
Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben reportar sin demoras injustificadas a los responsables de sus áreas o los responsables de los procesos en los cuales cumple sus funciones cualquier evento que pueda afectar la integridad, disponibilidad o confidencialidad de cualquier activo de información de la Entidad.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar el procedimiento institucional de gestión de riesgos para identificar y tratar los riesgos que puedan afectar a sus activos de información. Cada responsable de proceso o área debe coordinar la aplicación del procedimiento institucional de gestión de riesgos sobre los activos a su cargo.
Las modificaciones a los activos de la Entidad, deben cumplir con la política de control de cambios
y los procedimientos para la gestión del cambio definidos por el sistema de gestión de
seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA Los cambios sobre la información de la Entidad deben estar autorizados por el responsable del
área o el proceso al que pertenece la información.
Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar los procedimientos de mejora continua a sus servicios de tecnología definidos en el sistema integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA, para garantizar la seguridad de la información.
Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar los controles de seguridad de la Información definidos el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA para reducir los riesgos que afectan a la seguridad de la información.
Todos los funcionarios de la PARQUES NACIONALES NATURALES DE COLOMBIA se comprometen a acatar las leyes, normas y procedimientos a los que está sometida la PARQUES NACIONALES NATURALES DE COLOMBIA para la protección de la información a su cargo.
2.5. Usos no autorizados
Está completamente prohibido realizar cambios a los activos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA sin contar con la autorización formal de los responsable de las áreas o del proceso en el que este el activo informático
Está completamente prohibido la divulgación de información de la Entidad a personal o terceros
que no estén autorizados para recibir la información.
Está completamente prohibido Impedir el acceso a la información a los debidamente autorizados
sin justificación real
Está completamente prohibido utilizar los activos de información de la Entidad para fines
diferentes al cumplimiento de las funciones asignadas y el cumplimiento de la misión institucional.
2.6. Responsabilidades
Todos los funcionarios, contratistas, o terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento y seguimiento de esta política y demás políticas de seguridad de la información que adopta la Entidad.
Los responsables de proceso y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA deben coordinar la implementación de todos los controles de seguridad de la información necesarios para el tratamiento de los riesgos de seguridad de la información que estén definidos en el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Los responsables de proceso y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA deben generar y mantener un registro detallado de todos los eventos que sucedan sobre los diferentes activos de información su cargo.
Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA deben coordinar sus esfuerzos para realizar el mejoramiento de los servicios informáticos de la Entidad, así como de controlar cualquier cambio que afecte los niveles acordados para la prestación de los servicios.
Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE
COLOMBIA deben coordinar la realización del inventario de activos de información.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Los administradores de los activos y servicios de información son responsables de implementar, preservar y garantizar la seguridad de la información referente a la configuración de los diversos componentes o servicios de información y tecnología de la Entidad que estén a su cargo.
Los administradores de equipos informáticos Entidad deben: Mantener y aplicar los procedimientos de operación de los equipos o servicios informáticos
definidos por el sistema de gestión de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Aplicar y mantener los acuerdos de confidencialidad sobre la información a su cargo
Mantenimiento y aplicación de las responsabilidades para la administración y operación de los
activos de información identificados a su cargo
Mantener actualizado el registro de riesgos que afecte a los activos bajo su responsabilidad.
Reportar lo cambios que sucedan sobre los activos a su cargo ante los responsables de áreas o
procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA
Aplicar los procedimientos que defina el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA para el acceso de terceros a los componentes a su cargo en situaciones como mantenimiento o garantía.
Mantenimiento de registros del desempeño de los equipos o servicios a su cargo.
Mantenimiento de registros que muestren las actividades realizadas por los administradores
o los operadores de los equipos o servicios a su cargo.
Mantenimiento de los registros de las fallas sobre los equipos o servicios a su cargo
Mantener registros de los usuarios a los cuales se les ha otorgado acceso a cada activo,
servicio o componente.
Realizar una revisión periódica de los privilegios de acceso otorgados a los usuarios de los servicios o componentes a su cargo.
Coordinar la aplicación de los procedimientos definidos el sistema de gestión de seguridad de la
Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para la asignación de cuentas de usuario y contraseñas de acceso a servicios y componentes
En coordinación con los responsables de los procesos y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA aplicar las medidas de mitigación que se definan en el sistema de gestión de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para contrarrestar las vulnerabilidades que se identifiquen sobre los componentes o servicios de tecnología.
Mantener y aplicar los procedimientos de respaldo de la información.
Mantener, Mejorar y probar periódicamente los procedimientos de contingencia, recuperación
ante desastres y continuidad en la prestación de servicios de tecnología.
Implementar, mantener y mejorar de los controles de protección física lógica o procedimental que defina el sistema de gestión de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para la protección de los activos de información, componentes o servicios a su cargo
2.7. Seguimiento y control (monitoreo)
La política de Gestión de Activos debe ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización.
Los responsables de procesos y áreas de la PARQUES NACIONALES NATURALES
DE COLOMBIA realizarán seguimiento y control al cumplimiento de las políticas de seguridad
de la información del sistema de gestión de seguridad de la información.
2.8. Procedimientos por dominio
Procedimiento Institucional de Gestión de Riesgos
Procedimiento de acción Correctiva y Preventiva
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
A.5.1.1 Roles y responsabilidades para la seguridad de la información
A.7.1.2. Términos y condiciones del empleo
A.8.1.1 Inventario de Activos
A.8.1.2 Propiedad de los activos
A.8.1.4 Devolución de los activos
A.8.2.1 Clasificación de la
información A.8.2.2 Etiquetado de
activos
A.8.2.3 Manejo de activos
2.9. Controles por dominio
A.8.1.3 Uso aceptable de los activos
2.10. Controles asociados
Política de uso de correo electrónico
Política de respaldo de información
Política de Acceso a componentes de
tecnología Política Administración de
estaciones de trabajo Política de Gestión de
Cambios
Política de uso de servicios de acceso a internet
Política de Antivirus
Política de seguridad de proveedores
Política de Gestión de incidentes de
seguridad Política de control de acceso a
la información Política de cuentas de
usuario
Política de transferencia de información
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Política de seguridad de la información para relaciones con
proveedores. Política Desvinculación Cambios Funciones, Ausencia
temporal o Vacaciones
2.11. Estándares aplicables
No aplica
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
3. Política de control de acceso físico
3.1. Alcance
Esta política aplica para todo el personal que requiera ingreso a las instalaciones de la PARQUES
NACIONALES NATURALES DE COLOMBIA, incluidos funcionarios, contratistas, terceros que prestan
sus servicios a la Entidad, proveedores, visitantes, o ciudadanos que demandan servicios de la Entidad.
3.2. Objetivo
Evitar el acceso físico no autorizado de personal, el daño o la interferencia de las instalaciones y la
información de la organización.
3.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4
Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”
Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control
interno en la entidades y organismos del estado y se dictan otras disposiciones
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
3.4. Condiciones obligatorias
El personal de la PARQUES NACIONALES NATURALES DE COLOMBIA, terceros autorizados o visitantes, deben portar siempre su identificación en un lugar visible al permanecer en las instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA y sus dependencias.
Los visitantes autorizados para ingresar a las instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA, deben portar en forma permanente y en lugar visible su identificación como visitantes, firmar registro de ingreso cuando entren a las instalaciones de procesamiento de datos o áreas de acceso restringido por los responsables de los procesos o áreas de la Entidad.
El acceso de visitantes a los centros de cómputo, o áreas de trabajo que contengan información clasificada como Reservada deben estar físicamente restringido y el ingreso de visitantes se debe realizar con el acompañamiento de un funcionario de la PARQUES NACIONALES NATURALES DE COLOMBIA debidamente autorizado.
Se debe mantener registros del ingreso a las áreas identificadas como de acceso restringido, indicando nombre de la persona que ingresa, documento de identificación, fecha, hora de entrada y salida, y motivo de la visita.
Las áreas donde se encuentren equipos de comunicaciones (switches, PBX, routers, firewalls y
consolas de administración) deben estar clasificadas como de acceso restringido.
Todas las áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA adoptaran las medidas de seguridad definidas en el sistema de gestión de seguridad de la información que permitan proteger las áreas con acceso restringido como centro de cómputo o cuartos de equipos con controles de seguridad apropiados que incluyan cuando aplique: detección de incendios, control de humedad, protección contra ingreso, alarmas, sistemas de extinción de incendios y
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
grabación en vídeo de acuerdo con los riesgos de seguridad de la información identificados para cada área.
3.5. Usos no autorizados
No se debe permitir el uso de equipos como videograbadoras, cámaras fotográficas, grabadoras de vídeo o audio, sniffers, analizadores de datos en áreas restringidas de la Entidad sin contar primero con la autorización formal del responsable del área o del proceso.
No se debe permitir e ingreso a áreas restringidas de procesamiento de datos de la PARQUES
NACIONALES NATURALES DE COLOMBIA sin autorización del responsable del área y sin
acompañamiento de funcionario de la PARQUES NACIONALES NATURALES DE COLOMBIA.
3.6. Responsabilidades
Los responsables de las áreas o procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA deben definir los niveles de seguridad asociados a cada área, así como los controles adecuados para cada nivel de acuerdo con lo establecido en el Sistema de Gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Los equipos autorizados para ingresar en forma temporal a áreas restringidas deben ser inscritos
en un registro para su control de entrada, salida, motivo
Todo traslado de equipos de cómputo, comunicaciones, dispositivos móviles de la PARQUES NACIONALES NATURALES DE COLOMBIA debe ser autorizado por el responsable del área o del proceso al que pertenece el equipo, esta autorización debe contener mínimo nombre e identificación de la persona responsable del activo, la identificación del equipo que se traslada, origen y destino además de la fecha del traslado.
Cada responsable de área o proceso de la PARQUES NACIONALES NATURALES DE COLOMBIA deben mantener la lista de personal autorizado para ingresar a sus centro de cómputo y áreas restringidas de procesamiento de datos de la Entidad.
Los permisos de ingreso a las áreas restringidas deben verificarse periódicamente y actualizarse
cuando terminen su relación laboral con la Entidad funcionarios que tenían autorización de ingreso.
Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben reportar la presencia de personal sin identificación o sospechosas dentro de las instalaciones de la Entidad ante los responsables de las áreas o los responsables de la seguridad física de la edificación.
3.7. Seguimiento y control (monitoreo)
Está política debe ser revisada al menos cada seis meses, realizar pruebas de control al menos una
vez al año, o cuando se produzcan cambios que así lo ameriten.
3.8. Procedimientos por dominio
A.9.4.2 Procedimiento de ingreso seguro A.11.1.5 Trabajo en áreas seguras A.11.1.6 Áreas de despacho y
carga
3.9. Controles por dominio
A.11.1.2 Controles de acceso físico
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
A.11.1.3 Seguridad de oficinas recintos e instalaciones A.11.1.4 Protección contra amenazas externas
A.11.2.3 Seguridad del cableado
A.11.2.4 Mantenimiento de equipos
A.11.2.7 Disposición segura o reutilización de equipos
3.10. .Controles asociados
Política Acceso a componentes de
tecnología Política Administración de
estaciones de trabajo Política de seguridad
de proveedores
Política de Escritorio y Pantalla limpia
Política de controles criptográficos
Política Desvinculación Cambios de Funciones, Ausencia temporal o Vacaciones.
3.11. Estándares aplicables
Lista de chequeo para el acceso a áreas restringidas
Lista de personal autorizado para el ingreso a áreas restringidas
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
4. Política de seguridad de la información para relaciones con proveedores
4.1. Alcance
La presente política de seguridad es aplicable a los proveedores y terceros, que tengan alguna relación
con la PARQUES NACIONALES NATURALES DE COLOMBIA, bien sea de tipo legal, contractual o
de cualquier otra índole no laboral y que en razón de ésta, tengan acceso a información, sistemas de
información, centros de cómputo, redes de telecomunicaciones o tecnologías de información y
comunicaciones de propiedad de la PARQUES NACIONALES NATURALES DE COLOMBIA.
4.2. Objetivo
Mantener la seguridad de la información y los servicios de procesamiento de información a los cuales
tienen acceso los proveedores o terceros que prestan sus servicios para la PARQUES NACIONALES
NATURALES DE COLOMBIA
4.3. Marco normativo
Decreto 1510 de 17 de julio de 2013, Por el cual se reglamenta el sistema de compras y
contratación pública.
4.4. Condiciones obligatorias
Los proveedores o terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA que contemplen la gestión, transformación o transmisión de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben conocer, aceptar y cumplir las políticas de seguridad de la información definidas por el sistema de gestión de seguridad de la Información. En caso de conflicto entre las políticas de seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA y las políticas de seguridad de los proveedores o terceros se acordaran políticas comunes de seguridad de la información y formalizaran mediante un documento formal suscrito por un representante de ambas partes, que permitan cumplir los requisitos necesarios para garantizar la protección de la confidencialidad, integridad y disponibilidad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Para el acceso a cualquier tipo de información o sistema de información, los proveedores y
terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deberán suscribir acuerdos de confidencialidad con el fin reducir los riesgos de divulgación de información con carácter reservado.
En los contratos suscritos con proveedores o terceros que presten sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA se deben establecer y acordar los requisitos de seguridad que debe cumplir el proveedor o tercero para poder tener acceso, procesar, almacenar, comunicar información de la PARQUES NACIONALES NATURALES DE COLOMBIA o para el suministro de componentes de infraestructura de tecnología a la PARQUES NACIONALES NATURALES DE COLOMBIA. En los acuerdos se deben incluir las medidas necesarias para el tratamiento de los riesgos de seguridad de la información derivados de las actividades realizadas por el proveedor o tercero. Los acuerdos deben ser formalizados antes del inicio de las actividades con el proveedor o tercero.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Proveedores y terceros solo deben tener acceso a la información, sistemas de información o
instalaciones que son indispensables para el cumplimiento de sus objetos contractuales.
Todo equipo de procesamiento de información usado por el proveedor o tercero que presta sus
servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA debe cumplir con las políticas de seguridad de la información del sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA
Al finalizar sus contratos los proveedores o terceros que presten sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA deben efectuar la devolución de información o activos de información propiedad de la PARQUES NACIONALES NATURALES DE COLOMBIA que estuvieron bajo su responsabilidad y procurar la destrucción o borrado seguro de información reservada conocida en razón de su actividad.
Los proveedores y terceros que presten sus servicios a la PARQUES NACIONALES
NATURALES DE COLOMBIA deben cumplir con la reglamentación en materia de derechos de autor y propiedad intelectual, incluido pero no limitado al uso de información y software.
4.5. Usos no autorizados
Los proveedores y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA no están autorizados para utilizar los recursos de información y tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA para propósitos diferentes a los necesarios para el cumplimiento del objeto contractual suscrito.
No está autorizada la utilización de equipos informáticos dentro de las redes de comunicaciones
de la PARQUES NACIONALES NATURALES DE COLOMBIA que no cumplan con los controles de seguridad especificados por el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
No está autorizada la ejecución de cambios sobre la infraestructura de información y
comunicaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA sin contar con la autorización formal y expresa del responsable del área o proceso que utilizan el recurso informático
No está autorizada la modificación o desactivación de los controles de seguridad instalados
en los componentes de información y tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA sin contar con autorización del responsable del área o proceso que utilizan el recurso informático
4.6. Responsabilidades
Los responsables de áreas y procesos deben evaluar periódicamente los riesgos que se identifiquen sobre la contratación de servicios de procesamientos de información con proveedores o terceros. Los resultados de la evaluación de riesgos deben generar propuestas de mecanismos de control que mitiguen los impactos de los riesgos identificados.
El personal de la PARQUES NACIONALES NATURALES DE COLOMBIA debe reportar mediante a los responsables de áreas o procesos fallas en la prestación de servicios contratados con proveedores o terceros.
Los proveedores o terceros responsables de la prestación de servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA deben cumplir con las políticas de seguridad de la
información definidas por la PARQUES NACIONALES NATURALES DE COLOMBIA.
Los terceros que reciban información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben garantizar que aplicarán todas medidas de seguridad razonables a su alcance, para evitar divulgación, fuga o uso no autorizado de información y deben aceptar que protegerán la
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
información suministrada aplicando los controles que se especifiquen al momento de la entrega de la información.
4.7. Seguimiento y control (monitoreo)
La política de Seguridad de la información para relaciones con proveedores debe ser revisada cada
seis meses o cuando se presenten eventos que obliguen a su actualización.
4.8. Procedimientos por dominio
A.12.1.2 Gestión de Cambios
A.15.2.2 Gestión de cambios en los servicios de los proveedores
A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores
A.18.1.2 Derechos de propiedad Intelectual
4.9. Controles por dominio
A. 7.1.2 Términos y Condiciones del empleo
A. 8.1.4 Devolución de activos
A.15.2.1 Cadena de suministro de tecnología de información y comunicación
A.15.2.1 Seguimiento y revisión de los servicio de los proveedores
4.10. Controles asociados
Controles a proveedores
4.11. Estándares aplicables
Procedimientos de contratación a proveedores o terceros
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
5. Política Trae tu propio dispositivo (BYOD, Bring Your Own Device)
5.1. Alcance
Esta política se aplica a todos los dispositivos electrónicos personales tales como teléfonos
inteligentes y tabletas, los computadores portátiles que pertenecen y/o utilizan los empleados y/o
terceros y son utilizados para acceder y almacenar información de la PARQUES NACIONALES
NATURALES DE COLOMBIA, así como la personal.
5.2. Objetivo
Definir las medidas necesarias para evitar que la información reservada de la PARQUES
NACIONALES NATURALES DE COLOMBIA se vea comprometida en su integridad y confidencialidad
al ser almacenada en dispositivos ajenos a la entidad.
5.3. Definiciones
BYOD: Por sus siglas en Ingles Bring Your Own Device, identifica a los dispositivos propiedad de un
tercero diferente a la PARQUES NACIONALES NATURALES DE COLOMBIA.
5.4. Marco normativo
Ley Estatuaria 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales.
Ley 1221 de 2008 “por la cual se establecen normas para promover y regular el teletrabajo
y se dictan otras disposiciones”
Decreto 0884 de 2012, por del cual se reglamenta la ley 1221 de 2008 y se dictan otra disposiciones
Guía Jurídica de Implementación del Teletrabajo de mayo de 2013, Ministerio del trabajo y la
seguridad social
ABCÉ del Decreto Reglamentario Teletrabajo, Ministerio del trabajo y la seguridad social
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el
cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y
mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las
entidades. Así mismo, se requiere una
estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
5.5. Condiciones obligatorias
Los responsables de los procesos y áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA determinarán en conjunto que procesos y bajo qué circunstancias se autorizará el uso de dispositivos que no pertenecen la entidad (BYOD) para almacenar o procesar información institucional reservada, así como la aplicación de las políticas de seguridad requeridas para la información que se almacene y gestione en el dispositivo personal del empleado.
El funcionario, contratista o tercero al que se autorice un BYOD debe garantizar bajo acuerdo de confidencialidad que la información de la PARQUES NACIONALES NATURALES DE COLOMBIA reservada correspondiente a sus labores asignadas será almacenada de forma aislada a la información personal que guarde en su dispositivo o en los repositorios que la unidad de informática le asigne.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Cuando se almacene información de la PARQUES NACIONALES NATURALES DE COLOMBIA en un BYOD, se debe configurar el dispositivo para que utilice un perfil de usuario específico para el almacenamiento de la Información correspondiente al ejercicio de sus funciones.
Los BYOD deben obligatoriamente cifrar la información de la PARQUES NACIONALES NATURALES DE COLOMBIA de acuerdo con la política de controles criptográficos y controles del sistema de gestión de seguridad de la información
El usuario al que se le autorice el uso de BYOD debe cumplir con la reglamentación vigente en
materia de uso de software legal. El usuario es enteramente responsable de contar con todo el
software de su dispositivo debidamente licenciado.
Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA puede realizar periódicamente revisiones a los equipos BYOD para certificar que están cumpliendo con las políticas de seguridad de la Información de la Entidad, la revisiones preservaran el derecho fundamental a la Intimidad del usuario del BYOD y las normas sobre Protección de Datos de carácter personal.
Todo dispositivo BYOD debe cumplir con todos los controles de seguridad del sistema de gestión de seguridad de la información que le apliquen de acuerdo con su tipo cuando se utilice para con ectarse a las redes de comunicaciones de la Entidad.
El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA desde los BYOD debe estar sujeto a controles que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en que se realizan las acciones y ubicación desde la cual se realiza el acceso a la misma.
La PARQUES NACIONALES NATURALES DE COLOMBIA por medio del responsable del área o proceso al que pertenece el funcionario a que se le autorice un BYOD debe contar con la autorización del dueño del dispositivo para instalar software de cifrado de datos y borrado seguro de datos para prevenir la divulgación de información reservada de la Entidad en caso de robo o extravío del dispositivo.
Los dueños de los procesos deben evaluar los riesgos asociados a la divulgación de información
con reserva antes de autorizar el uso de los BYOD.
Todo dispositivo BYOD debe tener software actualizado y en correcto funcionamiento que evite su contaminación con códigos maliciosos. El dueño del dispositivo es responsable de suministrar dicho software
Todo dispositivo BYOD debe tener software actualizado y en correcto funcionamiento que
permita monitorizar y controlar la instalación de programas en el dispositivo
5.6. Usos no autorizados
Los funcionarios o contratistas no deben conectar dispositivos BYOD que no sean formalmente
autorizados por los responsables de áreas o procesos de la PARQUES NACIONALES NATURALES
DE COLOMBIA.
Los funcionarios o contratistas no deben instalar programas no autorizados o que contengan
software malicioso (Spyware, Malware) en los dispositivos de su propiedad y los van a utilizar para
conectarse a las redes de comunicación de la PARQUES NACIONALES NATURALES DE COLOMBIA.
5.7. Responsabilidades
Los responsables de áreas y procesos definirán los parámetros técnicos que deben cumplir los dispositivos que serán autorizados como BYOD aplicando los controles definidos en el Sistema de Gestión de Seguridad de la Información.
Los responsables de áreas y procesos deben administrar los controles seguridad de los
diferentes dispositivos BYOD preservando la seguridad de la información de la entidad y
respetando el derecho fundamental a la Intimidad del propietario del dispositivo.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
El propietario del dispositivo debe aplicar todas las medidas de seguridad razonables que
estén a su alcance para preservar la integridad de la información que se encuentre en su dispositivo
personal
El propietario del dispositivo debe informar sin demoras injustificadas al responsable del área o proceso, y a la autoridad competente el robo o pérdida de su dispositivo.
5.8. Seguimiento y control (monitoreo)
Esta política debe ser revisada y actualizada al menos cada seis meses o cuando se presenten
eventos que ameriten su actualización
5.9. Procedimientos por dominio
A.9.2.1 Registro y cancelación del registro de usuarios
A.9.2.2 Suministro de acceso a usuario
A.13.2.1 Políticas y procedimientos de transferencia de información
A.16.1.2 Reporte de eventos de seguridad de la información
5.10. Controles por dominio
A.6.2.1 Política para dispositivos móviles
A.7.2.2 Toma de conciencia, educación y formación en la Seguridad de la información
A.8.1.3 Uso aceptable de los activos
A.9.1.2 Acceso a redes y servicios en red
A.9.3.1 Uso de información de autenticación secreta
A.10.1 Controles Criptográficos
A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones
A.12.2.1 Controles contra códigos maliciosos
A.13.1.2 Seguridad de los servicios de red
A.13.2.4 Acuerdos de confidencialidad o de no divulgación
5.11. Controles asociados
Controles para BYOD
5.12. Estándares aplicables
Lista de dispositivos BYOD autorizados para su conexión a las redes de comunicaciones de la
PARQUES NACIONALES NATURALES DE COLOMBIA.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
6. Política de dispositivos móviles, teletrabajo y cumplimiento de funciones por fuera de las redes y sistemas de la Parques Nacionales Naturales De Colombia
6.1. Alcance
Esta política aplica para cualquier conexión remota a través de un equipo o dispositivo móvil
que legítimamente y por necesidades de los servicios, sea requerida y aceptada para el desarrollo de
funciones laborales conocidas en la modalidad de teletrabajo por los responsables de cada proceso
en la PARQUES NACIONALES NATURALES DE COLOMBIA y por actores externos con conexión a
los sistemas de Información tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA
Objetivo
Garantizar la seguridad que requiere el tratamiento de la información susceptible de ser transmitida
mediante el uso de las Tecnologías de la información y las comunicaciones (TIC), cuando se utilizan
equipos o dispositivos de comunicación móvil para realizar funciones o actividades de teletrabajo y
cumplimiento de funciones extra despacho en la PARQUES NACIONALES NATURALES DE
COLOMBIA.
6.2. Marco normativo
Ley 1221 de 2008 “POR LA CUAL SE ESTABLECEN NORMAS PARA PROMOVER
Y REGULAR EL TELETRABAJO Y SE DICTAN OTRAS DISPOSICIONES”
Decreto 0884 de 2012, por del cual se reglamenta la ley 1221 de 2008 y se dictan otra disposiciones
Guía Jurídica de Implementación del Teletrabajo de mayo de 2013, Ministerio del trabajo y la
seguridad social
ABCÉ del Decreto Reglamentario Teletrabajo, Ministerio del trabajo y la seguridad social
6.3. Condiciones obligatorias
Todo acceso a servicios de teletrabajo debe ser autorizado por el responsable del proceso al que pertenece el funcionario que lo solicita considerando las evaluaciones de riesgos de seguridad de la información y riesgos administrativos.
Antes de su aprobación todo acceso a servicios de teletrabajo debe ser sometido a una
evaluación de riesgos de seguridad de la información
Los accesos a servicios de teletrabajo deben ser sometidos a evaluaciones de riesgos tecnológicos, administrativos y operativos antes de su aprobación
Antes de su aprobación todo acceso a servicios de teletrabajo debe ser sometido a una evaluación de riesgos administrativos que incluya la identificación de: Lugar donde se realizarán las actividades de teletrabajo (domicilio del funcionario, oficinas especializadas en servicios de teletrabajo, establecimientos públicos, etc), Horario en el cual se solicita realizar las actividades de teletrabajo, requisitos técnicos para la realización de las actividades de teletrabajo (acceso a sistemas de información, uso de dispositivos especiales como micrófonos, cámaras, equipos de digitalización etc.), condiciones reglamentarias consignadas en la ley 1221 de 2008 y su decreto reglamentario 884 de 2012
Los responsables de áreas y procesos que autoricen servicios de teletrabajo deben realizar las evaluaciones de riesgos tecnológicos sobre los accesos solicitados y formular las recomendaciones de controles de seguridad necesarios para la implementación del acceso. En caso de identificar riesgos que no son aceptables notificará al peticionario del servicio la imposibilidad de activar los servicios de teletrabajo en las condiciones presentadas en la solicitud. Las demás áreas de la PARQUES NACIONALES NATURALES DE COLOMBIA en su ámbito de competencia realizaran sus respectivos análisis de riesgos y remitirán su concepto al responsable del área o proceso sobre la solicitud de acceso a teletrabajo
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
El acceso a teletrabajo no debe implicar que la información de la PARQUES NACIONALES NATURALES DE COLOMBIA no estará disponible en el momento en que se requiera por parte de los debidamente autorizados.
Para el acceso al teletrabajo se deben tener en cuenta las necesidades técnicas y tecnológicas que garanticen que el funcionario cuente con las herramientas necesarias para poder realizar su trabajo, así como las configuraciones de acceso seguro, los medios y horarios que solicite el responsable del proceso manteniendo en todo momento los principios de eficiencia, eficacia y uso racional de los recursos del estado.
Los servicios de teletrabajo deben ser implementados con controles del sistema de gestión de
seguridad de la información que garanticen en todo momento la seguridad de la información
de la PARQUES
NACIONALES NATURALES DE COLOMBIA, las condiciones mínimas que se deben implementar incluyen:
comprobar y certificar la identidad de los usuarios que utilizan la conexión para teletrabajo,
autorizar el acceso únicamente a la información, servicios y sistemas de información necesarios
para la realización de las actividades a cargo del funcionario que solicita el acceso al teletrabajo,
separar los accesos de comunicación entre los diferentes usuarios de teletrabajo para impedir acceso no autorizado a información o servicios, garantizar la integridad de la información y acceso a los sistemas de información cuando se usan los servicios de teletrabajo
Cualquier dispositivo que se emplee para las actividades de teletrabajo deberá cumplir con los requisitos y controles de seguridad que defina el sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA
Las conexiones a servicios de teletrabajo deben permanecer cifradas con los controles de seguridad del sistema de gestión de seguridad y utilizando conexiones seguras o redes privadas entre el lugar dónde se realiza el teletrabajo y las sedes de la PARQUES NACIONALES NATURALES DE COLOMBIA.
El acceso a los servicios de teletrabajo se debe usar para el cumplimiento de las funciones asignadas y el cumplimiento de las funciones de la PARQUES NACIONALES NATURALES DE COLOMBIA, cualquier uso diferente está expresamente prohibido.
Antes de iniciar la utilización de los servicios de teletrabajo el funcionario autorizado debe
aceptar formalmente que acatará, aplicará y cumplirá las políticas de seguridad de la información
de la PARQUES NACIONALES NATURALES DE COLOMBIA.
6.4. Usos no autorizados
La utilización de los servicios de teletrabajo para fines diferentes a las funciones asignadas está prohibida.
No está autorizada la modificación de los controles de seguridad de la información implementados
en los equipos autorizados para las actividades de teletrabajo
No está autorizado compartir el acceso a información, servicios o sistemas de información mediante los servicios de teletrabajo a personal que no haya recibido una autorización formal de la PARQUES NACIONALES NATURALES DE COLOMBIA
6.5. Responsabilidades
Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE
COLOMBIA son responsables de cumplir la política de Teletrabajo.
Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE
COLOMBIA son responsables de reportar a la mayor brevedad posible la pérdida o hurto de los
equipos y dispositivos móviles usados para Teletrabajo y que se encuentren bajo su
responsabilidad
Los responsables de áreas y procesos deben coordinar y gestionar la instalación de controles de seguridad en los equipos y dispositivos móviles utilizados para Teletrabajo, según lo establezca el sistema de gestión de seguridad de la información.
Los responsables de áreas y procesos deben mantener, coordinar y gestionar el acceso
seguro a la información requerida para Teletrabajo.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Todo responsable del proceso que tenga funcionarios usando los servicios de teletrabajo debe realizar seguimientos periódicos sobre el cumplimiento de la política de teletrabajo para certificar su cumplimiento.
6.6. Seguimiento y control (monitoreo)
La política de Teletrabajo debe ser revisada cada seis meses o cuando se presenten eventos que
obliguen a su actualización.
Los responsables de áreas y procesos realizarán seguimiento y control al cumplimiento de esta política.
6.7. Procedimientos por dominio
A.9.2.1 Registro y cancelación del registro de usuarios
A.9.2.2 Suministro de acceso a usuarios
A.13.2.1 Políticas y procedimientos de transferencia de información
A.16.1.2 Reporte de eventos de seguridad de la información
6.8. Controles por dominio
A.6.2.1 Política para dispositivos móviles
A.6.2.2 Teletrabajo
A.7.2.2 Toma de conciencia, educación y formación en la Seguridad de la información
A.8.1.3 Uso aceptable de los activos
A.9.1.2 Acceso a redes y servicios en red
A.9.3.1 Uso de información de autenticación secreta
A.10.1 Controles Criptográficos
A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones
A.12.2.1 Controles contra códigos maliciosos
A.13.1.2 Seguridad de los servicios de red
A.13.2.4 Acuerdos de confidencialidad o de no divulgación
A.18.2.2 Cumplimiento con las políticas y normas de seguridad
6.9. Controles asociados
Controles de seguridad teletrabajo
6.10. Estándares aplicables
Controles especiales para estaciones de Teletrabajo
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
7. Política de seguridad para proveedores
7.1. Alcance
La política aplica a contratistas y terceros que gestionen equipos de tecnología o servicios de
procesamiento de información la PARQUES NACIONALES NATURALES DE COLOMBIA
7.2. Objetivo
Mantener la seguridad de la información y los servicios de procesamiento de información a los
cuales tienen acceso las partes externas o que son procesados, comunicados o dirigidos por estas.
7.3. Marco normativo
Decreto 1510 de 17 de julio de 2013, Por el cual se reglamenta el sistema de compras y contratación pública.
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el
cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y
mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las
entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan
establecer avances y correctivos que permitan la
adopción de buenas prácticas y tendencias tanto locales como globales”.
7.4. Condiciones obligatorias
Para la selección de proveedores y terceros se aplicaran criterios que contemplen el historial de contratación, experiencia , capacidad del proveedor para el suministro de equipos o prestación de servicios, certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compañía, procesos de selección de personal, seguimiento de estándares de gestión de calidad y seguridad, criterios que resulten de un análisis de riesgos de la selección y los criterios que tenga establecidos la entidad para los procesos de contratación.
Se deben identificar, valorar y gestionar los riesgos de seguridad asociados a la
subcontratación de servicios con terceros. Así como consideraciones de seguridad de la
información del ciudadano.
En los contratos realizados con los proveedores que tendrán acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe incluir la obligatoriedad de cumplir las políticas de seguridad de la información, acuerdos de niveles de servicio, responsabilidades legales y derechos de propiedad intelectual sobre la información, leyes y regulaciones sobre la protección de la información de la entidad.
Para permitir acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA, es indispensable que el proveedor firme acuerdo de confidencialidad y compromiso de aceptar y cumplir las políticas de seguridad de la información de la Entidad.
7.5. Responsabilidades
Los proveedores de servicios y equipos de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de las políticas de seguridad de la información y los controles del sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA
Los supervisores de contrato de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables de hacer seguimiento, revisar y auditar con regularidad la prestación de los servicios realizados por los proveedores
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Los dueños de los procesos son responsables de determinar el acceso a la información de la
PARQUES NACIONALES NATURALES DE COLOMBIA que requieran los proveedores de
servicios.
Los proveedores deben cumplir los procedimientos de gestión de cambios definidos por la Entidad en su sistema de gestión de seguridad de la información.
7.6. Seguimiento y control (monitoreo)
La política de seguridad de proveedores debe ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización.
7.7. Procedimientos por dominio
No aplica
7.8. Controles por dominio
A 15.1.1 Política de seguridad de la información para relaciones con proveedores
A 15.1.2 Tratamiento de la seguridad de la información dentro de los acuerdos con proveedores
A 15.1.3 Cadena de suministro de tecnología de información y comunicaciones
A 15.2.1 Seguimiento y revisión de los servicios de los proveedores
A 15.2.2 Gestión de cambios en los servicios de los proveedores.
7.9. Controles asociados
No aplica
7.10. Estándares aplicables
No aplica
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
8. Política de claves
8.1. Alcance
Esta política se aplica a funcionarios, contratistas que prestan sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA y a los funcionarios contratistas y terceros que tengan
acceso a los recursos de información de la Entidad.
8.2. Objetivo
Implementar seguridad en los accesos de usuarios por medio de técnicas de autenticación y
autorización, usando claves fuertes.
8.3. Marco normativo
Ley 1273 de 2009 , “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.
Ley 734 de 2002, Por la cual se expide el Código Disciplinario
Único.
Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control
interno en la entidades y organismos del estado y se dictan otras disposiciones
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
8.4. Definiciones
Clave o Contraseña: es una forma de verificar la identidad de un usuario. Por lo general está
compuesta por una secuencia de caracteres (números, letras, signos de puntuación o caracteres
especiales) que el usuario debe suministrar después de escribir su nombre para poder tener acceso a
un servicio, sistema de información o equipo informático. Existen otras formas de verificar identidad de
los usuarios como: huellas digitales, patrones de voz o dispositivos electrónicos que pueden almacenar
la contraseña.
8.5. Condiciones obligatorias
La asignación de contraseñas se realiza de forma controlada mediante un procedimiento definido por el sistema de gestión de seguridad de la información. Los responsables de áreas y procesos son los únicos autorizados para la asignación de contraseñas para acceso a servicios, sistemas de información o equipos informáticos.
Los responsables de procesos, servicios o sistemas de información son los únicos autorizados para tramitar ante los administradores de sistemas de información o equipos de tecnología la asignación de cuenta de usuario y contraseña para los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Cualquier servicio, sistema de información o equipo informático que tenga contraseñas por defecto configuradas por el proveedor o fabricante deben ser cambiadas por nuevas contraseñas cuando se realice el proceso de configuración del servicio, sistema o equipo. Al momento de poner en producción el servicio, sistema o equipo se debe volver a cambiar la contraseña por una nueva.
La contraseña asignada a un usuario es personal e intransferible. Los usuarios no deben divulgar, prestar, exhibir, comunicar en forma escrita o verbal su contraseña. Cuando por labores de soporte o mantenimiento se requiere la contraseña de usuario, el usuario es quién debe digitarla y al final de las actividades de soporte se debe cambiar por una contraseña nueva.
Los usuarios deben cambiar mínimo cada Treinta (30) días sus contraseñas de acceso a servicios,
sistemas de información o equipos informáticos
Los administradores de servicios, sistemas de información, equipos informáticos deben
cambiar sus contraseñas una (1) vez al mes.
Los administradores de servicios, sistemas de información, equipos informáticos deben utilizar
contraseñas diferentes para sus cuentas de usuario y para sus cuentas como administradores.
Los usuarios son responsables de todas las acciones que se realicen con sus contraseñas. En caso de que la contraseña haya sido conocida por terceros, el usuario debe informar inmediatamente al responsable del proceso o del área para bloquear cualquier acceso a servicio, sistema de información o equipo informático que utilizará la contraseña comprometida.
Las contraseñas almacenadas en los servicios, sistemas de información y equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA, deben estar almacenadas en formato cifrado cumpliendo con la política de controles criptográficos de la PARQUES NACIONALES NATURALES DE COLOMBIA.
8.6. Usos no autorizados
Esta expresamente prohibido divulgar por cualquier medio las contraseñas
De acuerdo con la Ley 1273 de 2009, ley de delitos informáticos: “Artículo 269 A. Acceso
abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda
en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se
mantenga dentro del mismo
en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.”
El uso de software para visualizar, descifrar o interceptar contraseñas de servicios,
sistemas de información o equipos informáticos de la PARQUES NACIONALES
NATURALES DE COLOMBIA está prohibido.
8.7. Responsabilidades
Cada usuario debe tener en cuenta las buenas prácticas de seguridad de selección y uso de sus
contraseñas que defina el sistema de gestión de seguridad de la información de la PARQUES
NACIONALES NATURALES DE COLOMBIA.
8.7.1. Responsabilidades de los usuarios
Cambiar SIEMPRE en forma inmediata la contraseña que le asignen en el primer acceso a los
servicios, sistemas de información o equipos informáticos.
Mantener la contraseña en estricto secreto, nunca por ninguna circunstancia se debe divulgar a nadie.
Cambiar periódicamente la contraseña de usuario, al menos cada treinta (30) dias y si se tiene
rol de administrador al menos una (1) vez al mes.
