Politica de Seguridad Del A Informacion

POLTICA DE
SEGURIDAD DE LA
INFORMACIN DEL
INCODER
L i be
r tad
y Ord e n
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Contenido
1
1.1
1.2
4
1.3
1.4
2
5
2.1
6
2.2
3
7
3.1
4.
7
4.1
8
4.2
5.
9
10
5.1
10
5.2
10
5.3
11
INTRODUCCIN ...................................................... 4
Objetivo.................................................................... 4
Trminos y definiciones.................................................
Alcance .................................................................... 5
Estructura de la poltica ................................................
GESTIN Y TRATAMIENTO DE ACTIVOS
DE INFORMACIN .................................................. 6
Principal concepto de activos de informacin ...................
Incidente de seguridad............................................... 7
POLTICA DE SEGURIDAD DE LA INFORMACIN .........
Directrices de la Direccin en seguridad de la informacin.
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD
DE LA INFORMACIN............................................... 8
Organizacin interna...................................................
Dispositivos para movilidad y el teletrabajo .....................
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS .
Antes de la contratacin.............................................
Durante la contratacin y/ o empleo .............................
Terminacin o cambio de empleo ................................
6.
GESTIN DE ACTIVOS ........................................... 11
6.1 Responsabilidad sobre los activos ................................
11
6.2 Clasificacin de la informacin ...................................
12
7.
DE soportes
ACCESOS
........................................
6.3 CONTROL
Manejo de los
de almacenamiento
..................
16
16
7.1 Requisitos de negocio para el Control de acceso............
16
7.2 Gestin de acceso de usuario .....................................
17
7.3 CIFRADO
8.
Responsabilidades
...............................................................
del usuario..................................... 20
19
8.1 Controles criptogrficos ...............................................
7.4 Control de acceso a sistemas y aplicaciones .................
20
9.
LA SEGURIDAD FSICA Y AMBIENTAL .......................
19
20
9.1 reas seguras ..........................................................
20
9.2
Seguridad de los Equipos...........................................
1.
Responsabilidades
y Procedimientos de operacin ..........
24 25
10
SEGURIDAD
EN cdigo
LA OPERATIVA
2.
Proteccin
contra
malicioso ................................
..............................
25 26
10.3 Copias de Seguridad ................................................
27
4.
Registro de actividad y supervisin ...............................
28
5.
Control de software en explotacin ..............................
29
INCODER
6.
7.
Gestin de vulnerabilidades tcnicas ............................

29
Consideraciones de las auditoras de los sistemas
de informacin .........................................................
29
11.
SEGURIDAD DE LAS TELECOMUNICACIONES ..........

29
1.
12.
Gestin
ADQUISICIN,
de la seguridad
DESARROLLO
en las redes...........................
Y MANTENIMIENTO
29
DE LOS SISTEMAS DE INFORMACIN .....................
32
2.
Intercambiodedeseguridad
informacin
consistemas
partes externas..............
1.
Requisitos
de los
de informacin....
30
32
2.
Seguridad en los procesos de desarrollo y soporte ..........
33
12.3 Los datos de prueba ..................................................
34
13.
RELACIONES CON LOS PROVEEDORES ...................

34
1.
informacin DE
en relacin
14. Seguridad
GESTIN de
DElaINCIDENTES
SEGURIDAD
con INFORMACIN
los proveedores ..................................................
DE
................................................ 35
14.1 34
Gestin de incidentes de seguridad de la informacin
2.
de................................................................
la prestacin de servicios por proveedores.....35
yGestin
mejoras
35
15.
ASPECTOS DE SEGURIDAD DE LA
INFORMACIN EN LA GESTIN DE LA
CONTINUIDAD
DEL
NEGOCIO
.......................................................
15.1 Continuidad
de la seguridad de la Informacin ..............
37
37
15.2 Redundancias...........................................................
39
15.3 Disponibilidad de instalaciones para el procesamiento de la
informacin .............................................................
39
16.
39
1.
CUMPLIMIENTO......................................................
Cumplimiento de los requisitos legales y contractuales .....
2.
Revisiones de la seguridad de la informacin ................
Este documento est basado en las siguientes normas y

39
estndar nacionales e internacionales:
Norma
41 ISO 27000 27001 Versin 2013 - Seguridad de la
Infor- macin.
Norma ISO-17799 Versin 2005 Estndar Internacional Para

la Administracin de la Seguridad.
NTC 5254 - Norma Tcnica Colombiana de Gestin de Riesgo.
Ac- tualizada y remplazada en 2011 por la Norma Tcnica ISO
31000
INCODER
1 INTRODUCCIN
En ejercicio de las funciones sealadas en el numeral 14 del
Artculo 12 del Decreto 4801 de 2011 se aprueba la primera
Poltica de Seguridad de la Informacin con base en las
actualizaciones sufri- das por la norma ISO/IEC 27002 Versin
2005.
Para la Direccin Tcnica de Informacin y Tecnologa, es
primordial contar con un Manual de Polticas de Seguridad de la
Informacin, para mantener todos los sistemas de informacin
funcionando de manera ptima, en un entorno que sirva para
soportar los procesos administrativos de las diferentes reas,
por medio de la ejecucin de un conjunto de acciones
previamente definidas y conocidas por funcionarios claves, que
soportan toda la infraestructura de la informacin del
INCODER.
Con esta poltica se busca garantizar el servicio de las TICs
cuando fuese necesario, tratando de identificar, evaluar, gestionar
y minimizar cualquier tipo de riesgo relacionado con seguridad,
polticas y/o procedimientos que se tienen en la Entidad.
1.1
Objetivo
Presentar una poltica de uso adecuado de la tecnologa para
el procesamiento de la informacin. Establecer una cultura e
indicar el conjunto de instrucciones o normas generales
necesarias para la
operacin y buscar mejor disponibilidad, integridad y

confiabilidad de la informacin procesada por los diferentes
sistemas de informacin del Incoder.
Este documento describe el uso adecuado de los servicios,
aplicativos, equipos de cmputo y la red Institucional.
1.2
Trminos
definiciones
Confidencialidad: Se refiere a que la informacin solo puede

ser conocida por individuos autorizados. Existen infinidad de
posibles ataques contra la privacidad, especialmente en la
comunicacin de los datos. La transmisin a travs de un medio
presenta mltiples oportunidades para ser interceptada y copiada:
las lneas pinchadas la intercepcin o recepcin electromagntica
no autorizada o la simple intrusin directa en los equipos donde la
informacin est fsicamente almacenada.
Integridad: Se refiere a la seguridad de que una informacin no
ha sido alterada, borrada, reordenada, copiada, etc., bien
durante el proceso de transmisin o en su propio equipo de origen.
Es un riesgo comn que el atacante al no poder descifrar un
paquete de informacin y, sabiendo que es importante,
simplemente lo intercepte y lo borre.
INCODER
Disponibilidad: La disponibilidad de la informacin se refiere a

la seguridad que la informacin pueda ser recuperada en el
momento que se necesite, esto es, evitar su prdida o bloqueo,
bien sea por ataque doloso, mala operacin accidental o
situaciones fortuitas o de fuerza mayor.
Activo de informacin: Un activo en relacin a la presente
poltica de seguridad de la informacin, se refiere a cualquier
informacin o sistema relacionado con el tratamiento de la misma
que tenga valor para el INCODER, incluyendo bases de datos,
documentacin, manuales, software, hardware, contratos de
equipo de comunicaciones, servicios informticos y de
comunicaciones, utilidades generales como por
ejemplo
calefaccin, iluminacin, energa y aire acondicionado y las
personas, quienes los generan, transmiten y destruyen informacin.
Todos los activos debern estar claramente identificados
manteniendo un inventario con los ms importantes.
Seguridad de la informacin: Es el conjunto de medidas
preventivas y correctivas para proteger la informacin manteniendo
la confidencialidad, disponibilidad e integridad de la misma.
Virus: Son programas creados para infectar sistemas y otros
programas crendoles modificaciones y daos que hacen que
estos funcio- nen incorrectamente.
1.3
Alcance
La presente Poltica de Seguridad de la Informacin se aplica a las
informaciones institucionales, informaciones exteriores de clientes,
y de servicios por terceros, en cumplimiento de las disposiciones
legales vigentes, con el objeto de gestionar adecuadamente la
seguridad de la informacin, los sistemas informticos y el
ambiente tecnolgico del Incoder.
Las Polticas de Seguridad de la Informacin contenidas en este
documento, son mandatos generales, de obligatorio
cumplimiento por todos los funcionarios, contratistas y terceras
partes, que presten sus servicios al INSTITUTO COLOMBIANO
DE DESARROLLO RURAL INCODER.
1.4 Estructura de la poltica

Este documento de poltica se divide en dos partes, y guarda la
siguiente estructura:
Dos captulos introductorios, con los trminos generales y el
estable- cimiento de la evaluacin y el tratamiento de los riesgos.
Catorce dominios, 35 objetivos de control y 114 controles
de acuerdo a lo estipulado en la norma ISO27000 Versin
2013.
INCODER
2 GESTIN Y TRATAMIENTO DE
ACTIVOS DE INFORMACIN
2.1
Principal
informacin
concepto
de
activos
de
Los activos de informacin se clasifican para indicar la

necesidad, las prioridades y el grado esperado de proteccin al
manejar la informacin. Por lo anterior el Incoder debe definir
los controles para salvaguardar la informacin creada, procesada,
transmitida y/o almacenada de sus procesos, con el fin de
minimizar impactos finan- cieros, operativos y/ o legales debido al
uso incorrecto de la misma.
La Informacin que el INCODER utilice para el desarrollo de
sus objetivos tiene asignado un responsable, quin la utiliza y es
el que responde por su correcto tratamiento. As, l toma las
decisiones que son requeridas para la proteccin de su
informacin y determina quines son los usuarios y sus privilegios
de tratamiento.
Cada responsable de la informacin debe cuidar y vigilar su
correc- to tratamiento, los lugares donde reside y los usuarios de
la misma. Dichos usuarios deben demostrar una necesidad de
negocio para su acceso, el cual debe ser vigilado por el
responsable. La Informa- cin provista por los clientes,
proveedores, terceros, y funcionarios es privada y su tratamiento
dentro de las premisas del INCODER est enmarcado para los
fines que fue obtenida.
INCODER
El Incoder provee los medios necesarios para asegurarse de
que cada Usuario preserve y proteja los activos de informacin
de una manera consistente y confiable. Cualquier persona que
intente inha- bilitar, vencer o sobrepasar cualquier control de
Seguridad de la In- formacin en forma no autorizada ser sujeto
de las acciones legales correspondientes.
Los recursos de Informacin del INCODER son exclusivamente
para propsitos de la organizacin y deben ser tratados como
activos de- dicados a proveer las herramientas para realizar el
trabajo requerido.
El Incoder promueve el buen uso de los recursos de Informacin,
con- servando el derecho a la intimidad, la privacidad, el habeas
data, y la proteccin de los datos de sus propietarios.
El INCODER, se reserva el derecho de restringir el acceso a
cualquier Informacin en el momento que lo considere conveniente.
2.2 Incidente de seguridad