Cambiar mínimo una (1) vez cada mes las contraseñas de administración de servicios,
sistemas de información o equipos informáticos
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
No usar las contraseñas asignadas por la PARQUES NACIONALES NATURALES DE COLOMBIA en servicios que no son de la PARQUES NACIONALES NATURALES DE COLOMBIA, ejemplo servicios gratuitos de correo electrónico, mensajería instantánea o redes sociales y viceversa no usar las contraseñas de servicios gratuitos en los servicios, sistemas de información y equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA
8.7.2. Responsabilidades Unidad Informática
Además de las obligaciones descritas en la política de gestión de claves, los administradores de servicios, sistemas de información y equipos informáticos deben:
Aplicar el procedimiento de creación de cuentas y contraseñas definido por el sistema de
gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE
COLOMBIA
Realizar verificación periódica de contraseñas débiles. e informar al responsable del servicio,
sistema de información o equipo para que aplique medidas correctivas
Cuando se detecte que una contraseña ha sido comprometida, debe seguir el procedimiento de
gestión de incidentes de seguridad, mitigar el impacto del incidente cambiando las contraseñas
de los sistemasidentificados como comprometidos y evaluar la extensión del incidente para
determinar el cambio de contraseñas en otros sistemas no comprometidos
8.8. Seguimiento y control (monitoreo)
La política de claves debe ser revisada cada seis meses o cuando se presenten eventos que
obliguen a su actualización.
8.9. Procedimientos por dominio
A 9.2.2 Suministro de acceso a usuarios
8.10. Controles por dominio
A 8.1.3 Uso aceptable de activos
A 9.1.1 Política de control de acceso.
A 9.2.4 Gestión de información de autenticación secreta de usuarios
A 9.3.1 Uso de información de autenticación secreta
A 9.4.3 Sistema de gestión de contraseñas
A 10.1.1Política sobre uso de controles criptográficos
A 10.1.2 Gestión de llaves
8.11. Controles asociados
Mecanismos de evaluación de fortaleza de contraseñas
8.12. Estándares aplicables
Estándar para creación, protección y administración de contraseñas
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
9. Política para la eliminación y destrucción de medios
9.1. Alcance
Esta política aplica a todos los dispositivos de almacenamiento externo e interno, fijos o removibles
como discos duros discos compactos, DVD, Blue Ray, Memorias flash, cintas y medios impresos
utilizados para el almacenamiento de la información de la PARQUES NACIONALES NATURALES DE
COLOMBIA.
9.2. Objetivo
Asegurar la disposición final segura de todos los elementos o dispositivos que contengan información de la
PARQUES NACIONALES NATURALES DE COLOMBIA, cuando se den de baja o sean reutilizados.
9.3. Marco normativo
Ley 1712 de 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y acceso a la información pública nacional y se dictan otras disposiciones
Decreto 1377 de 27 de junio de 2013, por el cual se reglamenta parcialmente la Ley 1581
de 2012.
Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos
personales
Ley 1273 de 2009 , “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan
integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre
otras disposiciones”.
Ley Estatutaria 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones
Ley 594 de 14 de julio de 2000 por medio de la cual se dicta la Ley General de Archivos y se
dictan otras disposiciones.
Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control interno en la entidades y organismos del estado y se dictan otras disposiciones
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el
cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que
permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
9.4. Condiciones obligatorias
Se debe verificar la eliminación, destrucción o borrado en de forma segura de cualquier software licenciado y datos sensibles de medios de almacenamiento y equipos informáticos que se den de baja, se donen, o trasladen de área.
Se debe realizar una evaluación de riesgos para los dispositivos de almacenamiento deteriorados
con el fin de determinar si se deben destruir físicamente, reciclados o donarlos.
Los responsables de áreas y procesos deben definir y utilizar procedimientos formales para la
eliminación segura de los dispositivos de almacenamiento para minimizar el riesgo de fuga de
información sensible a personas no autorizadas.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Los procedimientos de eliminación segura deben incluir el uso de herramientas tecnológicas que garanticen que la información no sea recuperable o que esfuerzo técnico para realizar su recuperación desaliente al posible interesado en recuperar la información.
Los responsables de áreas y procesos deben llevar un registro de la eliminación de los medios de almacenamiento con información clasificada como reservada con el objetivo de tener pruebas de auditoría de los procedimientos de eliminación segura.
9.5. Usos no autorizados
No se deben eliminar, retirar, cambiar o donar ningún medio de almacenamiento sin la
p revia autorización del responsable del proceso o del área.
No se deben usar las herramientas de borrado de los sistemas operacionales para realizar la eliminación de la información de medios de almacenamiento, se deben usar herramientas de borrador seguro. En el sistema de gestión de seguridad de la información se deben incluir listas de las herramientas que se deben usar para realizar el borrado seguro.
9.6. Responsabilidades
El sistema de gestión de seguridad de la información de la PARQUES NACIONALES
NATURALES DE COLOMBIA debe contener una lista de herramientas para borrado seguro de
datos.
La eliminación o donación de medios de almacenamiento debe contar con la evaluación del responsable del área o del proceso.
9.7. Seguimiento y control (monitoreo)
Esta política debe ser revisada y actualizada al menos cada seis meses o cuando se presenten
eventos que así lo demanden.
9.8. Procedimientos por dominio
A.8.3.2 Gestión de medios removibles
9.9. Controles por dominio
A.8.3.2 Disposición de los medios
A.8.3.3 Transferencia de medios físicos
9.10. Controles asociados
Políticas de tratamientos de datos personales
Controles de eliminación y destrucción de medios
9.11. Estándares aplicables
Métodos de borrado seguro
Listado de verificación de borrado seguro
Registro de eliminación de medios
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
10. Política de escritorio limpio y pantalla limpia
10.1. Alcance
Esta política se aplica al cualquier tipo de información que repose en escritorios, áreas de trabajo,
computadores, equipos portátiles, documentos en papel, medios de almacenamiento y en general
cua lquier tipo de información que utilicen los funcionarios, contratistas o terceros que presten
sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.
10.2. Objetivo
Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida o daño de la
información disponible de los puestos de trabajo durante y fuera del horario trabajo normal de los
funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES
NATURALES DE COLOMBIA
10.3. Marco normativo
Ley 734 de 2002, por la cual se expide el Código Disciplinario único, Artículo 35, numeral 21,
“Dar lugar al acceso o exhibir expedientes, documentos o archivos a personas no autorizadas”.
10.4. Condiciones obligatorias
Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar los controles recomendados por el sistema de gestión de seguridad de la información o el responsable de la información para impedir el acceso no autorizado de terceros a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Los lugares de trabajo de funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA y cuyas funciones no obliguen a la atención directa de ciudadanos deben localizarse preferiblemente en ubicaciones físicas que no queden expuestas al público para minimizar los riesgos asociados a acceso no autorizado a la información o a los equipos informáticos.
En los puntos de atención al ciudadano se debe evitar el acceso a información no indispensable
para la prestación de los servicios
Durante las ausencias temporales o definitivas el personal de la PARQUES NACIONALES NATURALES DE COLOMBIA debe bloquear la pantalla de los computadores a su cargo con el protector de pantalla designado por el sistema de gestión de seguridad de la información, para impedir el acceso de terceros no autorizados a la información almacenada en el computador.
Durante ausencias temporales o definitivas el personal de PARQUES NACIONALES NATURALES DE COLOMBIA debe guardar en un lugar seguro los documentos físicos o medios de almacenamiento para impedir su pérdida, daño o acceso por parte de personal no autorizado.
Los documentos impresos y los archivos electrónicos clasificados con carácter reservado siempre deben permanecer custodiados o protegidos en áreas seguras para evitar su divulgación no autorizada. Ver modelo de clasificación de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA
Cuando esté autorizada la impresión o reproducción de documentos clasificados con carácter
reservado, se deben retirar inmediatamente de los dispositivos empleados para su impresión o
reproducción.
Todos los computadores y cuando sea factible en equipos de impresión o reproducción se deben tener configurada una cuenta de con privilegios de administrador que permita realizar labores de instalación, configuración, soporte y mantenimiento, el uso de dicha cuenta es de responsabilidad exclusiva del personal que presta los servicios de soporte tecnológico en cada dependencia de la PARQUES NACIONALES NATURALES DE COLOMBIA
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Para el acceso a cualquier computador de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe hacer uso de una cuenta y una contraseña que serán únicos, exclusivos, personales e intransferibles para cada usuario de la PARQUES NACIONALES NATURALES DE COLOMBIA
Todos los computadores de la PARQUES NACIONALES NATURALES DE COLOMBIA deben tener configurado y operativo un protector de pantalla que se active cuando el equipo no esté en uso y bloquee el acces o con contraseña al equipo cuando no esté en uso por parte del funcionario, contratista o tercero que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA
10.5. Responsabilidades
Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA son responsables de cumplir la política de escritorio y
pantalla despejada.
Todos los funcionarios, Contratistas y terceros que prestan sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA deben participar activamente en la protección de la
información que emplea para el desarrollo de sus actividades
Todos los funcionarios, Contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA debe informar a la mayor brevedad posible a los responsables de los procesos o a los responsables de dependencias las fallas potenciales o reales que puedan implicar el acceso no autorizado a información de los puestos de trabajo o lo equipos de procesamiento de información que se encuentren desatendidos.
La información de la Entidad debe ser empleada para servir al cumplimiento de las funciones y responsabilidades designadas a la PARQUES NACIONALES NATURALES DE COLOMBIA y en ningún caso para fines o propósitos diferentes a las labores designadas a cada funcionario, Contratista o tercero que preste sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.
10.6. Seguimiento y control (monitoreo)
La política de escritorio limpio y pantalla limpia debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
10.7. Procedimientos por dominio
A 8.2.2 Etiquetado de información
A 8.3.1 Gestión de medio removibles
A 9.2.2 Suministro de acceso de usuarios
10.8. Controles por dominio
A 11.1.2 Controles de acceso físico
A 11.1.3 Seguridad de oficinas, recintos e instalaciones
A 11.2.1 Ubicación y protección de equipos
A 11.2.8 Equipos de usuario desatendido
A 11.2.9 Política de escritorio limpio y pantalla limpia
10.9. Estándares aplicables
Estándar de configuración de computadores personales
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
11. Política de Gestión de Cambios
11.1. Alcance
Está política se aplica para todos los servicios, componentes operativos de información y tecnología
de la PARQUES NACIONALES NATURALES DE COLOMBIA, cubre componentes como Redes de
datos, servidores, computadores personales, dispositivos móviles, sistemas de procesamiento de
información, mantenimiento y mejora de las políticas existente de seguridad de la información,
procedimientos y controles cuyo objetivo sea el tratamiento de información propiedad de la PARQUES
NACIONALES NATURALES DE COLOMBIA.
11.2. Objetivo
Garantizar que los cambios sobre la infraestructura de tecnología de información, los servicios por
terceras partes, procedimientos, controles y comunicaciones en la PARQUES NACIONALES
NATURALES DE COLOMBIA se realicen e implementen adecuadamente siguiendo procedimientos
estándar.
11.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4 Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
11.4. Condiciones obligatorias
Mediante esta política se establecen las directrices de alto nivel para el control de cambios
permitiendo mitigar los riesgos asociados a:
Degradación del desempeño de los componentes de procesamiento de información de la Entidad
Perdida, Daño o deterioro de la información propiedad de la PARQUES NACIONALES
NATURALES DE COLOMBIA
Pérdida de productividad de la entidad generada por fallas en los componentes de
procesamiento de información
Incidentes de seguridad de la información.
cambios no controlados en los sistemas y los servicios de procesamiento de
información.
Gestión inapropiada los cambios para puesta en producción de un desarrollo de
software o modificaciones a componentes de tecnología de la PARQUES NACIONALES
NATURALES DE COLOMBIA.
La PARQUES NACIONALES NATURALES DE COLOMBIA adopta un procedimiento formal para la gestión de cambios de servicios por terceras partes, infraestructura de información y tecnología y sistemas de procesamiento de información, en donde están claramente definidas
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
las responsabilidades y actividades necesarias para la planificación, evaluación, ejecución y revisión de los cambios.
Todos los cambios a la infraestructura de Información y Tecnología deben estar
plenamente justificados.
Los cambios deben ser propuestos e implementados sin perjuicio de la calidad de los servicios de
Información y Tecnología de Comunicaciones de la PARQUES NACIONALES NATURALES DE
COLOMBIA
Todos los cambios deben ser formalmente documentados.
Todos los cambios deben incluir una evaluación de riesgos, análisis de los impactos de los
cambio y especificar los controles de seguridad que sean necesarios adoptar.
Todos los cambios deben ser sometidos a algún mecanismo de prueba que permita verificar
si su planificación está completa antes de su ejecución.
Solamente se ejecutan los cambios que han sido debidamente autorizados por la
PARQUES NACIONALES NATURALES DE COLOMBIA
Todos los cambios deben estar formalmente registrados, clasificados y documentados
siguiendo los procedimientos adoptados por la PARQUES NACIONALES NATURALES DE
COLOMBIA.
Todos los cambios deben poderse deshacerse mediante planes de "retirada del cambio" en
caso de un incorrecto funcionamiento tras su implementación.
Cuando se realicen cambios a la infraestructura de información y tecnología de
comunicaciones de la Entidad se debe verificar la necesidad de actualizar los planes de
contingencia y continuidad de negocio.
Cuando se realicen cambios se debe tener en cuenta si existe la necesidad de formación adicional para el personal, documentar los costos, soporte, requerimientos tecnológicos administración y mantenimiento.
Se debe documentar los cambios hechos por la PARQUES NACIONALES NATURALES DE COLOMBIA en cuanto a mejoras del servicio actuales ofrecidos por terceros, desarrollo de todos los aplicativos nuevos, controles nuevos para resolver los incidentes de seguridad de la información, modificaciones o actualizaciones de las políticas y procedimientos de la organización. Teniendo en cuenta la importancia de los sistemas y procesos involucrados
Se deben gestionar los servicios a implementar por terceros como: cambios y mejoras en las redes, uso de nuevas tecnologías, actualización de productos nuevos o nuevas versiones, nuevas herramientas y entornos de desarrollo, cambios de la ubicación física de las instalaciones de los servicios y cambio de proveedores.
Se debe llevar un registro de control de cambios.
11.5. Usos no autorizados
No se deben realizar cambios sin la previa autorización de la PARQUES NACIONALES
NATURALES DE COLOMBIA.
No se deben aceptar cambios por parte de la prestación del servicio de terceros, sin el previo
estudio, aprobación y su debida documentación.
No se debe poner en peligro la integridad de la información debido a la falta de revisión de los cambios. No se deben realizar cambios por usuarios no autorizados.
No se pueden realizar cambios que atenten o vayan en contra de las estrategias de
continuidad y seguridad definidas por la PARQUES NACIONALES NATURALES DE COLOMBIA.
11.6. Responsabilidades
Los responsables de áreas o procesos deben evaluar periódicamente los riesgos que se identifiquen
sobre los cambios en la contratación de servicios de procesamientos de información con terceros. Los
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
resultados de la evaluación de riesgos deben generar propuestas de mecanismos de control que
mitiguen los impactos de los riesgos identificados.
El personal de la PARQUES NACIONALES NATURALES DE COLOMBIA debe reportar mediante los
conductos aprobados la solicitud de cambios o nuevos requerimientos tecnológicos, de servicios o
sistemas de información.
Los terceros responsables de la prestación de servicios a la Entidad deben cumplir con las políticas de
seguridad de la información adoptadas por la Entidad en cuanto a cambios que pretendan realizar en
la prestación del servicio.
11.7. Seguimiento y control (monitoreo)
Esta política debe ser revisada al menos cada seis meses o cuando se presenten cambios que
ameriten su actualización.
11.8. Procedimientos por dominio
Procedimientos de Control de Cambios
11.9. Controles por dominio
A.12.2 Gestión de cambios
A.12.5.1 Instalación de software en sistemas operativos
A.12.6.2 Restricción sobre la instalación de software
A.14.2.3 Revisión técnica de las aplicaciones después de cambios en la plataforma de operación
A.14.3.1 Protección de datos de prueba.
11.10. Controles asociados
No aplica
11.11. Estándares aplicables
No aplica.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
12. Politica De Respaldo De Información
12.1. Alcance
Esta política se aplicara todos los sistemas de información y dispositivos de almacenamiento
electrónico de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
12.2. Objetivo
Definir las pautas generales para garantizar en la PARQUES NACIONALES NATURALES DE
COLOMBIA la ejecución, preservación, mantenimiento y verificación de copias de respaldo de la
información.
El respaldo de la información busca reducir los impactos de los riesgos generados por la pérdida de
información y es un mecanismo para soportar los planes de contingencia, recuperación ante
desastres y atención a incidentes de seguridad de la información adoptados por la Entidad.
12.3. Marco normativo
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
12.4. Condiciones obligatorias
La información de los diferentes procesos, procedimientos y actividades que forman parte de las funciones de la PARQUES NACIONALES NATURALES DE COLOMBIA se respalda de acuerdo con requisitos legales, nivel de clasificación de la información, períodos de retención documental y requerimientos de uso establecidos en el sistema integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Toda información que soporte procesos, procedimientos o actividades definidas en el sistema de integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA debe tener una definición formalmente documentada de las necesidades de respaldo de información. La definición del esquema de preservación de las copias de respaldo se documenta en la tabla de retención de copias de respaldo y debe incluir: identificación de la información a respaldar, periodicidad de ejecución de la copia de respaldo, nivel de clasificación de la información respaldada y período de retención de las copias de respaldo.
Las copias de respaldo de la información deben ser preservadas por el tiempo definido en las tab las de retención de respaldo y aprobadas por los responsables de los procesos a los que pertenece la información. El Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe asistir a los dueños de los procesos en la definición de los períodos de retención de las copias de respaldo.
Los responsables de áreas y procesos deben coordinar la preservación de las copias de
respaldo, resguardando su acceso de acuerdo con su nivel de clasificación y la disposición final
definida en las tablas de retención de copias de respaldo
El respaldo de la información almacenada en computadores personales, dispositivos móviles u otros medios de procesamiento de información diferentes a los sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe ser solicitado formal y expresamente por el responsable del equipo o dispositivo al que se requiere realizar el respaldo de información ante el responsable del proceso.
Las copias de respaldo se almacenaran en sitios seguros con controles físicos y tecnológicos que permitan el cumplimiento de los estándares mínimos necesarios para: preservar las copias durante
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
los períodos definidos, limitar su acceso a los debidamente autorizados y garantizar su disponibilidad cuando el responsable de la información los requiera.
Las copias de respaldo de información clasificada como RESERVADA, se deben cifrar siguiendo
la política de cifrado de información adoptada por la PARQUES NACIONALES NATURALES DE
COLOMBIA
Las copias de respaldo se deben someter a pruebas periódicamente para certificar que cumplen
con los propósitos para las cuales fueron realizadas. Los resultados se deben usar
para actualizar los procedimientos de respaldo, recursos tecnológicos necesarios, evidenciar
oportunidades de mejora o riesgos en la realización de copias de respaldo y restauración de
información. Los responsables de la información deben participar en las pruebas para certificar
formalmente que las estrategias de respaldo y restauración se ajustan a las necesidades de sus
procesos.
Cuando los requisitos legales, requisitos de retención o condiciones de los medios de respaldo de información así lo dictaminen, se debe proceder a la destrucción o disposición final de medio, garantizando que la información contenida en los mismos ya no será accesible. Cuando se requiera destrucción de medios se deben seguir los procedimientos aprobados por el sistema integrado de gestión de la PARQUES NACIONALES NATURALES DE COLOMBIA para la preservación del medio ambiente.
12.5. Responsabilidades
Los responsables de procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA deben informar al Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA, qué datos son los necesarios para el cumplimiento de sus funciones para poder establecer el conjunto las estrategias de copias de respaldo
Los administradores de los sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben asegurar que las actividades de respaldo de información se realicen de manera controlada y permanente, que se realicen las pruebas para certificar el correcto funcionamiento de las copias y sus restauraciones, y que se mantengan registros de las actividades relacionadas con la programación, ejecución, verificación, mantenimiento, restauración y disposición final de las copias de respaldo.