Se deber notificar a la Direccin Tcnica de Informacin y
Tecnolo- ga:
En caso de un evento adverso en la computadora asignada, o
en la red del Instituto.
Cuando exista la sospecha o el conocimiento de que
informacin confidencial o reservada ha sido revelada,
modificada, alterada o borrada sin la autorizacin.
Cualquier incidente generado durante la utilizacin u operacin

de los activos de tecnologa de informacin del Incoder.
La Direccin Tcnica de Informacin y Tecnologa, tiene
establecidas las responsabilidades y procedimientos que aseguren
una respuesta rpida, ordenada y efectiva frente a los incidentes
de seguridad de la informacin que se llegasen a presentar en el
Instituto.
3 POLTICA DE
SEGURIDAD DE LA
INFORMACIN
3.1 Directrices de la Direccin en seguridad de la
informacin.
Objetivo: Dar las directrices para la entidad en lo relacionado
con Seguridad de la Informacin.
3.1.1 Conjunto de polticas para
informacin
la
seguridad de la
El Incoder se compromete a producir, proveer y divulgar

informacin y conocimiento confiable y oportuno preservando
la confidencialidad, integridad y disponibilidad de la informacin
misional de acuerdo a las disposiciones legales y tcnicas y a las
responsabilidades adquiridas para la satisfaccin de los clientes
y la proteccin de la informacin contra amenazas internas y
externas, mediante la implementacin de buenas prcticas en la
gestin de riesgos, el fortalecimiento de la capacidad institucional
y la operacin bajo un sistema de gestin integrado que mejore
continuamente su eficacia, eficiencia y efectividad.
INCODER
3.1.2 Revisin
informacin.
de
las
polticas
de
seguridad
de
la
Las polticas de seguridad de la informacin se revisarn

peridicamente (mnimo una vez por ao), o antes, en caso de
producirse cambios tecnolgicos, variacin de los costos de los
controles, impacto de los incidentes de seguridad, etc., que
puedan afectar su continuidad. La aprobacin de las
actualizaciones y/ o modificaciones, se realizar por parte del
Comit
de SeguridadORGANIZATIVOS
de la Informacin.
4. ASPECTOS
DE LA SEGURIDAD DE LA
INFORMACIN
Objetivo: Establecer un marco de gestin para iniciar y controlar

la implementacin y operacin de seguridad de la informacin
dentro de la organizacin.
4.1 Organizacin interna

CEO (Director General)
El GERENTE DEL INCODER, tiene toda la responsabilidad
mxima respecto a seguridad de la informacin.
Comit
de
Seguridad
de
la
Informacin
El Comit de Seguridad de la Informacin se instal de acuerdo a
lo normado por GEL mediante Resolucin 314 de fecha marzo
05 de 2013, como un cuerpo integrado por Gerente General,
representan- tes de todas las Subgerencias del Incoder, la
Secretaria General y el
Jefe de la Oficina Asesora Jurdica, su objetivo es: Asegurar que

exista direccin y apoyo gerencial para establecer, implementar
y monitorear las estrategias de Seguridad de la Informacin que
requiera la entidad. La Subgerencia de Planificacin e Informacin
como Secre- taria Tcnica del Comit, es la responsable de
convocar y dinamizar el funcionamiento del Comit de Seguridad
de la Informacin CSI, quien podr delegar esta
responsabilidad en el Director Tcnico de Informacin y
Tecnologa.
(CIO) Responsable de Seguridad
de la
Informacin
El Director Tcnico de Informacin y Tecnologa es la persona
que cumple la funcin de supervisar el cumplimiento de la
presente Pol- tica y de asesorar en materia de seguridad de la
informacin a los diferentes dependencias del Incoder que as lo
Para
efectos de desarrollo de la presente Poltica, se efectuar a
requieran.
travs del Comit de Seguridad de la Informacin.
Dentro de la organizacin interna de Seguridad de la
Informacin se identificaran roles a saber: Custodio, Usuario o
Propietario de la informacin, cada rol debe identificar, analizar,
evaluar, tratar y monitorear el cumplimiento de la Poltica.
Custodio: Tienen la responsabilidad de monitorear el
cumplimiento de las actividades encargadas
Usuario o Propietario: Debe verificar la integridad de la
informacin y velar por que se mantenga la disponibilidad y
confiabilidad de la misma.
INCODER
4.2 Dispositivos para movilidad y el teletrabajo
4.1.1 Asignacin de responsabilidades para la seguridad