Los administradores de los sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben definir e implementar los métodos a utilizar y los medios específicos requeridos para realizar las copias de respaldo de cada sistema de información o dispositivo de almacenamiento y que permitan el cumplimiento de los requisitos de la política de respaldo de información.
12.6. Seguimiento y control (monitoreo)
La política de control de copias de respaldo debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
12.7. Procedimientos por dominio
A 17.1.2 Implementación de la continuidad de la seguridad de la información
12.8. Controles por dominio
A 8.2.1 Clasificación de la información A 8.3.1Gestión de medios removibles A 8.3.2 Disposición
final de medios
A 8.3.3 Transferencia de medios físicos
A 10.1.1 Política sobre uso de controles criptográficos
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
A 12.3.1 Respaldo de información
12.9. Estándares aplicables
Tablas de retención de copias de respaldo
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
13. Política de Transferencia de Información
13.1. Alcance
Esta es una política que aplica a toda la PARQUES NACIONALES NATURALES DE COLOMBIA y a
todos los funcionarios, proveedores, contratistas y terceros autorizados para intercambiar
información de la PARQUES NACIONALES NATURALES DE COLOMBIA
13.2. Objetivo
Mantener la seguridad de la información cuando se autoriza el intercambio de la misma dentro de la
PARQUES NACIONALES NATURALES DE COLOMBIA y con cualquier entidad externa.
13.3. Marco normativo
Ley 1712 de 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y acceso a la información pública nacional y se dictan otras disposiciones
Ley Estatutaria 1581 de 17 de octubre de 2012 Por la cual se dictan disposiciones generales
para la protección de datos personales.
Ley Estatutaria 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones
Decreto 1377 de 2013, por medio del cual se reglamenta parcialmente la Ley 1581 de 2012.
Ley 594 de 14 de julio de 2000 por medio de la cual se dicta la Ley General de Archivos y se
dictan otras disposiciones.
Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control
interno en la entidades y organismos del estado y se dictan otras disposiciones
13.4. Condiciones obligatorias
La transmisión, transferencia o comunicación de información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe realizar únicamente por las redes de comunicaciones o dispositivos autorizados por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe estar sujeto a controles que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en que se realizan las acciones y ubicación desde la cual se realiza el acceso a
la misma.
Los controles de seguridad de la información para la transferencia de información se deben
seleccionar para mitigar los riesgos de pérdida de confidencialidad, integridad o disponibilidad de la
información
Cualquier transferencia de información que implique información clasificada con carácter reservado debe cumplir con la política de controles de criptográficos de la PARQUES NACIONALES NATURALES DE COLOMBIA
Los accesos a información deben ser sometidos a evaluaciones de riesgos tecnológicos,
administrativos y operativos antes de su aprobación
La trasferencia de información debe cumplir con las políticas de control de acceso a la información. Las actividades de teletrabajo deben cumplir con la política de Transferencia de información
Las actividades de transferencia de medios físicos deben cumplir con la política de
transferencia de información
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Para realizar actividades de transferencia de información los proveedores y terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deberán suscribir acuerdos de confidencialidad con el fin reducir los riesgos de divulgación de información con carácter reservado.
En los contratos suscritos con proveedores o terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA para actividades de transferencia de información por medios electrónicos o físicos, se deben establecer y acordar los requisitos de seguridad que debe cumplir el proveedor o tercero para poder tener acceso, procesar, almacenar, comunicar y transmitir información de la PARQUES NACIONALES NATURALES DE COLOMBIA. En los acuerdos se deben incluir las medidas necesarias para el tratamiento de los riesgos de seguridad de la información derivados de las actividades realizadas por el proveedor o tercero. Los acuerdos deben ser formalizados antes del inicio de las actividades con el proveedor o tercero.
La transferencia de información de carácter personal y que no esté relacionada con procesos
judiciales deberá observar los procedimientos descritos en el Art. 25 de la Ley 1581 de 2012 y el
Decreto 1377 de
2013.
13.5. Usos no autorizados
Modificación de la información sin contar con la autorización formal para dichas modificaciones
Divulgación no autorizada de información
Impedir el acceso a la información sin justificación real
Modificación o Eliminación de los controles de seguridad que protejan la información
Cualquier acción sobre la información considerada como ilegal o no autorizada por las leyes,
regulaciones, normas o procedimientos a los que está sometida la PARQUES NACIONALES
NATURALES DE COLOMBIA.
13.6. Responsabilidades
Para el cumplimiento de la Política transferencia de Información, las áreas responsables de la información deben coordinar sus esfuerzos con el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para lograr la implementación de los controles que se identifiquen como necesarios para la transferencia de información
Todos los funcionarios y contratistas de la Entidad que en el desarrollo de sus tareas habituales u ocasionales deban realizar actividades relacionadas con la transferencia de información dentro de la Entidad o con terceros son responsables del cumplimiento y seguimiento de esta política.
Los terceros que reciban información de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben comprometer a proteger toda información que les sea suministrada, sin importar su nivel de clasificación para evitar su divulgación no autorizada aplicando los procedimientos administrativos, técnicos o legales que se acuerden con la PARQUES NACIONALES NATURALES DE COLOMBIA al momento de recibir la información.
Los proveedores o terceros que reciban información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben informar a cada uno de sus empleados o colaboradores debidamente autorizados para recibir documentos o Información, de los niveles de clasificación de la Información definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA y de la existencia de acuerdos de confidencialidad con la Entidad. Igualmente el tercero debe instruir a quién reciba la información o documentos, acerca de las medidas de protección y mecanismos para manejar la información y la obligatoriedad de no utilizarla sino para los temas necesarios para el desarrollo del acuerdo suscrito entre la PARQUES NACIONALES NATURALES DE COLOMBIA y el proveedor o tercero quién será enteramente responsable por cualquier uso inadecuado de la información Suministrada por la Entidad.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
13.7. Seguimiento y control (monitoreo)
La política de transferencia de la información debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
13.8. Procedimientos por dominio
No Aplica
13.9. Controles por dominio
A 13.1.1 Controles de redes
A 13.1.2 Seguridad de los servicios de red
A 13.1.3 Separación de redes
A.13.2.2 Acuerdos sobre transferencia de información
A.13.2.3 Mensajería electrónica
A.13.2.4 Acuerdos de confidencialidad o de no divulgación
13.10. Controles asociados
Controles de Transferencia de información
13.11. Estándares aplicables
Estándar de controles criptográficos
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
14. Política de Concientización en seguridad de la información
14.1. Alcance
Esta política se aplica a todas las actividades de formación de la PARQUES NACIONALES
NATURALES DE COLOMBIA, a los procesos de inducción al cargo en la PARQUES NACIONALES
NATURALES DE COLOMBIA y a los procesos de empalme con terceros que prestan servicios a
la PARQUES NACIONALES NATURALES DE COLOMBIA
14.2. Objetivo
Asegurar que todos los funcionarios, contratistas, contratistas y terceros que prestan sus servicios
a la PARQUES NACIONALES NATURALES DE COLOMBIA mejoran continuamente su conciencia
en seguridad de la información y de cómo sus actividades diarias contribuye al logro de los objetivos
de la seguridad de la información.
14.3. Marco normativo
Modelo estándar de control interno para el estado colombiano, MECI 1000:2005, Numeral 1.1.2. Desarrollo del Talento Humano
14.4. Condiciones Obligatorias
Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben mejorar continuamente sus conocimientos en materia de seguridad de la información
Todos los funcionarios, contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA deben leer al menos una vez al año las políticas de seguridad de la información o cuando se informe que las mismas han sido actualizadas.
La PARQUES NACIONALES NATURALES DE COLOMBIA dispondrá de mecanismos
para desarrollar actividades que fomenten y garanticen la difusión, conocimiento, capacitación,
formación y educación del Sistema de Gestión de Seguridad de la Información
Las actividades de difusión, conocimiento, capacitación, formación y educación del Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben realizar tomando en cuenta las responsabilidades, conocimientos y necesidades específicas de las áreas y funcionarios a las que van dirigidas.
Las actividades de difusión, conocimiento, capacitación, formación en seguridad de la
información que reciben los funcionarios, contratistas y terceros que prestan sus servicios a la
PARQUES NACIONALES NATURALES DE COLOMBIA deben incluir como mínimo:
1. Explicación clara y precisa de estructura y controles del Sistema de Gestión de Seguridad de la Información 2. Las responsabilidades respecto la seguridad la información, Implicaciones de no cumplir con los requisitos de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA 3. Beneficios que se esperan de aplicar los lineamientos del Sistema de Gestión de Seguridad de la Información 4. Mecanismos para reportar eventos e incidentes de seguridad de la
información
La PARQUES NACIONALES NATURALES DE COLOMBIA propenderá por el desarrollo de las competencias, habilidades, aptitudes e idoneidad de su Servidor Público en materia de seguridad de la información incorporando en sus procesos de formación y toma de conciencia los principios
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
de justicia, equidad y transparencia en concordancia con los lineamientos del modelo estándar de control interno MECI.
14.5. Responsabilidades
Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES
NATURALES DE COLOMBIA son responsables de mejorar sus competencias y conocimientos en
seguridad de la información.
A través de las instancias pertinentes la PARQUES NACIONALES NATURALES DE
COLOMBIA fomentará el desarrollo de la cultura y conocimiento en seguridad de la información
14.6. Seguimiento y control (monitoreo)
La política de formación y toma de conciencia debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
14.7. Procedimientos por dominio
No aplica
14.8. Controles por dominio
A.7.2.2 Toma de conciencia educación y formación en la seguridad de la información
A.15.1.2 Tratamiento de la seguridad dentro de los acuerdos con proveedores
14.9. Controles complementarios
Modelo estándar de control Interno MECI 1000:2005, Control 1.1.2 Desarrollo del Talento Humano
14.10. Estándares aplicables
Plan de Formación y Capacitación formulado de acuerdo a las necesidades de los Servidores Públicos.
Programa de Inducción o reinducción establecido, en el cual se especifica los temas y el procedimiento
de inducción para empleados nuevos o reinducción en el caso de cambios organizacionales, técnicos
y/o normativos
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
15. Política de control de acceso a la información
15.1. Alcance
Esta política aplicará a todo el personal vinculado laboralmente con la PARQUES NACIONALES NATURALES DE COLOMBIA, contratistas y terceros que tengan acceso a los recursos de información de la organización.
15.2. Objetivo
Definir las pautas generales para asegurar un acceso seguro y controlado a la información de la
PARQUES NACIONALES NATURALES DE COLOMBIA, impidiendo los accesos no autorizados.
15.3. Marco normativo
Ley 1712 de 6 de marzo de 2014, Por medio de la cual se crea la ley de transparencia y
acceso a la información pública nacional y se dictan otras disposiciones
Ley Estatutaria 1581 de 17 de octubre de 2012 Por la cual se dictan disposiciones generales
para la protección de datos personales.
Ley Estatutaria 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único.
Ley 594 de 14 de julio de 2000 por medio de la cual se dicta la Ley General de Archivos y se
dictan otras disposiciones.
Ley 87 del 29 de noviembre de 1993 por la cual se establecen normas para el ejercicio de control
interno en la entidades y organismos del estado y se dictan otras disposiciones
15.4. Condiciones Obligatorias
Todos los funcionarios, contratistas y terceros que prestan sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA deben realizar todos los mejores esfuerzos que estén a su alcance para aplicar todos los controles de seguridad definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA para garantizar la preservación de la Confidencialidad, Integridad y Disponibilidad de la información que está a su cargo y a la que tengan acceso por la naturaleza misma de sus actividades o que por otras situaciones esté bajo su custodia.
Toda persona, proceso o sistema de información que realice actividades para la PARQUES NACIONALES NATURALES DE COLOMBIA debe tener acceso únicamente a la información necesaria para el desempeño de las actividades que le han sido autorizadas.
Todo acceso a la información debe ser autorizado formalmente por el área responsable de la información. Para la autorización de acceso a la información se debe contemplar un análisis previo de la justificación de la necesidad de uso de la misma y las actividades a realizar con el acceso a la información.
Todo acceso a la información debe considerar el nivel de clasificación definido por la
PARQUES NACIONALES NATURALES DE COLOMBIA o por el responsable de la información
Todo acceso a la información debe cumplir con los requisitos legales, normativos,
reglamentarios, procedimentales o de cualquier otra índole que haya definido el responsable de la
información.
El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe estar sujeto a controles que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en que se realizan las acciones y ubicación desde la cual se realiza el acceso a la misma.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
La entidad deberá realizar un inventario y proceso de clasificación de la información con relación a la información y en especial con el fin de garantizar el acceso a la información pública por parte de los ciudadanos de conformidad con la Ley 1712 de 2014.
Cuando se tiene acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA se está obligado a la aceptación formal de la reglamentación de acceso y tratamiento de la información que definan las leyes de Colombia, Acuerdos internacionales suscritos por Colombia, normas del sector, políticas, estándares o cualquier tipo de control establecido para la protección o tratamiento de la información.
15.5. Usos no autorizados
Los siguientes usos se consideran usos no autorizados de la información
Modificación de la información sin contar con la autorización formal para dichas modificaciones Divulgación no autorizada de información
Impedir el acceso a la información sin justificación
real
Modificación o Eliminación de los controles de seguridad que protejan la
información
Cualquier acción sobre la información considerada como ilegal o no autorizada por las leyes,
regulaciones, normas o procedimientos a los que está sometida la PARQUES NACIONALES
NATURALES DE COLOMBIA.
15.6. Responsabilidades
Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA
que en el desarrollo de sus tareas habituales u ocasionales que utilicen información, servicios
de tecnología de la información y comunicaciones o manipulen equipos pertenecientes a la PARQUES
NACIONALES NATURALES DE COLOMBIA, son responsables del cumplimiento y seguimiento de esta
política.
15.7. Seguimiento y control (monitoreo)
La política de control de acceso a la información debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
Los responsables de los procesos de la PARQUES NACIONALES NATURALES DE
COLOMBIA realizarán seguimiento y control al cumplimiento de esta política.
15.8. Procedimientos por dominio
A.9.2.1 Registro y cancelación de registro de usuarios
A 9.4.2 Procedimiento de ingreso seguro
15.9. Controles por dominio
A 8.1.3 Uso aceptable de los activos
A 8.2.1 Clasificación de la información
A.9.1.1 Política de control de acceso
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
A 9.1.2 Acceso a redes y a servicios de red
A 9.2.2 Suministro de acceso de usuarios
A 9.2.3 Gestión de derechos de acceso privilegiado
A 9.2.4 Gestión de información de autenticación secreta de usuarios
A 9.2.5 Revisión de los derechos de acceso de los usuarios
A 9.2.6 Retiro o ajuste de los derechos de acceso
A.9.3.1 Uso de información de autenticación secreta
A 9.4.1 Restricción de acceso a la información
A 9.4.5 Control de acceso a códigos fuente de programas
A 13.2.4 Acuerdos de confidencialidad o de no divulgación
A 15.1.1 Política de seguridad de la información para las relaciones con proveedores
A 18.1.4 Privacidad y protección de información de datos personales
15.10. Controles asociados
Procedimiento de administración de usuarios
15.11. Estándares aplicables
No aplica
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
16. Acceso a Componentes de Tecnología de Información y Comunicaciones
16.1. Alcance
Esta política se aplica a todos los funcionarios, contratistas y terceros que por la naturaleza de sus
funciones asignadas o provisionales requieren acceso a los diversos componentes de tecnología de
información de la PARQUES NACIONALES NATURALES DE COLOMBIA
16.2. Objetivo
Definir las pautas generales para asegurar un acceso controlado a los componentes de tecnología de
información de la PARQUES NACIONALES NATURALES DE COLOMBIA
16.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral
4 Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las
facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su
función, en forma exclusiva para los fines a que están afectos.”
16.4. Condiciones Obligatorias
Todo componente de tecnología de información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe servir al cumplimiento de los propósitos misionales de la Entidad. Todo componente de tecnología de información de la PARQUES NACIONALES NATURALES DE
COLOMBIA debe contar con mecanismos que permitan llevar registro y control de las solicitudes de acceso, modificación de acceso y borrado de accesos. Los mecanismos de control de registro pueden ser manuales o automatizados.
El acceso a los equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA
debe contar con autorización del responsable del proceso al cual pertenece el funcionario o
contratista que solicita el acceso al equipo.
Todos los equipos de tecnología de información de la PARQUES NACIONALES NATURALES DE COLOMBIA deben tener asignado un responsable quién debe velar por su uso adecuado y utilización aco rde con las funciones asignadas.
La PARQUES NACIONALES NATURALES DE COLOMBIA debe contar con un inventario de equipos informáticos o componentes de tecnología que se utilizan para el cumplimiento de su misión. El inventario de equipos debe ser actualizado permanentemente.
Todos los equipos de tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA deben estar instalados en ubicaciones físicas que cuenten con las medidas de seguridad mínimas para evitar, pérdida, robo, actos vandálicos y en general protegidos de amenazas, peligros del entorno y accesos no autorizados.
Para el retiro de componentes de tecnología y equipos informáticos de las instalaciones de la
PARQUES NACIONALES NATURALES DE COLOMBIA es obligatorio contar con una autorización
de retiro de equipos.
Cuando se utilicen equipos de tecnología de la PARQUES NACIONALES NATURALES DE COLOMBIA fuera de sus instalaciones, se deben aplicar los controles de seguridad adoptados por la PARQUES NACIONALES NATURALES DE COLOMBIA.
Cada usuario debe tener una cuenta de acceso única, personal e intransferible para el uso de equipos informáticos. La creación, modificación, suspensión o eliminación de la cuenta de usuario para acceso a un equipo informático debe seguir el procedimiento definido por los responsables de áreas y procesos.
La autorización para la creación, modificación suspensión o eliminación de cuentas de usuario
debe ser aprobada por el responsable del proceso al cual pertenece el usuario.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Cuando varios usuarios tengan diferentes niveles de acceso o privilegios sobre equipos informáticos, se deben definir diferentes perfiles de acceso para cada grupo de usuarios. Los responsables de la información y el administrador del componente de procesamiento de la información deben asegurarse de que los perfiles de acceso y privilegios de acceso a los componentes de procesamiento de la información se encuentren acordes con las funciones autorizadas a cada usuario
Cuando se requiera realizar la reasignación, reutilización o disposición final de equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA se deben aplicar los controles de seguridad adoptados por la misma.
Al finalizar su relación contractual o al realizar cambios de funciones, los funcionarios, contratistas y terceros que presten sus servicios deben coordinar la devolución de los equipos informáticos que sea de propiedad de la PARQUES NACIONALES NATURALES DE COLOMBIA al responsable del proceso al que pertenecía el funcionario, contratista o tercero.
16.5. Usos no autorizados
Se consideran acciones no autorizadas sobre los equipos informáticos y componentes de tecnología de la
PARQUES NACIONALES NATURALES DE COLOMBIA, los siguientes:
Modificar el equipo físicamente o su configuración lógica sin contar con la autorización formal para
dichas modificaciones.
Usar los equipos informáticos de la PARQUES NACIONALES NATURALES DE COLOMBIA
para fines diferentes a los formalmente definidos por la entidad.
Impedir el acceso de personal autorizado al equipo informático sin justificación real.
Modificar, inhabilitar o Eliminar los controles de seguridad que protegen los equipos
informáticos
Ejecutar cualquier acción sobre el equipo informático sean contrarias a leyes, regulaciones,
normas o procedimientos a los que está sujeta la PARQUES NACIONALES NATURALES DE
COLOMBIA.
16.6. Responsabilidades
Todos los funcionarios, contratistas y Terceros que presten sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de esta política y
demás políticas de seguridad de la información que adopta la Entidad.
Todos los responsables de equipos informáticos deben procurar la aplicación de los controles de
seguridad definidos para el acceso a los equipos informáticos y reportar a os los responsables de
áreas y procesos cualquier falla potencial o real identificada en los equipos a su cargo.
16.7. Seguimiento y control (monitoreo)
La política de control de acceso a componentes de tecnología debe ser revisada cada seis meses o
cuando se presenten eventos que obliguen a su actualización.
16.8. Procedimientos por dominio
A9.4.2 Procedimiento de ingreso seguro
A.11.1.5 Trabajo en áreas seguras
16.9. Controles por dominio
A.11.1.1 Perímetro de seguridad física
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
A.11.1.2 Protección contra amenazas externas y ambientales
A11.2.1 Ubicación y protección de equipos
A11.2.5 Retiro de activos
A11.2.6 Seguridad de equipos y activos fuera de las instalaciones
A11.2.7 Disposición segura o reutilización de equipos
16.10 Controles asociados
Procedimiento de reasignación de equipos informáticos
Procedimiento de disposición final de equipos informáticos
16.11 Estándares aplicables
Seguridad de los equipos que salen de las instalaciones de la PARQUES NACIONALES
NATURALES DE COLOMBIA
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
17. Política de desvinculación cambio de funciones, ausencia temporal o vacaciones
17.1. Alcance
Esta política aplica a toda la PARQUES NACIONALES NATURALES DE COLOMBIA sus funcionarios,
Contratistas y terceros que presten servicios para la PARQUES NACIONALES NATURALES DE
COLOMBIA 17.2. Objetivo
Definir las pautas generales para asegurar una adecuada gestión del acceso a la información y prevenir
accesos no autorizados a los sistemas de información y servicios de la PARQUES NACIONALES
NATURALES DE COLOMBIA cuando se produce desvinculación, cambios de función, ausencias
temporales o vacaciones de los usuarios de los sistemas de información.
17.3. Marco normativo
Ley 909 del 23 de septiembre de 2004 “Por la cual se expiden normas que regulan el empleo público, la carrera administrativa, gerencia pública y se dictan otras disposiciones”. Artículo 3. Campo de aplicación
Ley 1093 de 2006, Por la cual se crean los literales e) y f) y un parágrafo del numeral 2 del artículo
5to de la Ley 909 de 2004.
17.4. Condiciones obligatorias
Todas las novedades como vacaciones, incapacidades, cambio de funciones, ascensos y terminación de contratos que se presenten con los empleados, contratistas o terceros vinculados a la PARQUES NACIONALES NATURALES DE COLOMBIA deben ser reportadas al responsable del área o proceso al cual pertenece para ajustar los permisos de acceso de los usuarios a la información, sistemas de información y servicios de la PARQUES NACIONALES NATURALES DE COLOMBIA
Cuando se produzca una desvinculación o cambio de funciones de un funcionario, contratista o tercero que preste sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA se debe aplicar el procedimiento formal de devolución de activos de información como: archivos, documentos, credenciales de acceso a instalaciones, contraseñas de acceso a sistemas o servicios, equipos informáticos o software a cargo del funcionario
En caso de desvinculación se notificará formalmente al funcionario, contratista o tercero las
obligaciones sobre confidencialidad de la información que permanezcan vigentes aún después de
su desvinculación.
Cuando se produzca ausencia temporal o vacaciones, el responsable del proceso al que pertenece el funcionario, contratista o tercero debe notificar al responsable del área o proceso al cual pertenece acerca de la necesidad de bloquear provisionalmente los accesos a cargo del funcionario, contratista o tercero durante la vigencia de su ausencia.
17.5. Responsabilidades
El área de gestión humana debe mantener actualizadas las novedades del personal y comunicarlas al responsable del área o proceso y otras áreas interesadas para garantizar que no se presentan brechas de seguridad de la información por accesos no autorizados.
Los administradores de sistemas de información son responsables de mantener actualizados y
aplicar los cambios en accesos o permisos a la información, sistemas de información y servicios de
acuerdo con el tipo de novedad reportada.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
17.6. Seguimiento y control (monitoreo)
La política de Desvinculación, Cambios de funciones, ausencia temporal o vacaciones debe ser
revisada cada seis meses o cuando se presenten eventos que obliguen a su actualización
Todos los responsables de procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA
realizarán seguimiento y control al cumplimiento de esta política.
17.7. Procedimientos por dominio
A.7.3.1 Terminación o cambio de responsabilidades de empleo
A.8.1.4 Devolución de activos
17.8. Controles por dominio
A.9.2.1 Registro y cancelación de usuarios
A.9.2.6 Retiro o ajuste de los derechos de acceso
A.13.2.4 Acuerdos de confidencialidad o no divulgación
N/A
17.9. Controles asociados
17.10. Estándares aplicables
Administración de usuario
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
18. Política de uso de correo electrónico
18.1. Alcance
Esta política aplica a todas los funcionarios, contratistas y terceros que presten sus servicios a la
PARQUES NACIONALES NATURALES DE COLOMBIA que por el desarrollo de sus actividades
utilizan el servicio de correo electrónico de la PARQUES NACIONALES NATURALES DE COLOMBIA.
18.2. Objetivo
Definir las pautas generales para asegurar una adecuada protección de la información de la PARQUES
NACIONALES NATURALES DE COLOMBIA cuando se usa el servicio de correo electrónico por parte
de los usuarios autorizados
18.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4
Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”
Decreto 1524 de 24 de julio de 2002, Por el cual se reglamenta el artículo 5 de la Ley 679 de 2001. Ley 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones
18.4. Condiciones obligatorias
El servicio de correo electrónico institucional debe ser utilizado exclusivamente para las tareas propias de la función desarrollada por la PARQUES NACIONALES NATURALES DE COLOMBIA los usos diferentes a los necesarios para el cumplimiento de las funciones encargadas al funcionario, contratista o tercero y son de entera responsabilidad del usuario al que se le asigna la cuenta de acceso al servicio. Por lo anterior no se permitirá un uso con fines personales del correo institucional.
El acceso al servicio de correo electrónico debe ser autorizado por el responsable del proceso al que pertenece el funcionario, contratista o tercero que presta sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA.
Para creación de la cuenta de correo electrónico se seguirán los procedimientos definidos por el responsable del área o proceso y las políticas de cuentas de usuario del Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
El uso de las cuentas de correo electrónico debe cumplir con la política de cuentas de usuario
de la PARQUES NACIONALES NATURALES DE COLOMBIA
El servicio de correo electrónico oficial de la PARQUES NACIONALES NATURALES DE COLOMBIA es el que es suministrado y gestionado por el Sistema de Gestión de Seguridad de la Información, el cual cumple los requerimientos técnicos y de seguridad necesarios para garantizar la confidencialidad, integridad y disponibilidad de las comunicaciones oficiales por correo electrónico. Los usuarios reconocen y aceptan que los incidentes de seguridad de la información generados por el uso de servicios de correo electrónico no autorizados serán de su entera responsabilidad.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
La clave de acceso al servicio de correo electrónico no debe ser divulgada a ninguna persona, exhibirse en público y para su gestión se debe seguir los controles de protección de contraseñas definidos por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
La PARQUES NACIONALES NATURALES DE COLOMBIA puede supervisar el uso del
servicio de correo electrónico para verificar que se está usando para el cumplimiento de las
funciones misionales de la Entidad.
En los casos en los que se requiera envío o recepción de información clasificada con carácter reservado, el usuario del servicio de correo electrónico debe solicitar el servicio de cifrado de datos al responsable del área o proceso al cual pertenece.
Los correos electrónicos deben contener una nota de confidencialidad ubicada al final del texto,
después de la firma del mismo, este mecanismo es una medida preventiva de divulgación no autorizada de contenidos de correo electrónico. La nota de confidencialidad debe seguir el estándar definido por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA
Al finalizar su relación laboral todo funcionario, contratista o tercero que preste sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA, debe realizar la devolución de la cuenta de usuario de correo electrónico al responsable del proceso para el cual laboraba. Los procedimientos de suspensión de cuenta de correo electrónico son definidos por el responsable del área o proceso al cual pertenece.
18.5. Usos no autorizados
Los usos no autorizados constituyen un incidente de seguridad de la información y se tratan de
acuerdo con los procedimientos adoptados por la PARQUES NACIONALES NATURALES DE
COLOMBIA:
Envío de correos masivos sin autorización oficial.
Envío, reenvío o intercambio de mensajes no deseados o considerados SPAM
Envío o intercambio de mensajes con contenido que atente contra la integridad de las personas o instituciones, tales como contenidos ofensivos, obscenos, pornográficos, terroristas, discriminación sobre la base de raza, género, nacionalidad de origen, edad, estado marital, orientación sexual, religión o discapacidad, amenazas, cualquier contenido que represente riesgo para la seguridad de la información de la Entidad o esté prohibido por la leyes, regulaciones o normas a las cuales está sujeta la entidad.
Creación, almacenamiento o intercambio de mensajes que violen las leyes de material protegido
por la ley de derechos de autor, normas sobre seguridad de la información y protección de datos
personales.
Crear, enviar, alterar, borrar mensajes suplantando la identidad de un usuario.
Abrir, usar o revisar indebidamente la cuenta de correo electrónico de otro usuario, sin contar
con la autorización formal del titular de la cuenta.
Uso, envió, reenvió o intercambio de mensajes con uso de plataformas de intercambio de archivos como P2P (Peer To Peer).
18.6. Responsabilidades
Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES
NATURALES DE COLOMBIA son responsables del cumplimiento de esta política y demás políticas
de seguridad de la información que adopta la PARQUES NACIONALES NATURALES DE COLOMBIA
18.7. Seguimiento y control (monitoreo)
La política de uso de correo electrónico ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
18.8. Procedimientos por dominio
A 9.2.1 Registro y cancelación de registro de usuarios
18.9. Controles por dominio
A 8.1.3 Uso aceptable de los activos
A 8.1.4 Devolución de los activos
A 9.2.2 Suministro de acceso a usuarios
A 9.2.6 Retiro o ajuste de los derechos de acceso
A 9.3.1 Uso de información de autenticación secreta
A 13.2.3 Mensajería electrónica
A 13.2.4 Acuerdos de confidencialidad o de no divulgación
18.10. Estándares aplicables
Gestión de contraseñas
Modelo de nota de confidencialidad para correo electrónic
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
19. Política de uso de servicios de acceso a Internet
19.1. Alcance
Esta es una política de la PARQUES NACIONALES NATURALES DE COLOMBIA que aplica a toda
la entidad y a todos los usuarios autorizados para acceder al servicio de Internet en la Entidad.
19.2. Objetivo
Definir las pautas generales para asegurar una adecuada protección de la información de la PARQUES
NACIONALES NATURALES DE COLOMBIA en el uso del servicio de Internet por parte de los
usuarios autorizados.
19.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4
Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su función, en forma exclusiva para los fines a que están afectos.”
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
19.4. Condiciones Obligatorias
El servicio de acceso a Internet debe utilizarse exclusivamente para las tareas propias de la función desarrollada en la PARQUES NACIONALES NATURALES DE COLOMBIA, los usos diferentes a los necesarios para el cumplimiento de las funciones de la Entidad son de entera responsabilidad del usuario al que se le asigna la cuenta de acceso al servicio.
El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de vinculación con la PARQUES NACIONALES NATURALES DE COLOMBIA, ya sea como funcionario, contratista o tercero. El acceso al servicio es solicitado por funcionarios de nivel directivo de la PARQUES NACIONALES NATURALES DE COLOMBIA
El navegador autorizado para el uso del servicio de Internet en la PARQUES NACIONALES NATURALES DE COLOMBIA es el designado por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA, el cual cumple con todos los requerimientos técnicos y de seguridad de la información.
Los servicios a los que un determinado usuario pueda acceder desde Internet dependerán del
rol que desempeña el usuario en la PARQUES NACIONALES NATURALES DE COLOMBIA y
para los cuales este formal y expresamente autorizado.
Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén
autorizados o no correspondan a sus funciones dentro de la PARQUES NACIONALES
NATURALES DE COLOMBIA.
Todo usuario es responsable tanto del contenido de las comunicaciones como de cualquier otra información que se envíe desde la red de la PARQUES NACIONALES NATURALES DE COLOMBIA o descargue desde Internet empleando la cuenta de acceso a Internet que se le ha suministrado.
La PARQUES NACIONALES NATURALES DE COLOMBIA puede supervisar el acceso del
servicio de Internet para certificar que se está usando para el cumplimiento de las funciones
institucionales.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Cuando un funcionario o contratista al que le haya sido autorizado el uso de una cuenta servicio de Internet o de acceso a la red local de la Entidad finalice su vinculación con la Entidad, deberá seguir los procedimientos definidos por la Entidad para entregar su cuenta de usuario y accesos a servicios informáticos provistos por la Entidad
19.5. Usos no autorizados
Los siguientes usos se consideran usos no autorizados del servicio de acceso a Internet. Los usos no
autorizados constituyen un incidente de seguridad de la información:
Envío o descarga de información de sometida a derechos de autor cuando no se tienen esos derechos
Envío, descarga o visualización de información con contenidos que no forman parte de las
actividades propias asignadas al usuario
Envío o descarga de información cuyo volumen ponga en riesgo la disponibilidad del servicio, los usuarios del servicio deben informarse de los procedimientos para descarga de información con los responsables de áreas o procesos.
Cualquier otro propósito considerado inmoral o ilegal de acuerdo con las leyes, regulaciones o
normas a las que está sometida la entidad.
No es aceptable el uso del servicio de acceso a Internet para actividades comerciales.
Está prohibido el uso del servicio de acceso a Internet para realizar o propiciarla
propaganda de productos o propaganda política.
Queda estrictamente prohibido el uso, autorizado o no, de un nombre de usuario distinto al
designado por el responsable de área o proceso o administrador de sistema de información.
No está autorizado el acceso a sitios Web relacionados con actividades de juego, apuestas, o actividades ilegales en general;
No está autorizado el acceso a material pornográfico o a sitios Web de contenido para
adultos relacionados con desnudismo, erotismo o pornografía, salvo en los casos que
estén expresa y
formalmente autorizados con apego a funciones explícitamente definidas para el funcionario, caso particular de investigaciones en procesos judiciales, en dichos casos se debe gestionar los mecanismos de acceso seguro en canales protegidos configurados por los responsables de administración de tecnología durante el tiempo requerido para el cumplimiento de la asignación.
No está autorizado el acceso a sitios de música, juegos, vídeos, u otros sitios de
entretenimientos on - line;
No está autorizado el acceso a sitios Web de carácter discriminatorio, racista, o
material potencialmente ofensivo incluyendo, bromas de mal gusto, prejuicios, menosprecio, o
acoso explícito.
No está autorizado el acceso a sitios de “hacking” o sitios reconocidos como inseguros, los cuales puedan poner en riesgo la integridad y confidencialidad de la información de la
Entidad.
Participación en cualquier actividad ilegal o criminal mediante las redes de comunicaciones
de la entidad. Instalación y uso de programas de transferencia de información vía Internet para el intercambio de
archivos
.
19.6. Responsabilidades
Los funcionarios responsables de los procesos de la Entidad son los autorizados para solicitar la
creación, modificación o cancelación de las cuentas de acceso al servicio de Internet
Todos los funcionarios y contratistas que en el desarrollo de sus tareas habituales u ocasionales, utilicen cualquier servicio de tecnología de la información y comunicaciones (TIC) que provea la
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento y seguimiento de esta política.
Todo el personal vinculado a la PARQUES NACIONALES NATURALES DE COLOMBIA es
responsable de velar por el cumplimiento de las políticas de seguridad de la información.
Los responsables de la administración de tecnología deben de implementar los controles necesarios para evitar la circulación de información o contenidos desde Internet hacia la red de la PARQUES NACIONALES NATURALES DE COLOMBIA que puedan constituirse en riesgos para la seguridad de la Información.
Los responsables de la administración de tecnología garantizar que cualquier conexión de red de comunicaciones se encuentre protegida mediante controles de seguridad que garanticen la confidencialidad, integridad y disponibilidad de la información.
19.7. Seguimiento y control (monitoreo)
La política de control acceso a Internet debe ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización.
19.8. Procedimientos por dominio
A.13.2.1 Políticas y procedimientos de transferencia de información
19.9. Controles por dominio
A.9.2 Acceso a redes y servicios en red
A.13.1.1. Control de las redes
A.13.1.3 Separación en las redes
19.10. Controles asociados
A.18.1.1 Identificación de la legislación aplicable y de los requisitos contractuales
Política de Teletrabajo
Política de transferencia de la información
Política de uso de correo electrónico
19.11. Estándares aplicables
Gestión de contraseñas
Acuerdos de confidencialidad y buen uso de los medios
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
20. Política de Antivirus
20.1. Alcance
Esta es una política sé que aplica a todos los equipos informáticos (computadores, tabletas, equipos
portátiles, teléfonos inteligentes, entre otros) que sean empleados para conexión con los servicios
o sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
20.2. Objetivo
Definir las pautas generales para asegurar una adecuada protección de la información de la PARQUES
NACIONALES NATURALES DE COLOMBIA contra software malicioso.
20.3. Marco normativo
Ley 1273 de 2009, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico
tute lado - denominado “de la protección de la información y de los datos”- y se preservan integralmente
los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones”. Artículo 269 E: Uso de software malicioso. El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional
software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión
de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de
100 a 1000 salarios mínimos legales mensuales vigentes.
20.4. Condiciones obligatorias
Es obligatorio usar un software de protección contra código malicioso (antivirus) en todos los computadores, dispositivos móviles, teléfonos inteligentes y cualquier tipo de equipo de cómputo empleado para acceder a los servicios y sistemas de información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Es obligatorio que el software contra código malicioso (antivirus) siempre se encuentre actualizado
con la versión más reciente de base de datos de virus
El software de antivirus siempre debe estar activo en los computadores y equipos de cómputo de la
PARQUES NACIONALES NATURALES DE COLOMBIA Es obligatorio aplicar los controles de seguridad que defina el Sistema de Gestión de Seguridad
de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA para evitar incidentes de seguridad de la información generados por la presencia de código malicioso en los equipos de cómputo, redes de comunicaciones, dispositivos de almacenamiento fijos o removibles de los computadores o dispositivos informáticos.
Los usuarios finales de los computadores no deben detener, desinstalar o alterar el funcionamiento del software de antivirus. Las modificaciones sobre el software de antivirus solo deben ser realizadas por personal formalmente autorizado por el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Es obligatorio realizar verificaciones periódicas automáticas a los computadores de la PARQUES NACIONALES NATURALES DE COLOMBIA, de acuerdo con el estándar que defina el Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
20.5. Usos no autorizados
Esta formalmente prohibida la utilización de software de código malicioso dentro de la infraestructura
tecnológica de la PARQUES NACIONALES NATURALES DE COLOMBIA. El Personal que cuenta con
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
autorización para atención de incidentes de seguridad de la información debe tramitar autorización
específica para la utilización de software de código malicioso con propósitos de tratamiento de
incidentes de seguridad en equipos de la PARQUES NACIONALES NATURALES DE COLOMBIA y
siempre en ambientes aislados no productivos.
20.6. Responsabilidades
Todos los funcionarios, contratistas o terceros que presten sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de la política de
antivirus y las demás políticas
de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
El Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA
es responsable de administrar el servicio de antivirus institucional
20.7. Seguimiento y control (monitoreo)
La política de antivirus debe ser revisada cada seis meses o cuando se presenten eventos que
obliguen a su actualización.