de la informacin.
Objetivo: Garantizar la seguridad del teletrabajo y el uso de

dispositivos mviles.
Las responsabilidades de seguridad de la informacin estn

definidas y asignadas de acuerdo a la clasificacin dada a la
informacin.
4.1.2 Segregacin de las
tareas
La responsabilidad de la informacin deber estar en cabeza
una sola persona para evitar conflicto en cuanto
responsabilidades. Lo anterior permite reducir oportunidades
modificacin (intencional o no) no autorizada o mal uso de
4.1.3
Contacto
con
las
activos de la
organizacin.
autoridades
4.2.1 Poltica
movilidad
de
a
de
los
Se mantendrn los contactos apropiados con las autoridades

pertinentes, en caso de encontrar violacin a la presente
poltica de seguridad de la informacin.
4.1.4 Contacto con grupos de inters
especial
Se mantendrn los contactos apropiados con los grupos de
inters especial (Polica, Bomberos, Defensa Civil) u otros foros de
seguridad especializados y asociaciones profesionales para que
puedan ser contactados de manera oportuna en el caso de que
se presente un incidente de seguridad de la informacin.
4.1.5 Seguridad de la informacin en la gestin de proyectos
de
uso
de
dispositivos
para
El uso de los equipos porttiles fuera de las instalaciones del

Incoder nicamente se permitir a usuarios autorizados por la
Direccin Tc- nica de Informacin y Tecnologa, previa solicitud
de la dependencia respectiva, y stos se protegern mediante el
uso de los siguientes controles tecnolgicos:
Antivirus.
Cifrado de datos.
Restriccin en la ejecucin de
aplicaciones.
Restriccin de conexin de dispositivos
USB.
Proteccin fsica mediante la guaya de
seguridad.
La sincronizacin de dispositivos mviles con cualquier sistema
de informacin del Incoder, slo estar permitido para
personal autorizado por la Direccin Tcnica de Informacin
y Tecnologa y la dependencia respectiva.
La seguridad de la informacin se dirigir en la gestin de

proyectos, independientemente del tipo de proyecto.
INCODER
5.2 Durante la contratacin y/ o empleo
4.2.2
Teletrabajo
Cualquier funcionario del Incoder, autorizado por la Direccin
Tc- nica de Informacin y Tecnologa, que requiera tener
acceso a la informacin de la Institucin desde redes externas,
podr
acceder remotamente mediante un proceso de
autenticacin; uso de conexiones seguras. Lo anterior asegurando
el cumplimiento de requisitos de seguridad de los equipos desde
los
se accede. LIGADA
5. que
SEGURIDAD
A LOS RECURSOS HUMANOS

5.1
Antes
contratacin
de
la
Objetivo: Asegurar que los empleados y contratistas entiendan

sus responsabilidades y que estas son adecuadas para las
funciones que realizan.
5.1.1 Investigacin de antecedentes
Se realiza la verificacin de antecedentes judiciales,
disciplinarios, fiscales y seguimiento a la hoja de vida de todos
los candidatos a emplear de conformidad con el reglamento
interno del Incoder y las leyes y regulaciones del estado
colombiano.
5.1.2
Trminos
y
condiciones
de
contratacin
Los acuerdos contractuales con los empleados y los contratistas
debern establecer las responsabilidades establecidas por el
Incoder en el cumplimiento de la presente Poltica de Seguridad de
la Informacin.
Objetivo: Asegurar que los empleados y contratistas conozcan

y cumplan con sus responsabilidades de seguridad de la
informacin.
La capacitacin en Seguridad de la Informacin es obligatoria
para todo el personal que ingrese vinculado de manera temporal
y/ o indefinida al Instituto. Se deber asistir de manera
obligatoria durante su induccin, a las charlas que sobre los
requerimientos de Seguridad de la Informacin se dicten.
La Direccin Tcnica de Informacin y Tecnologa, de acuerdo a
la estructura orgnica de la entidad, es el nico responsable de
asignar, administrar y reasignar la infraestructura tecnolgica
independientemente del origen de los recursos econmicos y
del ordenador del gasto.
5.2.1
gestin
Responsabilidades
de
La administracin pedir a todos los empleados y contratistas,

aplicar la seguridad de la informacin de acuerdo con las
polticas y procedimientos establecidos por el Instituto. Todos los
empleados y / contratistas tendrn acceso permanente a la
poltica y se obligan a cumplirla.
El personal que ingrese vinculado de manera temporal y/o
indefinida al Incoder, deber firmar que conoce y acepta lo
definido en la poltica de Seguridad de manera obligatoria.
10
INCODER
5.2.2 Concientizacin, educacin y formacin en la seguridad
de la informacin
La Direccin Tcnica de Informacin y Tecnologa realizar
capaci- taciones a todos los empleados y contratistas de la
organizacin de sensibilizacin, educacin y formacin adecuada
y actualizaciones peridicas en las polticas y procedimientos de la
organizacin, que sea relevante para su funcin laboral.
5.2.3 Proceso disciplinario
Se solicitar proceso disciplinario formal y comunicado en lugar
de tomar medidas contra los empleados que hayan cometido una
violacin de la seguridad de la informacin, y segn corresponda
la investigacin ser tramitada por el Proceso de Control Interno
Disciplinario de la Entidad o la Procuradura General de la Nacin.
5.3 Terminacin o cambio de empleo