20.8. Procedimientos por dominio
A16.1.1 Responsabilidades y procedimientos para gestión de incidentes de seguridad de la información.
20.9. Controles por dominio
A 12.2.1 Controles contra códigos maliciosos
20.10. Controles asociados
No aplica
20.11. Estándares aplicables
Esquema de verificaciones automáticas para
antivirus. Controles de seguridad antiviru
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
21. Política de Controles para Cifrado de Datos
21.1. Alcance
Esta política aplica para cualquier información que sea gestionada, almacenada, trasmitida o
transportada usando la infraestructura de tecnología de información y comunicaciones, o medios de
almacenamiento de la PARQUES NACIONALES NATURALES DE COLOMBIA y que de acuerdo con
su nivel de clasificación o riesgos a los que puede estar expuesta debe ser cifrada para evitar su acceso
a personas o sistemas de información no autorizados.
21.2. Objetivo
Definir la gestión de controles de encripción para el envío o recepción de información en medios electrónicos protegiendo la confidencialidad, integridad y trazabilidad de la información.
21.3. Marco normativo
Ley 1273 de enero 5 de 2009 (Ley de delitos Informáticos), Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
Ley 594 de 2000 (Ley General de Archivo), Por medio de la cual se dicta la Ley General de
Archivos y se dictan otras disposiciones.
Ley 527 de 1999 (Acceso y Uso de Mensajes de datos), Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones
Decreto 333 de 19 de febrero de 2014 Ministerio de comercio, industria y turismo, Por el
cual se reglamenta el artículo 160 del decreto ley 19 de 2012
Decreto 1747 DE 2000, MINISTERIO DE DESARROLLO ECONOMICO, Por el cual se reglamenta parcialmente la Ley 527 de 1999, en lo relacionado con las entidades de certificación, los certificados y las firmas digitales
21.4. Condiciones obligatorias
La información con carácter reservado o que por los procesos en que se utilice esté expuesta a
riesgos de pérdida de confidencialidad se debe cifrar.
El Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES
NATURALES DE COLOMBIA determinará los mecanismos de cifrado de datos que mejor se
ajusten a las necesidades específicas de cada tipo de información.
Las contraseñas para cifrado de información se deben proteger y gestionar siguiendo los controles de seguridad definidos para la protección de contraseñas de la PARQUES NACIONALES NATURALES DE COLOMBIA
Para el cifrado de información se utilizaran algoritmos de cifrado asimétricos.
Los computadores portátiles, medios de almacenamiento removibles y medios de respaldo que
contengan información clasificada con carácter reservado deben ser sometidos a cifrado de datos.
Cuando se utilicen sistemas de intercambio de información como correos electrónicos, sistemas de transferencias de datos o sistemas de información para intercambio de datos con otras entidades del estado en los que viaje información con carácter reservado deben emplear mecanismos de cifrado autorizados por los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Al realizar el cifrado de información, se debe mantener copia de las llaves de cifrado en lugar seguro de forma que la recuperación de la información cifrada sea factible en caso de ausencia temporal o permanente del custodio de la información cifrada.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
21.5. Usos no autorizados
Está expresamente prohibido cifrar información con mecanismos no autorizados por el Sistema de
Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE
COLOMBIA
Está expresamente prohibido cifrar información sin la autorización del custodio de la información.
Está expresamente prohibido revelar las claves privadas de cifrado de información a
personal no autorizado.
21.6. Responsabilidades
Los responsables de información, procesos, procedimientos o actividades que impliquen procesamiento, transmisión o almacenamiento de información empleando medios electrónicos deben solicitar mediante los procedimientos definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA, el cifrado de la información clasificada como RESERVADA que esté bajo su responsabilidad.
Los responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA son los responsables de documentar, divulgar y actualizar los procedimientos para el cifrado de información incluidas las actividades de generación, gestión y protección de las claves empleadas para el cifrado de información.
21.7. Seguimiento y control (monitoreo)
La política de controles criptográficos debe ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización.
21.8. Procedimientos por dominio
A.10.1 Controles criptográficos
21.9. Controles por dominio
A.8.3.3 Transferencia de medios físicos
A.10.1.1 Política sobre el uso de controles criptográficos
A.10.1.2 Gestión de llaves
A.18.1.5 Reglamentación de controles criptográficos
21.10. Controles asociados
Gestión de llaves
21.11. Estándares aplicables
Procedimiento de controles criptográficos
Procedimientos para la generación, gestión y protección de las claves
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
22. Política de uso de dispositivos móviles
22.1. Alcance
Esta política se aplica para cualquier equipo o dispositivo móvil de propiedad de la PARQUES
NACIONALES NATURALES DE COLOMBIA y que por necesidad de los servicios que presta la
PARQUES NACIONALES NATURALES DE COLOMBIA, requiere acceso a la información, los
sistemas de información o los servicios de tecnología de información de la PARQUES NACIONALES
NATURALES DE COLOMBIA
22.2. Objetivo
Garantizar la seguridad de la información cuando se utilizan dispositivos móviles en las Instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA o cuando se usan para tener acceso a sistemas de información o servicios de procesamiento de información de la PARQUES NACIONALES NATURALES DE COLOMBIA aunque no se encuentren dentro de instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA.
22.3. Marco Normativo
Ley 1221 de 2008 “por la cual se establecen normas para promover y regular el teletrabajo
y se dictan otras disposiciones”
Decreto 0884 de 2012, por del cual se reglamenta la ley 1221 de 2008 y se dictan otra disposiciones
Guía Jurídica de Implementación del Teletrabajo de mayo de 2013, Ministerio del trabajo y la
seguridad social
ABCÉ del Decreto Reglamentario Teletrabajo, Ministerio del trabajo y la seguridad social
22.4. Condiciones obligatorias
Cualquier dispositivo móvil adquirido por la PARQUES NACIONALES NATURALES DE COLOMBIA debe ser sometido a pruebas de seguridad de la información que permitan certificar que su uso para tener acceso sistemas de información o servicios de procesamiento de información no representará un riesgo injustificado para la seguridad de la información
Los dispositivos móviles destinados a ser utilizados fuera de las instalaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA que deban tener acceso o que contengan información clasificada con carácter reservado (ver instructivo de clasificación de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA) deben estar configurados con mecanismos de control de acceso seguro que impidan su utilización en caso de pérdida o robo.
Los dispositivos móviles que contengan información clasificada con carácter reservado debe
tener implementado mecanismo de cifrado de datos.
Todo dispositivo móvil debe tener software actualizado y en correcto funcionamiento que
evite su contaminación con códigos maliciosos.
Todo dispositivo móvil debe tener software actualizado y en correcto funcionamiento que
permitan monitorizar y controlar la instalación de programas en el dispositivo
Todo dispositivo móvil debe tener su sistema operacional actualizado y con la versión más
actualizada posible de su software de seguridad.
La conexión de dispositivos móviles a las redes de comunicaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA desde redes de terceros debe utilizar canales seguros de comunicación que impidan el acceso no autorizado a información con carácter reservado. Los canales de acceso seguro son configurados por los administradores de sistemas de información.
En caso de pérdida o hurto de dispositivos móviles de la PARQUES NACIONALES NATURALES DE COLOMBIA, el responsable del dispositivo debe notificar a la mayor brevedad
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
posible a los responsables de áreas y procesos y a la autoridad competente para que se tomen las acciones necesarias para impedir el uso no autorizado del dispositivo.
El almacenamiento de información de la PARQUES NACIONALES NATURALES DE COLOMBIA en servicios públicos o gratuitos de almacenamiento de datos solo se debe realizar bajo autorización del responsabledel proceso y en cualquier caso la información a almacenar deber ser cifrada para su almacenamiento en dichos servicios
22.5. Usos no autorizados
La modificación de los controles de seguridad implantados en los dispositivos móviles no está
autorizada si ello implica un riesgo para la seguridad de la información de la PARQUES
NACIONALES NATURALES DE COLOMBIA
Solamente el personal técnico debidamente autorizado puede realizar instalación, desinstalación o
borrado de software en los dispositivos móviles de la PARQUES NACIONALES NATURALES DE
COLOMBIA.
22.6. Responsabilidades
Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables de cumplir la política de uso de dispositivos móviles.
Todos los funcionarios y contratistas de la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables de reportar a la mayor brevedad posible la pérdida o hurto de los dispositivos móviles bajo su responsabilidad
Los administradores de sistemas de información son responsables de coordinar y gestionar la
instalación de controles de seguridad en los dispositivos móviles.
22.7. Seguimiento y control (monitoreo)
La política de uso de dispositivos móviles debe ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización
Los responsables de procesos realizan seguimiento y control al cumplimiento de esta política.
22.8. Procedimientos por dominio
A.16.1.2 Reporte de eventos de seguridad de la información
A.16.1.5 Respuesta a incidentes de seguridad de la información
22.9. Controles por dominio
A.11.2.5 Retiro de activos
A.11.2.6 Seguridad de los equipos fuera de las instalaciones
A.12.2.1 Controles contra códigos maliciosos
22.10. Controles asociados
Controles de seguridad para dispositivos móviles
22.11. Estándares aplicables
Contraseña segura
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
23. Política de adquisición, desarrollo y mantenimiento de software
23.1. Alcance
Esta política aplicará para todo el personal que labore para la PARQUES NACIONALES NATURALES
DE COLOMBIA y para contratistas o terceros encargados con el fin de poder garantizar la adquisición,
el desarrollo y mantenimiento de los sistemas de información de manera adecuada.
23.2. Objetivo
Asegurar que el software sea adquirido o desarrollado con los controles de seguridad requeridos
en la protección de la integridad y confidencialidad de la información.
23.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral
4 Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las
facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su
función, en forma exclusiva para los fines a que están afectos.”
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice
“Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que
permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se
requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos
que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
23.4. Condiciones Obligatorias
Los requerimientos de seguridad deben ser identificados y acordados por los responsables de
áreas y procesos y el usuario final antes del desarrollo o la adquisición de los sistemas de
información.
Los responsables de áreas y procesos junto con los administradores de sistemas de información
son los encargados de la adquisición de software o del desarrollo del mismo, teniendo en cuenta
las necesidades expresas.
Los responsables de áreas y procesos junto con los administradores de sistemas de información deben seleccionar metodologías para adquisición y desarrollo de software que consideren mínimo los siguientes aspectos de seguridad y control: Control de acceso a la información, definición y autenticación de usuarios, mecanismos de detección de intrusos, definición de mecanismos de cifrado de datos, administración de la información y su confidencialidad e integridad, y administración de la seguridad física de la información.
Los responsables de áreas y procesos junto con los administradores de sistemas de información deben considerar en el desarrollo y adquisición de aplicaciones, los controles respectivos para la validación de datos de entrada, procesamiento, almacenamiento, hasta la salida de dichos datos, se deben considerar los controles apropiados que permitan el seguimiento de auditoría y el registro de actividades en el software. Así mismo deberá considerar en dicho desarrollo la gestión adecuada de derechos de autor, propiedad intelectual, confidencialidad y normas especiales aplicables al desarrollo de software en Colombia y a nivel internacional cuando se trate de contratistas extranjeros.
Se debe realizar mantenimiento periódicamente a los sistemas de información con el fin de
garantizar el correcto funcionamiento de los mismos.
23.5. Responsabilidades
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Esta política es responsabilidad de ser ejecutada por los responsables de áreas y procesos y los
administradores de sistemas de información con el fin de garantizar un desarrollo, adquisición y
mantenimiento de los sistemas de información de manera adecuada, asegurando así, la
confidencialidad e integridad de la información.
23.6. Seguimiento y control (monitoreo)
Esta política debe ser revisada cada seis meses o cuando se presenten eventos que obliguen a su actualización.
23.7. Procedimientos por dominio
A.14 Adquisición, desarrollo y mantenimiento de sistemas
23.8. Controles por dominio
A.14.1 Requisitos de seguridad de los sistemas de
información A.14.2 Seguridad en los procesos de
desarrollo y soporte A.14.3 Datos de prueba
23.9. Controles asociados
Controles para el desarrollo y adquisición de software
23.10. Estándares aplicables
Formatos de solicitud de adquisición, desarrollo o actualización de sistemas de información
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
24. Cuentas para acceso a sistemas de información
24.1. Alcance
Esta política de aplica a todos los funcionarios, contratistas y terceros que presten sus servicios en la
PARQUES NACIONALES NATURALES DE COLOMBIA y que por la naturaleza de su trabajo requieren
una cuenta de acceso a sistemas de información o a servicios de información y tecnología.
24.2. Objetivo
Definir las pautas generales para asegurar el uso controlado y seguro de las cuentas para el acceso a los
Sistemas de información y Servicios de la PARQUES NACIONALES NATURALES DE COLOMBIA
24.3. Marco normativo
Ley 734 de 2002, Por la cual se expide el Código Disciplinario Único. “Artículo 34, Deberes. Numeral
4 Utilizar los bienes y recursos asignados para el desempeño de su empleo, cargo o función, las
facultades que le sean atribuidas, o la información reservada a que tenga acceso por razón de su
función, en forma exclusiva para los fines a que están afectos.”
24.4. Condiciones obligatorias
Para tener acceso a un sistema de información o a un servicio de procesamiento de información, todo usuario debe tener una cuenta y un mecanismo de autenticación o verificación de la identidad.
El acceso a los sistemas de información o los servicios electrónicos de la PARQUES
NACIONALES NATURALES DE COLOMBIA es probado por el responsable del proceso al que
pertenece el usuario que
solicita la cuenta. Para la asignación de cuenta de usuario a un sistema de información o servicio se usa el
procedimiento de creación de cuentas de usuario del Sistema de Gestión de Seguridad de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
El responsable del proceso o del sistema de información debe determinar que privilegios se
deben configurar al usuario de acuerdo con la naturaleza del trabajo y funciones asignadas al
usuario.
El uso adecuado de la cuenta de usuario es una responsabilidad indelegable e intransferible del funcionario, contratista o tercero que presta sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA. Cada cuenta de usuario es única y de uso personal.
Toda cuenta de usuario debe ser asignada formalmente a una persona quién responderá por
su uso y acciones realizadas con la misma en el sistema de información o servicio.
Toda cuenta de usuario que no cuente con un responsable en un momento en el tiempo de manera temporal o definitiva debe ser inhabilitada para evitar su uso por parte de otros usuarios o sistemas de información. La cuenta debe permanecer inhabilitada mientras no esté disponible el responsable de la cuenta de usuario o se decida su inactivación definitiva.
Todas las acciones realizadas utilizando las cuentas de usuario deben ser registrada por los
sistemas de información o servicios.
Toda cuenta de acceso debe estar asociada a un mecanismo de verificación de identidad del usuario, se contraseña, sistema de control biométrico, certificado digital u otros mecanismos que permitan comprobar la identidad del usuario que utiliza la cuenta.
24.5. Usos no autorizados
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Está prohibido el préstamo de la cuenta de usuario a otros usuarios.
Está prohibido el uso de la cuenta de usuario para fines diferentes a los expresamente
autorizados al momento de su creación.
Está prohibido inhabilitar los controles de seguridad y registros de acciones de la cuenta de usuario.
24.6. Responsabilidades
Todos los funcionarios, contratistas y Terceros que presten sus servicios a la PARQUES NACIONALES NATURALES DE COLOMBIA son responsables del cumplimiento de esta política y demás políticas de seguridad de la información que adopta la Entidad.
Los responsables de los procesos informáticos o servicios son responsables de autorizar la asignación de cuentas de usuario a los funcionarios, contratistas o terceros que prestan sus servicios para la PARQUES NACIONALES NATURALES DE COLOMBIA
Los administradores de sistemas de información, responsables de áreas y procesos de la PARQUES NACIONALES NATURALES DE COLOMBIA son los encargados de coordinar el procedimiento de asignación de cuentas de usuario
24.7. Seguimiento y control (monitoreo)
La política de cuentas de usuario debe ser revisada cada seis meses o cuando se presenten
eventos que obliguen a su actualización.
24.8. Procedimientos por dominio
A 9.2.1 Registro y cancelación de usuarios
A 9.2.2 Procedimiento de Suministro de acceso a usuarios
24.9. Controles por dominio
A 8.1.3 uso aceptable de los activos
A 9.1.1 Política de control de acceso
A 9.2.3 Gestión de derechos de acceso privilegiado
A 9.2.5 Revisión de los derechos de acceso de usuario
A 9.2.6 Retiro o ajuste de los derechos de acceso
A 9.3.1 Uso de información de autenticación secreta
A 9.4.2 Procedimiento de ingreso seguro
A 9.4.3 Sistemas de gestión de contraseñas
A 12.4.1 Registro de eventos
A 12.4.2 Protección de la información de registro
A 12.4.3 Registros del administrador y del operador
24.10. Estándares aplicables
Estándar de contraseñas
Estándar de cuenta de usuario
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
25. Política de gestión de incidentes de seguridad de la información
25.1. Alcance
Esta política se aplica a funcionarios, contratista y terceros que prestan sus servicios la PARQUES
NACIONALES NATURALES DE COLOMBIA.
25.2. Objetivo
Proteger la integridad, disponibilidad y confidencialidad de la información de la PARQUES
NACIONALES NATURALES DE COLOMBIA, prevenir la perdida de servicios y cumplir con
requerimientos legales. Esta política establece los mecanismos de coordinación para dar respuesta a
los incidentes de seguridad de la información y habilita a la PARQUES NACIONALES NATURALES DE
COLOMBIA para una remediación rápida, recopilación de datos y reporte de los eventos que afectan la
infraestructura de información y tecnología.
25.3. Marco normativo
Ley 1273 de 2009 , “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”.
Componentes de Elementos Transversales del manual 3.1 Gobierno en Línea, actividad 3, el cual dice “Implementar un sistema de Gestión de TI, el cual establece la sostenibilidad y mejoramiento que permita articular el uso de la tecnología con los objetivos misionales de las entidades. Así mismo, se requiere una estrategia de monitoreo, de forma tal que se puedan establecer avances y correctivos que permitan la adopción de buenas prácticas y tendencias tanto locales como globales”.
25.4. Definiciones
Un incidente de seguridad de la información (“incidente”) es cualquier evento que daña o representa
una amenaza seria para toda o una parte de la infraestructura de información y tecnología (sistemas
de cómputo, sistemas de información, sistemas de telefonía), incluyen: pueden ser: : sustracción de
información, intrusión a sistemas de información, uso no autorizado de datos, denegación de servicios,
violación a las políticas de uso de servicios como correo, y otras actividades contrarias a las políticas
de uso adecuado de recursos de información y tecnología de la entidad, cambios no autorizados al
hardware, firmware, software o datos y los delitos definidos en la ley 1273 de 2009
25.5. Detalle
Cualquier funcionario, contratista, tercero puede reportar incidentes de seguridad de la información
que afecten la PARQUES NACIONALES NATURALES DE COLOMBIA.
Cada responsable de área o proceso de la PARQUES NACIONALES NATURALES DE
COLOMBIA debe identificar incidentes potenciales de seguridad de la información a través de
supervisión proactiva de los sistemas de información y tecnología de la entidad.
Cualquier incidente de seguridad de la información se debe registrar y se debe realizar tratamiento del mismo empleando el procedimiento de gestión de incidentes de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA
Cualquier dispositivo de uso personal como teléfonos inteligentes, computadores portátiles, tabletas, u otros dispositivos de cómputo que estén implicados en incidentes de seguridad de la información en la PARQUES NACIONALES NATURALES DE COLOMBIA pueden ser sometidos a cadena de custodia o protección para fines de investigación o evidencia ante procesos administrativos o legales, previa coordinación del procedimiento con el propietario del equipo.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Para prevenir la ocurrencia de incidentes de seguridad de la información la PARQUES NACIONALES NATURALES DE COLOMBIA aplicará los procedimientos de su sistema de gestión de seguridad de la información para llevar a cabo actividades de prevención de incidentes, supervisión y filtrado de anomalías que puedan afectar a la seguridad de la información o los recursos de información y tecnología de la Entidad.