Objetivo: Proteger los intereses de la organizacin como parte
del proceso de terminacin o cambio el empleo.
5.3.1 Terminacin o cambio de puesto de
trabajo
Las responsabilidades de seguridad de la Informacin y deberes
que siguen vigentes despus de la terminacin o cambio de
empleo, se deben definir y comunicarse al empleado o contratista
y se deben hacer cumplir.
Es responsabilidad de la Secretaria General Coordinacin de

Ta- lento Humano y de la Direccin Tcnica de Informacin y
Tecnologa asegurar que en el evento de la terminacin y/ o
cambo de cargo al interior del Incoder, el servidor hace la
devolucin de todos los activos de informacin y elementos
asignados durante su relacin.
La vigencia de los derechos de acceso y su revocatoria, debe
estar estrechamente relacionados con la terminacin de la relacin
laboral y/ o contractual del servidor pblico y/ o cambio del rol del
servidor pblico en el instituto.
6. GESTIN DE ACTIVOS
6.1 Responsabilidad sobre los activos
Objetivo: Identificar los activos de la organizacin y definir las
responsabilidades de proteccin adecuados.
Todos los activos de informacin en el Incoder sern clasificados
segn el contenido, y los controles adecuados sern
implementados de acuerdo a su importancia en la organizacin.
6.1.1 Inventario de activos
Los activos relacionados con la informacin y las instalaciones
de procesamiento de informacin deben ser identificados dentro
del inventario de activos del Instituto.
11
INCODER
6.1.2 Propiedad de los activos
Los activos mantenidos en el inventario son de propiedad del
Incoder.
6.1.3 Uso aceptable de los
activos
Las normas para el uso aceptable de la informacin y de los
activos asociados a la informacin y las instalaciones de
procesamiento de informacin estn identificadas en el presente
documento y deben cumplirse de forma obligatoria por sus
6.1.4
Devolucin de los
responsables.
activos
Todos los empleados y contratistas debern devolver todos los
activos de la organizacin en su poder a la terminacin de su
empleo, contrato o acuerdo.
6.2 Clasificacin de la informacin
Objetivo: Asegurar que la informacin reciba un nivel adecuado

de proteccin, de acuerdo con su importancia para la
organizacin.
6.2.1
Directrices
de
clasificacin
La informacin se clasificar en funcin de los requisitos legales,
el valor, criticidad y sensibilidad a la divulgacin o
modificacin no autorizada.
Todos los activos de informacin en el Incoder sern
clasificados segn el contenido y los controles adecuados sern
implementados de acuerdo a su importancia en la organizacin.
Esta clasificacin
ser realizada por el responsable de la misma, teniendo en

cuenta: Su valor relativo, su privacidad, sensibilidad, el nivel de
riesgo a que est expuesta y/o requerimientos legales de
retencin.
Estos niveles sern divulgados y oficializados a los Usuarios de
la Informacin para asegurar que los niveles de proteccin son
entendi- dos y se mantienen a travs de la organizacin.
Cada nivel de clasificacin tendr un conjunto de controles
determi- nados por el INCODER, los que podrn ser
complementados y au- mentados, nunca disminuidos, por el
Responsable de la Informacin con la ayuda de la Direccin
Tcnica de Informacin y Tecnologa. Dichos controles se utilizan
para proveer un nivel de proteccin de la Informacin apropiado y
consistente dentro de la organizacin, sin importar el medio,
formato o lugar donde se encuentre. Estos controles se aplican y
mantienen durante el ciclo de vida de la Informacin, desde su
creacin, durante su uso autorizado y hasta su apropiada
disposicin o destruccin.
Si la informacin clasificada del INCODER debe ser entregada
a contratistas, Asociados y Terceros por efectos del negocio,
previamente se deben firmar los acuerdos de confidencialidad
respectivos, que incluyan el seguimiento y cumplimiento de las
prcticas de gestin segura de la Informacin al tenor de lo
establecido en la Poltica. Igualmente si la Informacin clasificada
del INSTITUTO es requerida por algn ente externo o ciudadano
en donde opere EL INCODER, su entrega est supeditada a la
aprobacin previa de su responsable y de las instancias
establecidas.
12
INCODER
Los datos y la informacin pblica se armonizan con la seguridad de la informacin, los controles son establecidos segn la
jerar- qua formulada en el siguiente cuadro:
PUBLICABL
E
NO PUBLICABLE
INFORMACION
PERSONAL
SEMIPRIVADA
TOP SECRET
SENSITIVA
PUBLICA NO
CLASIFICAD
A
SECRET
A
CONFIDENCIAL
EN CONFIANZA
RESTRINGIDA
13
INCODER
De acuerdo con el anterior grfico, el Instituto establece los
controles de proteccin a la informacin.
Datos e informacin publicable: Aquellos en los que la Ley no
ha dado el carcter de reservado y obliga a su publicacin, si
esta de- finidos como datos abiertos.
Datos e informacin no publicable: Aquellos en los que la Ley
ha otorgado el carcter de reservados y de proteccin legal,
por tal motivo no puede ser publicada.
Datos e informacin personal semiprivada: Datos e
informacin personal que no es de dominio pblico, pero que ha
sido obtenida u ofrecida por orden de una autoridad administrativa
en el cumplimien- to de sus funciones o en el marco de los
principios de administracin de datos personales. Esta informacin
puede ser o no sujeta a reserva por su titular.
Informacin que requiere proteccin por razones de
seguridad nacional.
Top Secret: El acceso a la informacin por parte de personal
no autorizado, as como la alteracin en la integridad de la
informacin podra daar los intereses nacionales de manera
grave y tendr un alto impacto sobre el instituto.
Secreta: El acceso a la informacin por parte de personal no
autorizado, as como la alteracin en la integridad de la
seria y tendra un medio impacto sobre el instituto.
Confidencial: El acceso a la informacin por parte de personal

significativa y tendra un bajo impacto sobre el instituto.
Restringida: El acceso a la informacin por parte de personal
informacin podra daar los intereses nacionales y del instituto
de manera adversa.
Informacin que requiere proteccin por razones de
privacidad personal
Sensitiva: El acceso a la informacin por parte de personal no
autorizado, as como la alteracin en la integridad de la
informacin podra daar los intereses del estado o poner en
peligro la seguridad de los ciudadanos.
En confianza: El acceso a la informacin por parte de personal
informacin podra perjudicar el mantenimiento de la Ley y el
orden, impedir la conducta efectiva del Gobierno o afectar
adversamente la privacidad de sus ciudadanos.
Acceso a informacin TOP SECRET, SECRETA
CONFIDENCIAL Y RESTRINGIDA.
Las terceras partes que requieran acceso a informacin en
medio fsico y/ o electrnico, deben presentar al Incoder una
autorizacin por parte del dueo de la informacin y se debe
firmar un acuerdo
14
INCODER
de confidencialidad indicando las restricciones de uso de
dicha informacin.
Se deben utilizar los mecanismos apropiados de control de
acceso a la informacin dependiendo de su nivel de
clasificacin.
Los servicios pblicos, contratistas, pasantes o estudiantes no
pueden tomar informacin top secret, secreta, confidencial, y/ o
restringida cuando termine su vnculo con el instituto.
La destruccin de informacin top secret, secreta,
confidencial y restringida se realizar de acuerdo a mtodos
aprobados por el responsable de seguridad de la informacin.
El nico impedimento para la destruccin de la informacin
puede ser una restriccin sealada expresamente por parte de
la Oficina Asesora Jurdica, de acuerdo a la estructura orgnica
del Incoder, y/ o radicada en las tablas de retencin
documental.
Almacenamiento
de
Informacin.
La informacin top secret, secreta confidencial y/o restringida
almacenada en cualquier medio electrnico, o fsico, debe ser
protegida por medio de mecanismos de cifrado.
Los equipos de cmputo y/ o porttiles
que almacenen
informacin top secret, secreta confidencial y/ o restringida deben
estar protegidos con mecanismos de seguridad para evitar que
ante la prdida del equipo una persona no autorizada pueda
acceder a la informacin all almacenada. As mismo si son
reasignados a usuarios diferentes,
se debe borrar la informacin del disco de forma segura, de

acuerdo a los lineamientos dados por el responsable de
seguridad de la informacin.
Impresin
informacin.
de
La informacin clasificada como top secret, secreta confidencial

y/ o restringida debe ser enviada a la impresora y recogida
inmediata- mente, evitando que personal no autorizado tenga
Divulgacin
de informacin a terceros.
acceso a sta.
Los servidores pblicos no deben divulgar informacin a
terceros acerca de las vulnerabilidades de los sistemas lgicos o
fsicos del Incoder, sin la previa autorizacin por parte de los
responsables de Seguridad de la Informacin y la firma de un
acuerdo de confidencialidad
6.2.2
Etiquetado
informacin
manipulado
de
la
Los procedimientos para el etiquetado de la informacin sern

aplicados de acuerdo con el esquema de clasificacin de la
informacin aprobada por la entidad, lo anterior teniendo en
cuenta las Tablas de Retencin Documental aprobadas para las
6.2.3
Manipulacin
de activos
diferentes
reas.
Se aplicaran los procedimientos para el manejo de los activos
de conformidad con el esquema de clasificacin de la informacin
aprobada por el instituto y presentada en este documento.
15
INCODER
6.3
Manejo
almacenamiento
de
los
soportes
de
Objetivo: Evitar la divulgacin no autorizada, modificacin,

eliminacin o destruccin de la informacin almacenada en los
medios de comunicacin.
6.3.1 Gestin de soportes extrables
7. CONTROL DE
ACCESOS
7.1 Requisitos de negocio para el Control de acceso

Objetivo: Limitar el acceso a las instalaciones de procesamiento
de la informacin y de la informacin.
La gestin de medios extrables se realizar de acuerdo con el

esquema de clasificacin adoptado por la entidad.
7.1.1 Poltica
accesos
Los equipos de cmputo que tienen autorizado el manejo de USB

y unidades reproductoras de CD/DVD, deben cumplir los
siguientes requisitos.
El INCODER garantiza entornos con controles de acceso

idneos, los cuales aseguran el permetro, tanto en oficinas,
recintos, reas de carga y descarga, as como en entornos
abiertos para evitar el acceso no autorizado a ellos. Del mismo
modo, controla las amenazas fsicas externas y vela por proveer las
condiciones medioambientales requeridas para el funcionamiento
de la plataforma tecnolgica y para la preservacin de sus
As
mismo,
exige a
los proveedores de servicios de
activos
de informacin
documentales.
tecnologa, el cumplimiento de la implantacin y efectividad de
mecanismos de seguridad fsica, controles de acceso fsico y
condiciones medioambientales con que ste debe contar.
Tener habilitado el escaneo automtico de