En caso de ser requerido por autoridad competente o grupos especializados en el
tratamiento de incidentes de seguridad de la información la PARQUES NACIONALES NATURALES DE COLOMBIA puede suministrar el plan de respuesta o remediación específico para un incidente para que se evalúe su efectividad, solicitar apoyo, demostrar debida diligencia u otros propósitos definidos por la PARQUES NACIONALES NATURALES DE COLOMBIA
25.6. Responsabilidades
La unidad de informática es responsable de evaluar si los eventos que se reporten sobre los
servicios o sistemas de información se deben tratar como incidentes de seguridad de la información.
La Unidad de Informática es la dependencia responsable de dar respuesta, realizar el
aislamiento y recuperación de los accesos a sistemas de comunicaciones y cómputo afectados por
el incidente.
Cada responsable de área o proceso debe garantizar que los incidentes sean apropiadamente registrados y almacenados de acuerdo con el procedimiento de gestión de incidentes de seguridad.
Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA deben informar al responsable del área o proceso la
ocurrencia de incidentes
de seguridad de la información tan pronto como sea posible. Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES
NACIONALES NATURALES DE COLOMBIA deben informar a la Unidad de Informática cualquier debilidad de seguridad de la información o acción sospecha que observen en los servicios, sistemas de información o instalaciones de la Entidad.
25.7. Seguimiento y control (monitoreo)
La política de gestión de incidentes de seguridad de la información debe ser revisada cada seis
meses o cuando se presenten eventos que obliguen a su actualización.
El responsable del área o proceso realizará seguimiento y control al cumplimiento de esta política
25.8. Procedimientos por dominio
A 16.1.1. Responsabilidades y procedimiento de gestión de incidentes de seguridad
25.9. Controles por dominio
A 16.1.2 Reporte de eventos de seguridad de la información
A 16.1.3 Reporte de debilidades de seguridad de la información
A 16.1.4 Evaluación de eventos de seguridad de la información y decisiones sobre ellos
A 16.1.5 Respuesta a incidentes de seguridad de la información
A 16.1.6 Aprendizaje obtenido de los incidentes de seguridad de la información
A 16.1.7 Recolección de evidencia.
25.10. Controles asociados
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
No aplica
25.11. Estándares aplicables
No aplica
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
26. Politica de tratamiento de datos personales
26.1. Alcance
La política de protección de datos personales es aplicable a los datos personales registrados en
cualquier base de datos que los haga susceptibles de tratamiento por parte de la PARQUES
NACIONALES NATURALES DE COLOMBIA y según el alcance definido por la Ley 1581 de 2012 no
están exentos de su aplicación.
26.2. Objetivo
En cumplimiento a lo dispuesto en la Ley 1581 de 2012, reglamentada parcialmente por el Decreto 1377 de
2013 sobre protección de datos, la PARQUES NACIONALES NATURALES DE COLOMBIA establece
la siguiente política de tratamiento de datos personales con el propósito de que todas las personas
puedan conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en las
bases de datos o archivos a cargo de esta entidad.
26.3. Marco normativo
Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales
Decreto 1377 de 27 de junio de 2013, por el cual se reglamenta parcialmente la Ley 1581 de 2012.
26.4. Definiciones
Para el completo entendimiento y aplicación de la presente política se hará uso de las siguientes definiciones:
Aviso de Privacidad: Comunicación verbal o escrita generada por el Responsable, dirigida al Titular
para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de
las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas
y las finalidades del Tratamiento que se pretende dar a los datos personales.
Dato Personal: Cualquier información vinculada o que pueda asociarse a una o varias personas
naturales determinadas o determinables.
Datos Sensibles: Aquellos datos que afectan la intimidad del Titular o cuyo uso indebido pueden
generar su discriminación.
Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en
asocio con otros, realice el Tratamiento de datos personales por cuenta de La PARQUES
NACIONALES NATURALES DE COLOMBIA como Responsable de los datos.
Política de Tratamiento: Se refiere a este documento, como política de tratamiento de datos
personales aplicada por La PARQUES NACIONALES NATURALES DE COLOMBIA de conformidad
con los lineamientos de la legislación vigente en la materia de protección de datos personales.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en
asocio con otros, decida sobre la base de datos y/o el Tratamiento de los Datos. Para los efectos de
esta política, el Responsable es La PARQUES NACIONALES NATURALES DE COLOMBIA
Titular: Persona natural o jurídica cuyos datos personales sean objeto de Tratamiento por La
PARQUES NACIONALES NATURALES DE COLOMBIA en razón con las actividades misionales de la
PARQUES NACIONALES NATURALES DE COLOMBIA
Transferencia: Se refiere al envío por parte de La PARQUES NACIONALES NATURALES DE
COLOMBIA como responsable del Tratamiento o un Encargado de los datos personales a un tercero
dentro o fuera del territorio nacional para el tratamiento efectivo de datos personales.
Trasmisión: Se entiende como la comunicación de datos personales por parte del Responsable al
Encargado, ubicado dentro o fuera del territorio nacional, para que el Encargado, por cuenta del
Responsable, trate datos personales.
Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales
como la recolección, almacenamiento, uso, circulación o supresión.
El entendimiento de cualquier término que no se encuentre incluido dentro del anterior listado se
realizará de acuerdo a la legislación vigente, en especial a la Ley 1581 de 2012 y al Decreto 1377 de
2013.
26.5. Condiciones obligatorias
La PARQUES NACIONALES NATURALES DE COLOMBIA, deber realizar la administración y
tratamiento de unas bases de datos con la información de los ciudadanos que realizan cualquier tipo
de trámite o procedimi ento ante las Entidades de la PARQUES NACIONALES NATURALES DE
COLOMBIA, Los datos personales que recolecta y almacena la PARQUES NACIONALES NATURALES
DE COLOMBIA en sus bases de datos se utilizarán única y exclusivamente para el desarrollo de sus
funciones misionales y en tal virtud no requiere la autorización previa del titular para acceder a su
información de conformidad con lo dispuesto en el literal a) del artículo 10 de la Ley 1581 de 2012.
Datos personales de niños, niñas y adolescentes
En cumplimiento de su misión la PARQUES NACIONALES NATURALES DE COLOMBIA recibe
datos de niños, niñas y adolescentes que acceden a sus servicios. El suministro de datos personales
de niños, niñas y adolescentes es de carácter facultativo, tanto para ellos como para quienes actúen
a su nombre. La PARQUES NACIONALES NATURALES DE COLOMBIA velará por el tratamiento
adecuado de los datos personales de los niños, niñas y adolescentes y respetará en su tratamiento el
interés superior de aquellos, asegurando la protección de sus derechos fundamentales y, en lo posible,
teniendo en cuenta su opinión como titulares de sus datos personales.
26.6. Condiciones obligatorias
El tratamiento de los datos personales por parte de la PARQUES NACIONALES NATURALES DE
COLOMBIA se regirá por los siguientes principios rectores consagrados en el artículo 4 de la Ley 1581
de 2012 los cuales se trascriben a continuación:
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la Ley 1581 de 2012 es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la
Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo,
expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa
autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa,
exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales,
incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a
obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y
sin restricciones, información acerca de la existencia de datos que le conciernan;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de
la naturaleza de los datos personales, de las disposiciones de la Ley 1581 de 2012 y la Constitución.
En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o
por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros
medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para
brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la Ley 1581
de 2012;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o
Encargado del Tratamiento a que se refiere la Ley 1581 de 2012, se deberá manejar con las medidas
técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros
evitando su adulteración, pérd ida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos
personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la
infor mación, inclusive después de finalizada su relación con alguna de las labores que comprende el
Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello
corresponda al desarrollo de las actividades autorizadas en la Ley 1581 de 2012y en los términos de
la misma.
Los ciudadanos titulares de los datos personales contenidos en las bases de datos de la PARQUES
NACIONALES NATURALES DE COLOMBIA, les asiste los siguientes derechos, contenidos en el
artículo 8 de la Ley 1581 de
2012, los cuales son:
a) Conocer, actualizar y rectificar sus datos personales frente a los Responsables del Tratamiento o
Encargados del Tratamiento. Este derecho se podrá ejercer, entre otros frente a datos parciales,
inexactos, incompletos, fraccionados, que induzcan a error, o aquellos cuyo Tratamiento esté
expresamente prohibido o no haya sido autorizado;
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
b) Solicitar prueba de la autorización otorgada al Responsable del Tratamiento salvo cuando
expresamente se exceptúe como requisito para el Tratamiento, de conformidad con lo previsto en el
artículo 10 de la Ley 1581 de 2012;
Por ser la PARQUES NACIONALES NATURALES DE COLOMBIA una Entidad pública no requiere
autorización para el tratamiento de datos personales como lo establece el artículo 10 de la Ley 1581 de
2012
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será
necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
c) Ser informado por la PARQUES NACIONALES NATURALES DE COLOMBIA del Tratamiento o el Encargado del
Tratamiento, previa solicitud, respecto del uso que le ha dado a sus datos personales;
d) Presentar ante la Superintendencia de Industria y Comercio quejas por infracciones a lo dispuesto en la Ley
1581 de 2012y las demás normas que la modifiquen, adicionen o complementen;
f) Acceder en forma gratuita a sus datos personales que hayan sido objeto de Tratamiento.
Obligaciones de la PARQUES NACIONALES NATURALES DE COLOMBIA
En virtud de lo dispuesto en el artículo 17 de la Ley 1581 de 2012, son deberes de la PARQUES
NACIONALES NATURALES DE COLOMBIA para el tratamiento de los datos personales:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Solicitar y conservar, en las condiciones previstas en la Ley 1581 de 2012, copia de la respectiva
autorización otorgada por el Titular;
Por ser la PARQUES NACIONALES NATURALES DE COLOMBIA una Entidad pública no requiere
autorización para el tratamiento de datos personales como lo establece el artículo 10 de la Ley 1581
de 2012
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten
por virtud de la autorización otorgada;
d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
e) Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz,
completa, exacta, actualizada, comprobable y comprensible;
f) Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas las
novedades respecto de los datos que previamente le haya suministrado y adoptar las demás
medidas necesarias para que la información suministrada a este se mantenga actualizada;
g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;
h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo
Tratamiento esté previamente autorizado de conformidad con lo previsto en la Ley 1581 de 2012;
i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y
privacidad de la información del Titular;
j) Tramitar las consultas y reclamos formulados en los términos señalados en la Ley 1581 de 2012;
k) Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la
Ley 1581 de 2012y en especial, para la atención de consultas y reclamos;
l) Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión
por parte del Titular, una vez se haya presentado la reclamación y no haya finalizado el trámite
respectivo;
m) Informar a solicitud del Titular sobre el uso dado a sus datos;
Por ser la PARQUES NACIONALES NATURALES DE COLOMBIA una Entidad pública no requiere
autorización para el tratamiento de datos personales como lo establece el artículo 10 de la Ley 1581
de 2012
Artículo 10. Casos en que no es necesaria la autorización. La autorización del Titular no será necesaria cuando se trate de:
a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;
n) Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de
seguridad y existan riesgos en la administración de la información de los Titulares.
o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.
26.7. Responsabilidades
Todos los funcionarios, contratistas y terceros que presten sus servicios a la PARQUES NACIONALES
NATURALES DE COLOMBIA que en el desarrollo de sus tareas habituales u ocasionales que utilicen
información, servicios de tecnología de la información y comunicaciones o manipulen equipos
pertenecientes a la PARQUES NACIONALES NATURALES DE COLOMBIA, son responsables del
cumplimiento y seguimiento de la política de tratamiento de datos personales.
Parques Nacionales Naturales de Colombia
Calle 74 No. 11 - 81 Piso 3 Bogotá, D.C., Colombia
Teléfono: 353 2400 Ext.: 3110 www.parquesnacionales.gov.co
26.8. Seguimiento y control (monitoreo)
La política de protección de datos personales debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
26.9. Procedimientos por dominio
A 13.2.1 Políticas y procedimientos de transferencia de información
26.10. Controles por dominio
A 8.2.1 Clasificación de la información
A 10.1.1 Política sobre el uso de controles criptográficos
A 13.2.2 Acuerdos sobre transferencia de Información
A 13.2.4 Acuerdos de confidencialidad o de no divulgación
A 18.1.4 Privacidad y protección de información de datos personales
26.11. Estándares aplicables
No aplica
Parques Nacionales Naturales de Colombia
27. Política de clasificación de la información
27.1. Alcance
Esta política se aplica a toda la información de la PARQUES NACIONALES NATURALES DE
COLOMBIA contenida en cualquier tipo de medio físico, electrónico, visual, sonoros,
electromagnético o en otros tipos de soporte de almacenamiento
27.2. Objetivo
Asegurar que la información recibe un nivel de protección apropiado de acuerdo con su importancia para la
PARQUES NACIONALES NATURALES DE COLOMBIA.
27.3. Marco normativo
Constitución política de Colombia de 1991 Artículo 15. Ley 1712 de 2014 Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la
Información Pública Nacional y se dictan otras disposiciones.
Ley Estatutaria 1581 de 17 de octubre de 2012, Por la cual se dictan disposiciones
generales para la protección de datos personales.
Ley 1592 de 2012 Por medio de la cual se introducen modificaciones a la Ley 975 de 2005. Ley 1266 de 31 de diciembre de 2008, Por la cual se dictan disposiciones generales del
Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios, y la proveniente de terceros países y se dictan otras disposiciones.
Ley 1010 de 23 de enero de 2006, Por medio de la cual se adoptan medidas para prevenir,
corregir y sancionar el acoso laboral y otros hostigamientos en el marco de las relaciones de
trabajo.
Ley 975 de 2005, Por la cual se dictan disposiciones para la reincorporación de miembros de grupos armados organizados al margen de la ley, que contribuyan de manera efectiva a la consecución de la paz nacional y se dictan otras disposiciones para acuerdos humanitarios.
Ley 909 de 23 de septiembre de 2004, Por la cual se expiden normas que regulan el empleo
público, la carrera administrativa, gerencia pública y se dictan otras disposiciones.
Ley 734 DE 2002 de 5 de febrero de 2002, Por la cual se expide el Código Disciplinario Único. Ley 190 de 6 de junio de 1995, Por la cual se dictan normas tendientes a preservar la moralidad en la
Administración Pública y se fijan disposiciones con el fin de erradicar la corrupción administrativa.
Decreto 1377 de 27 de junio de 2013, Por el cual se reglamenta parcialmente la Ley 1581 de 2012.
Circular No .004 DE 2003, Departamento administrativo de la función pública, Archivo general
de la nación, Organización de las Historias Laborales.
Sentencia T-729 DE 2002, Habeas Data.
Sentencia C-326 de 1997 Corte Constitucional, CONTRATO DE PRESTACION
DE SERVICIOS.
Sentencia C-446/98, Formato único de hoja de vida para contratación con la
administración.
Sentencia No. T-473/92 Documento público/derecho de acceso a documentos
públicos/derecho de petición.
27.4. Definiciones
Datos Abiertos. En los términos de la Ley 1712 de 2014, son todos aquellos datos primarios o sin
procesar, que se encuentran en formatos estándar e interoperables que facilitan su acceso y
reutilización, los cuales están bajo la custodia de las entidades públicas o privadas que cumplen
con funciones públicas y que son puestos a disposición de cualquier ciudadano, de forma libre y
sin restricciones, con el fin de que terceros puedan reutilizarlos y crear servicios derivados de los
mismos;
Parques Nacionales Naturales de Colombia
Dato personal: De acuerdo con la ley 1581 de 2012: Articulo 3: Cualquier información vinculada
o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Dato personal Semiprivado: De acuerdo con la Sentencia T729 del 2002 de la corte
constitucional: “La información semi-privada, será aquella que por versar sobre información
personal o impersonal y no estar comprendida por la regla general anterior, presenta para su
acceso y conocimiento un grado mínimo de limitación, de tal forma que la misma sólo puede ser
obtenida y ofrecida por orden de autoridad administrativa en el cumplimiento de sus funciones o en
el marco de los principios de la administración de datos personales. Es el caso de los datos
relativos a las relaciones con las entidades de la seguridad social o de los datos relativos al
comportamiento financiero de las personas”.
De acuerdo con la Ley 1266 de diciembre 31 de 2008 Habeas Data: Es semiprivado el dato que
no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar
no solo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el
dato financiero y crediticio de actividad comercial o de servicios a que se refiere el Título IV de la
presente ley.
Dato personal Público, De acuerdo con la Sentencia T729 del 2002 de la corte constitucional:
“…: igualmente serán públicos, los datos sobre el estado civil de las personas o sobre la
conformación de la familia. Información que puede solicitarse por cualquier persona de manera
directa y sin el deber de satisfacer requisito alguno.”
Dato Privado: De acuerdo con la Sentencia T729 del 2002 de la corte constitucional: La
información privada, será aquella que por versar sobre información personal o no, y que por
encontrarse en un ámbito privado, só lo puede ser obtenida y ofrecida por orden de autoridad
judicial en el cumplimiento de sus funciones. Es el caso de los libros de los comerciantes, de los
documentos privados, de las historias clínicas o de la información extraída a partir de la inspección
del domicilio.
De acuerdo con la Ley 1266 diciembre 31 de 2008 Habeas Data h) Dato privado. Es el dato
que por su naturaleza íntima o reservada solo es relevante para el titular.
Dato personal Sensible: De acuerdo con la ley 1581de 2012: ARTICULO 5: Para los propósitos
de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o
cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen
racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a
sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier
partido político o que garanticen los derechos y garantías de partidos políticos de oposición así
como los datos relativos a la salud, a la vida sexual y los datos biométricos.
Documento de carácter Reservado: Aquellos que la Constitución y la ley hayan dado carácter
reservado. De acuerdo con la Ley 594 del 2000, Ley general de archivo: ARTÍCULO 27. Acceso y
consulta de los documentos. Todas las personas tienen derecho a consultar los documentos de
archivos públicos y a que se les expida copia de los mismos, siempre que dichos documentos no
tengan carácter reservado conforme a la Constitución o a la ley.
Documento público: De acuerdo con la sentencia T473-92 documento público/derecho de acceso a documentos públicos/derecho de petición: El documento público, es aquél otorgado por el funcionario público en ejercicio de su cargo o con su intervención. Se denomina INSTRUMENTO PUBLICO cuando consiste en un escrito autorizado o suscrito por el respectivo funcionario; se denomina ESCRITURA PUBLICA cuando es otorgado por un notario o quien haga sus veces y ha sido incorporado en el respectivo protocolo. El documento privado es, por exclusión, todo el que no reúna los requisitos para ser público
Información. Se refiere a un conjunto organizado de datos contenido en cualquier documento que
los sujetos obligados generen, obtengan, adquieran, transformen o controlen;
Ley 1712 de 2014. También se puede definir en los términos del modelo estándar de control interno como
Parques Nacionales Naturales de Colombia
“Conjunto de Elementos de Control, conformado por datos que al ser ordenados y procesados adquiere significado para los grupos de interés de la Entidad Pública a los que va dirigido. Hace parte fundamental de la operación de la Entidad al convertirse en insumo para la ejecución de los procesos y a su vez en producto de los mismos. Garantiza la base de la transparencia de la actuación pública, la Rendición de Cuentas a la Comunidad y el cumplimiento de obligaciones de información.”
Información Primaria: De acuerdo con el Modelo Estándar de Control Interno MECI 1000:2005,
adoptado mediante la ley 87 de 1993: Elemento de Control, conformado por el conjunto de datos
de fuentes externas provenientes de las instancias con las cuales la organización está en
permanente contacto, así como de las variables que no están en relación directa con la Entidad,
pero que afectan su desempeño.