virus
Tener configurada en la herramienta de antivirus institucional,
el bloqueo de la reproduccin automtica de archivos
ejecutables
6.3.2
Eliminacin
de
soportes.
La informacin ser eliminada de los medios de comunicacin
de forma segura cuando ya no sea necesaria, utilizando
procedimientos formales.
6.3.3 Soportes fsicos en trnsito
Los medios que contienen informacin deben estar protegidos
contra el acceso no autorizado, mal uso o corrupcin durante el
transporte.
Se debe implementar la utilizacin de protocolos de seguridad
para la encriptacin de las claves ms sofisticados.
de
Control
de
Los servidores pblicos responsables de las reas seguras tienen

la obligacin de vigilar y garantizar que se cumplan las siguientes
medidas de seguridad:
Las reas de produccin se catalogan como seguras y deben
permanecer cerradas y custodiadas
El acceso a reas seguras donde se procesa o almacena
informacin top secret, confidencial y restringida, es limitado
nicamente a personas autorizadas.
16
INCODER
El acceso a reas seguras requieren esquemas de control de
acceso, como tarjetas, llaves o candados.
El responsable de un rea segura debe asegurar que no
ingresen cmaras fotogrficas, videos, telfonos mviles con
cmaras, salvo se tenga una autorizacin expresa del D.T.I.T.
Se utilizan planillas para registrar la entrada y salida del
personal.
Se restringe el acceso fsico a dispositivos como: puntos de acceso
inalmbricos, puertas de enlace a redes y terminales de red
que estn ubicadas en las reas seguras.
7.1.2 Control de acceso a las redes y servicios asociados
Los usuarios que dispongan de acceso y servicios de la red son
los que han sido especficamente autorizados para su uso.
Cada usuario es responsable por sus acciones mientras usa
cualquier recurso de Informacin del Incoder. Por lo tanto, la
identidad de cada Usuario de los recursos de informacin est
establecida de una manera nica. Esta identidad de ninguna
manera o por ninguna circunstancia podr ser compartida. El
sobrepaso a ste medio ser tratado como una infraccin a
seguridad de la informacin.
Los niveles de acceso deben reflejar permanentemente una
necesidad clara y demostrada de negocio y no deben
comprometer la segregacin de funciones y responsabilidades.
7.2 Gestin de acceso de usuario

Objetivo: Asegurar el acceso de los usuarios autorizados para
evitar el ingreso no permitido a los sistemas y servicios.
7.2.1 Gestin de altas y bajas en el registro de usuarios
Se llevar a cabo un proceso formal de registro y anulacin de
usuario para permitir la asignacin de derechos de acceso.
La eliminacin de un identificador de usuario debe ser realizada
in- mediatamente haya finalizado su relacin contractual del usuario
con el Incoder.
7.2.2 Gestin de los derechos de acceso
asignados a los usuarios.
El acceso a la informacin del Incoder, es otorgado slo a
Usuarios autorizados, basados en lo que es requerido para realizar
las tareas relacionadas con su responsabilidad o tipo de servicio.
El acceso a los recursos de informacin del Incoder, es
restringido en todos los casos sin excepcin, y se da
especficamente a quienes lo requieran en razn de sus funciones,
con los privilegios apropiados y por un tiempo limitado.
Se debe identificar y autenticar a cualquier usuario que de manera
lo- cal o remota, requiera utilizar los Recursos de Tecnologa y
operacin del Incoder, para lo que se requiere contar con sistemas
de seguridad que cumplan con las siguientes caractersticas:
17
INCODER
Debe estar activo para acceder a la plataforma tecnolgica y
de operacin del Incoder, lo que significa que cada usuario tiene
que identificarse y autenticarse antes de acceder a un recurso de
tecnologa por medio de un usuario y una contrasea.
7.2.3 Gestin de derechos de acceso privilegios especiales
Una vez se han identificado y autenticado, los usuarios slo

podrn acceder a los recursos sobre los cuales estn
autorizados.
Los eventos de ingreso y autenticacin de usuarios sern
registrados y monitoreados por los responsables de la
informacin.
Los usuarios deben cumplir prcticas como las recomendadas en
el Anexo 1 para la seleccin y uso de las contraseas.
El uso de las claves de usuarios administradoras, tales como:

root, adm y system, entre otros, deben ser controladas
acorde como lo establece los lineamientos que hacen parte de
esta poltica.
7.2.4 Gestin de informacin confidencial de autenticacin
de los usuarios
El acceso a los Activos de Informacin del Incoder, debe ser

controlado mediante un proceso formal de creacin,
modificacin y eliminacin del identificador de usuario.
nicamente el responsable de la informacin, puede autorizar
la creacin de un usuario, este identificador de usuario debe ser
aso- ciado slo a un individuo y la solicitud debe obedecer a una
razn legtima de negocio.
El uso remoto de los activos de informacin y la computacin
mvil ser realizado bajo una autorizacin previa de los
responsables de la informacin, junto con su respectivo manejo
de riesgo aprobado por Incoder.
Ningn rol puede tener acceso a ms de un
ambiente
La asignacin y utilizacin de los derechos de acceso preferente