Información pública clasificada. En los términos de la Ley 1712 de 2014 Es aquella información
que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito
propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso
podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias
y los derechos particulares o privados consagrados en el artículo 18 de la ley 1712 de 2014;
Información pública reservada. En los términos de la Ley 1712 de 2014 Es aquella información
que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de
acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad de los
requisitos consagrados en el artículo 19 de la ley
1712 de 2014;
Información Secundaria: De acuerdo con el Modelo Estándar de Control Interno MECI
1000:2005, adoptado mediante la ley 87 de 1993: Elemento de Control, conformado por el conjunto
de datos que se originan y/o procesan al interior de la Entidad Pública, provenientes del
ejercicio de su función. Se obtienen de los diferentes sistemas de información que soportan la
gestión de la Entidad Pública.
27.5. Condiciones obligatorias
El acceso a la información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe
ser autorizado por el responsable del proceso en el que se usa la información.
La información de la PARQUES NACIONALES NATURALES DE COLOMBIA debe servir a los propósitos de la Misión y funciones institucionales, cualquier uso diferente debe ser autorizado formalmente por el responsable del proceso en el que se encuentra la información.
La información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe
clasificar de acuerdo con los requisitos legales, origen y procesos en los que se utiliza la
información.
Para realizar la clasificación de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe utilizar el modelo de clasificación aprobado por el Sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
Toda la información administrativa de la PARQUES NACIONALES NATURALES DE COLOMBIA debe identificar su origen siguiendo los requerimientos del Modelo Estándar de Control Interno del Estado Colombiano: Información Primaria e Información Secundaria.
Toda la información de la PARQUES NACIONALES NATURALES DE COLOMBIA de acuerdo con su nivel de acceso y uso autorizado debe ser clasificada de acuerdo con las categorías adoptadas por el Estado Colombiano: Información con carácter reservado, información de carácter privado, Información pública y datos abiertos. Ver definiciones.
Toda información de la PARQUES NACIONALES NATURALES DE COLOMBIA de acuerdo con su contenido debe ser clasificada de acuerdo con las categorías adoptadas por el Estado Colombiano: Datos Personales, Datos Institucionales, Datos de Carácter Privado.
En cumplimiento de la Ley 1712 de 2014, la información institucional clasificada como pública
es pública, no puede ser reservada o limitada sino por disposición constitucional o legal.
En cumplimiento de la Ley 178 de 28 de diciembre de 1994, Convenio de Paris para la protección de la propiedad Industrial, se considera como información de carácter privado el secreto industrial y el secreto comercial Ver Definiciones
Parques Nacionales Naturales de Colombia
27.6. Usos no autorizados
La información con carácter reservado y la información de carácter privado no deben ser divulgadas a personas o procesos que no estén formalmente autorizados por el responsable de la información o del respectivo procesos
La información de la PARQUES NACIONALES NATURALES DE COLOMBIA no debe ser utilizada para propósitos diferentes al cumplimiento de la misión y funciones de la PARQUES NACIONALES NATURALES DE COLOMBIA
27.7. Responsabilidades
Los responsables de cada proceso de la PARQUES NACIONALES NATURALES DE COLOMBIA deben aplicar el modelo de clasificación de la Información aprobado por el Sistema de gestión de seguridad de la información de la PARQUES NACIONALES NATURALES DE COLOMBIA.
De acuerdo con el nivel de clasificación que reciba cada tipo de información el responsable
del proceso debe definir las personas o procesos que tendrán acceso a la información
De acuerdo con el nivel de clasificación de que reciba la información el responsable del proceso debe seleccionar los mecanismos de protección de acceso a la información que reduzcan los riesgos de pérdida de confidencialidad de la información
27.8. Seguimiento y control (monitoreo)
La política de clasificación de la información debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
27.9. Procedimientos por dominio
A 8.2.1 Clasificación de la Información
27.10. Controles por dominio
A 8.1.1 Inventario de Activos
A 8.1.2 Propiedad de los Activos
A 8.1.3 Uso Aceptable de los Activos
A 13.2.4 Acuerdos de Confidencialidad o de no Divulgación
A 8.2.2 Etiquetado de la Información
A 8.2.3 Manejo de activos
27.11. Controles asociados
No aplica
27.12. Estándares aplicables
Modelo de clasificación de la Información de la PARQUES NACIONALES NATURALES DE COLOMBIA
01/10/201
01/10/2015
Parques Nacionales Naturales de Colombia
28. Politica para la gestion de vulnerabildades sobre los componentes de la infraestructura tecnologica
28.1. Alcance
La política de gestión de vulnerabilidades aplica sobre todos los dispositivos de la infraestructura
tecnológica de la PARQUES NACIONALES NATURALES DE COLOMBIA así mismo como
configuraciones, software y/o servicios instalados sobre los mismos.
28.2. Objetivo
Definir los lineamientos para la identificación, análisis y remediación de las
vulnerabilidades en los componentes de la infraestructura tecnológica de la PARQUES
NACIONALES NATURALES DE COLOMBIA.
28.3. Marco normativo
Decreto 1377 de 2013 “Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012”.
Ley 603 de 2000 “Esta ley se refiere a la protección de los derechos de autor en Colombia. Recuerde el software es un activo, además está protegido por el Derecho de Autor y la Ley 603 de 2000 obliga a las empresas a declarar si los problemas de software son o no legales. Ver esta ley”.
Ley estatutaria 1266 del 31 de diciembre de 2008 “Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Ver esta ley”.
Ley 1273 del 5 de enero de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ver esta ley”.
Ley 1341 del 30 de julio de 2009 “Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones”.
Ley estatutaria 1581 de 2012 “Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la República y la Sentencia C-748 de 2011 de la Corte Constitucional”.
28.4. Definiciones
Sistema de información: Cualquier equipo de cómputo o telecomunicaciones, sistema o subsistema interconectado o no conectado usado para la adquisición, almacenamiento, manipulación, gestión, movimiento, control, despliegue, conmutación, intercambio, transmisión o recepción de voz, datos, vídeo en formas análogas o digitales así como el software, firmware o hardware que forme parte del sistema.
Software: Programa de computador.
Solución de errores conocidos: Serie de pasos previamente establecidos que permiten
resolver un problema en un equipo tecnológico o un Software
Activo: Componente físico o lógico relacionado con la información y sus procesos de tratamiento, y que tiene valor para la empresa. La entidad asigna un valor a cada activo que representa el nivel de importancia que tiene el activo en el proceso del negocio.
Vulnerabilidad: Debilidad o defecto en las Tecnologías de Información que hace que la seguridad (en términos de Confidencialidad, Integridad y Disponibilidad) de un activo sea susceptible de ser comprometida.
Vulnerabilidades Potenciales: Vulnerabilidades potenciales incluyen todas las vulnerabilidades que no podemos confirmar existir. La única manera de verificar la existencia de estas vulnerabilidades sería llevar a cabo una exploración intrusiva en su red, lo que podría resultar en una denegación de servicio. Esto está totalmente en contra de nuestra política.
01/10/2015
Parques Nacionales Naturales de Colombia
Amenaza: Un agente representa una amenaza para un sistema cuando dicho sistema
tiene una vulnerabilidad que un atacante puede explotar para obtener un beneficio.
Riesgo: Probable ocurrencia de que un atacante explote un fallo de seguridad en un activo
determinado, en base a las amenazas existentes y al impacto potencial que representaría para el
negocio de la compañía.
Confidencialidad: Garantía de que únicamente accederán a la información los elementos
autorizados para ello, y que dichos elementos no van a convertir esa información en disponible para
otras entidades.
Integridad: Garantía de que la información únicamente puede ser modificada por elementos
autorizados asegurando métodos de proceso exactos y completos.
Disponibilidad: Garantía de que la información y los activos relacionados deben estar accesibles a elementos autorizados en tiempo, modo y lugar adecuado.
28.5. Condiciones obligatorias
Es requerido que cada uno de los responsables de la plataforma tecnológica tenga un
inventario actualizado de los activos de información.
Para realizar la gestión de vulnerabilidades de la PARQUES NACIONALES NATURALES DE COLOMBIA se debe utilizar el procedimiento de Gestión de vulnerabilidades “PNN_PRO_Gestion_de_Vulnerabilidades”, en el cual se describen todos los pasos para identificar, analizar y remediar los problemas de seguridad asociados.
El responsable o custodio de los activos de información debe identificar previamente el nivel de
riesgo asociado a cada activo.
28.6. Usos no autorizados
Las vulnerabilidades identificadas y clasificadas como urgentes y las cuales afectan la confidencialidad, integridad o disponibilidad no deben ser publicadas o conocidas por personal que no haga parte al plan de remediación.
los responsables y/o conocedores de los problemas de seguridad no deben hacer uso malicioso
de los documentos o comunicados de incidentes de seguridad o vulnerabilidades.
28.7. Roles y Responsabilidades
Áreas de infraestructura tecnológica
Garantizar la disponibilidad y funcionalidad de la infraestructura tecnológica objeto del
escaneo de vulnerabilidades.
Aprobar el plan de trabajo y asegurar el cumplimiento de los pre-requisitos para su ejecución.
Solicitar la suspensión de escaneos cuando se detecte alguna falla en el componente.
Informar a Seguridad de la Información la necesidad de la reprogramación de las pruebas con su
debida justificación.
Realizar análisis de riesgos de las vulnerabilidades detectadas.
Elaborar, Reportar, ejecutar (Instalar solución de seguridad) y dar cumplimiento al plan de
remediación para las vulnerabilidades existentes.
Evaluar, justificar y reportar los falsos positivos.
Reportar a Seguridad de la Información las vulnerabilidades solucionadas teniendo en cuenta el
plan de remediación.
Reportar a Seguridad de la información de la incompatibilidad de las soluciones de seguridad
01/10/2015
Parques Nacionales Naturales de Colombia
Seguridad de la información
Identificar la necesidad de iniciar un análisis de vulnerabilidades por:
Solicitudes de la Alta Gerencia o de los custodios de los Activos de Información tecnológicos
Cambio significativo en un componente de infraestructura tecnológica.
Cumplimiento regulatorio.
Preparar el plan de trabajo a ser ejecutado e informar al custodio del componente de
infraestructura tecnológica.
Aprobar el plan para el escaneo de vulnerabilidades.
Determinar los componentes que serán objeto de gestión de vulnerabilidades.
Determinar las acciones necesarias ante posibles incidentes durante la ejecución de escaneos.
Revisar y garantizar el buen funcionamiento de la herramienta de escaneo
Ejecutar el procedimiento para la gestión de vulnerabilidades. Analizar, consolidar, recomendar y generar informes de las vulnerabilidades detectadas.
Hacer seguimiento a los planes de remediación y medidas de control correspondientes
de las vulnerabilidades reportadas.
Mantener actualizado el inventario de los componentes de la infraestructura tecnológica.
COLABORADORES Y TERCERAS PARTES
Cumplir con lo descrito en esta política
28.8. Seguimiento y control (monitoreo)
La política de gestión de vulnerabilidades debe ser revisada cada seis meses o cuando se
presenten eventos que obliguen a su actualización.
28.9. Procedimientos por dominio
PNN_PRO_Gestion_de_Vulnerabilidades_v1.0
28.10. Controles por dominio
A 12.1 Tratamiento correcto de las
aplicaciones. A 12.2 Controles
Criptográficos
A 12.4 Seguridad de los archivos de sistemas.
12.5.2. Revisión técnica de los cambios en el sistema operativo
A 12.6.1 Control de las vulnerabilidades
técnicas. A 8.2.3 Manejo de activos
28.11. Controles asociados
No aplica
28.12. Estándares aplicables
No aplica
01/10/2015
Parques Nacionales Naturales de Colombia
29. Sistema de clasificacion de riesgos
Introducción.
El sistema de clasificación de riesgos es un elemento básico para el establecimiento de medidas de
seguridad informática. Identifica, además, algunas medidas básicas que deben adoptarse en
cumplimiento de la normativa, de acuerdo con la clasificación de riesgo que se asigne a cada sistema.
Productos importantes que se derivan del mismo son:
Definición de las responsabilidades y roles de cada integrante de la organización, especialmente del
“dueño”, “usuario-administrador de línea” y “desarrollador” con respecto a la clasificación del
riesgo.
Formalización del proceso de identificación y clasificación de riesgos para cada sistema y la
consecuente actualización de tal clasificación.
La estructuración de los riesgos a partir de los aspectos “confiabilidad”, “continuidad” y “confidencialidad”, los cuales a su vez se subdividen de acuerdo con su sensitividad en “críticos”, “sensitivos” y “no sensitivos”.
Para cada relación de aspecto-clase de sensitividad permite identificar y definir medidas de
seguridad específicas.
29.1. Grupo Meta
Todas las dependencias de la PARQUES NACIONALES NATURALES DE COLOMBIA relacionadas
con el desarrollo y administración de los sistemas automatizados (sean de “usuario final” o
desarrollados profesionalmente por funcionarios de la PARQUES NACIONALES NATURALES DE
COLOMBIA o adquiridos externamente)
29.2. Propósito del Sistema de Clasificación de Riesgos
Proveer un punto de referencia para la clasificación de los sistemas de información en producción, así
como los nuevos sistemas que hayan de constituirse, con respecto a la “sensitividad” al riesgo,
con el objeto de determinar medidas de seguridad básica y obligatoria a ser tomadas en cuenta, sin
detrimento de medidas específicas que se estimen prudentes para cada caso particular.
29.3. Responsabilidades
El “dueño” de los sistemas de información es el principal responsable de la correcta clasificación de
riesgo de sus sistemas de información y de hacer revisiones periódicas de esta clasificación.
El desarrollador es conjuntamente responsable de que los sistemas de información en desarrollo
incorporen las medidas de seguridad correspondientes al nivel de clasificación de riesgo establecido.
El usuario-administrador de línea es conjuntamente responsable de la revisión periódica de la
clasificación de riesgo.
29.4. 29.4. Conceptos Básicos
Amenazas:
Son ocurrencias que pueden tener consecuencias desventajosas, o daño para la Institución. Estas consecuencias pueden incluir lo siguiente: un efecto negativo en la confiabilidad, continuidad y confidencialidad del procesamiento automatizado de datos, el cual puede resultar en una perturbación del negocio, en un daño financiero y en una imagen negativa, afectando por consiguiente la posición competitiva del banco.
Las amenazas pueden ocurrir de distintas formas: consciente o inconscientemente, con o sin violencia, causadas por personas o no, llevadas a cabo por el personal o por terceras personas (por ejemplo fraudes por computadoras, “hacking” por computadora, mal funcionamiento de las computadoras, inund aciones, errores inadvertidos, otros)
01/10/2015
Parques Nacionales Naturales de Colombia
Riesgos:
Probabilidad de que una amenaza ocurra, medido por el valor del daño esperado como consecuencia de éste
Medidas de seguridad:
Las medidas de seguridad son criterios que se establecen para limitar la ocurrencia de riesgos, y deben
ser congruentes entre sí. Pueden clasificarse como sigue:
De acuerdo con su objetivo
Medidas para resguardar la confiabilidad
Medidas para resguardar la confidencialidad
Medidas para reguardar su confidencialidad
De acuerdo a su operación
Preventivas (para prever incidentes de seguridad)
Represivas : detectivas y correctivas Las detectivas detectan el incidente y limitan el daño Las correctivas son establecidas para corrección y prevención de repetición
De acuerdo con el tipo:
Técnicas
Físicas: medidas de seguridad física como candados, computadoras físicamente separados, recintos seguros.
Lógicas: medidas de seguridad en sistemas de aplicación, también llamadas medidas de seguridad programadas.
Organizacionales: segregación de funciones, definición de responsabilidades,
lineamientos, procedimientos, contratación.
Sensitividad al riesgo
Considera tres aspectos de seguridad:
Confiabilidad
La sensitividad está determinada de acuerdo con el daño posible para la PARQUES
NACIONALES NATURALES DE COLOMBIA, como resultado de una operación del sistema de
información realizada en forma incorrecta, incompleta, impropia o inoportuna.
01/10/2015
Parques Nacionales Naturales de Colombia
Continuidad.
La sensitividad está determinada de acuerdo al posible daño para la PARQUES NACIONALES
NATURALES DE COLOMBIA, como resultado de la interrupción de la disponibilidad de los sistemas
de información.
Confidencialidad.
La sensitividad está determinada de acuerdo al posible daño para la PARQUES NACIONALES
NATURALES DE COLOMBIA, como resultado del conocimiento no autorizado de datos o información
sensitivos.
Las siguientes clases de sensitividad se han definido para cada uno de los aspectos de sensitividad señalados:
1. Crítica
2. Sensitiva 3. No Sensitiva
Criterios de clasificación
Los criterios de clasificación establecen la relación existente entre cada clase de sensitividad y cada
uno de los aspectos de sensitividad especificados anteriormente.
Criterios de clasificación con respecto a la Confiabilidad
Crítico.
La categoría confiabilidad-crítica incluye los sistemas y subsistemas automatizados utilizados
para iniciar transacciones que pueden resultar en desventajas, problemas significativos y otros para
la PARQUES NACIONALES NATURALES DE COLOMBIA, los cuales no pueden ser reversados o que
pueden revertirse solo con gran dificultad.
Estas desventajas pueden ser:
Que la PARQUES NACIONALES NATURALES DE COLOMBIA adquiera obligaciones no
deseables o emita valores erróneamente.
La actualización no deseada de programas o datos, que pueden repercutir negativamente en la concreción de negocios importantes o comprometer la integridad de los datos debido a que no son correctos, completos y oportunos.
Los siguientes criterios de clasificación son importantes:
Transacciones que pueden ser iniciadas en un corto espacio de tiempo (en forma
manual o automatizada):
Que pueden involucrar montos financieros significativos, individualmente o en conjunto. Que pueden ser rápidamente implementadas de forma automática luego de su iniciación.
Con las que la PARQUES NACIONALES NATURALES DE COLOMBIA debe asumir
de inmediato riesgos u obligaciones externas.
Las tablas de control o seguridad importantes son actualizadas y entran en funcionamiento
de inmediato
01/10/2015
Parques Nacionales Naturales de Colombia
Sensitivo.
La categoría confiabilidad-sensitiva incluye los sistemas y subsistemas automatizados que procesan
las transacciones, las que pueden resultar en desventajas, problemas y otros para la PARQUES
NACIONALES NATURALES DE COLOMBIA.
Los siguientes criterios de clasificación son importantes:
Transacciones financieras iniciadas o procesadas, o actualización de tablas de control y
seguridad, los cuales no implican un nivel de riesgo tan significativo para ser consideradas como críticas, porque: El monto o riesgo está limitado.
Entre el momento de la iniciación e implementación hay oportunidad para detectar y
reversar errores o datos no exactos.
Las consecuencias no trascienden de la PARQUES NACIONALES NATURALES DE
COLOMBIA y pueden ser reversadas.
No sensitivo.
La categoría confiabilidad-no sensitiva incluye los sistemas y subsistemas que no califican dentro
de las dos categorías anteriores y que no son críticos desde el punto de vista de seguridad.
La siguiente tabla resume las variables de clasificación para los sistemas clasificados como críticos y
sensitivos desde el punto de vista de Confiabilidad.
01/10/2015
Parques Nacionales Naturales de Colombia
30. Bibliografía
Congreso de la República de Colombia, Constitución Política de Colombia 1991
Congreso de la República de Colombia, Ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales.
ICONTEC, Norma técnica Colombiana NTC ISO/IEC 27001, Sistemas de gestión de seguridad de la información.
ISC2, Guía Oficial de certificación en seguridad CISSP
República de Colombia, Norma MECI 1000:2005, Modelo Estándar de Control Interno