se deber restringir y controlar.
La asignacin de la informacin secreta de autenticacin se

controla a travs de un proceso de gestin formal y de acuerdo a
la clasificacin dada a los activos por parte de los responsables.
7.2.5 Revisin de los derechos de acceso de los
usuarios
Los propietarios de activos deben revisar los derechos de acceso
de los usuarios a intervalos regulares. Cualquier desviacin ser
tratada como un incidente en seguridad de la informacin.
Los responsables deben dejar trazas del ejercicio de sta
actividad, las que sern objeto de revisiones de parte del Incoder.
7.2.6 Retirada o adaptacin de los derechos de
acceso
Los derechos de acceso de todos los empleados y/ o contratistas
de la informacin e instalaciones de informtica sern retirados
en el momento de retiro de su empleo y/ o terminacin de
contrato.
18
INCODER
7.3 Responsabilidades del usuario
7.4.1 Restriccin del acceso a la informacin
Objetivo: Hacer que los usuarios responsables de salvaguardar

su informacin se autentiquen.
El acceso a la informacin estar restringido de conformidad con

la poltica de Control de acceso.
7.3.1 Uso de la informacin confidencial para la autenticacin
7.4.2 Procedimientos seguros de inicio de sesin.
Se exigir a los usuarios que sigan prcticas de la organizacin

en el uso de informacin secreta de autenticacin.
El acceso a los servicios de informacin slo ser posible a travs

de un proceso de conexin seguro.
7.4 Control de acceso a sistemas y aplicaciones
7.4.3
Sistema
contraseas
Objetivo: Evitar el acceso no autorizado a los sistemas y

aplicaciones.
de
gestin
de
El Incoder tiene establecidos controles fsicos y de acceso lgico

para los ambientes de desarrollo, pruebas y produccin de los
Activos de Informacin para que permanezcan completamente
separados.
El acceso a la informacin en produccin del Incoder debe
hacerse nicamente por los aplicativos y sistemas autorizados. En
ningn caso la informacin puede ser accedida directamente.
Junto con el nombre de usuario el funcionario recibir una contrasea

o clave para acceder a los recursos informticos de la Entidad,
la cual es de cambio obligatorio en el primer uso garantizando
as su responsabilidad y nico conocimiento sobre la misma.
Dicha contrasea debe tener una longitud mnima de 8 (ocho)
caracteres alfanu- mricos, diferentes a nombres propios o
cualquier otra palabra de fcil identificacin.
Por seguridad se recomienda el cambio de dichas claves con
una periodicidad de 90 (noventa) das.
Si entes externos tienen acceso a informacin crtica del Incoder

se deben suscribir acuerdos para la salvaguarda de la
informacin. La informacin del Incoder que est en manos de
personas externas debe tener el mismo o mayor nivel de
proteccin como si estuviera administrada por la institucin, por lo
cual es necesario efectuar revisiones a fin de conocer cmo se
est manejando y protegiendo la informacin externamente.
Despus de 3 (tres) intentos no exitosos de digitar la contrasea

el usuario ser bloqueado de manera inmediata y deber
solicitar el desbloqueo a la Direccin Tcnica de Informacin y
Tecnologa.
Se prohbe el uso de contraseas compartidas. La contrasea es
personal e intransferible. Las contraseas nunca sern
modificadas tele- fnicamente.
19
INCODER
7.4.4 Uso de herramientas de administracin de
sistemas
El uso de programas de utilidad que podran ser capaces de
anular el sistema y de aplicaciones con controles principales ser
restringido y estrechamente controlado.
7.4.5 Control de acceso al cdigo fuente de los
programas
El acceso al cdigo fuente del programa es limitado. Solamente
los ingenieros del grupo de soporte podrn contar con acceso a
esta informacin y harn uso de la misma. Se debe monitorear
los registros de log in.
8. CIFRADO
8.1
criptogrficos
Para el resguardo de informacin, cuando as surja de la

evaluacin de riesgos realizada por el Propietario de la
Informacin y el Responsable de Seguridad Informtica.
8.1.2
claves
Objetivo: Asegurar el uso adecuado y efectivo de la

criptografa para proteger la confidencialidad, autenticidad y/ o
integridad de la informacin.
8.1.1 Poltica sobre el uso de controles criptogrficos
Se deben utilizar controles criptogrficos en los siguientes
casos:
Para la proteccin de claves de acceso a sistemas, datos y
servicios.
Para la transmisin de informacin clasificada, fuera del mbito
del Organismo.
de
La poltica sobre uso, proteccin y duracin de las claves

criptogrfi- cas se realiza a travs del directorio activo durante
todo su ciclo de vida.
9. LA SEGURIDAD FSICA Y
AMBIENTAL
9.1
seguras
Controles
Administracin
reas
Objetivo: Evitar el acceso fsico no autorizado, daos e

interferencia para la informacin de la organizacin y las
instalaciones de procesamiento de informacin.
9.1.1 Permetro de seguridad
fsica
El permetro de las reas que contienen la informacin y sus
instalaciones de procesamiento o bien sensibles o crticos
estarn protegidos de acceso no permitidos.
9.1.2
Controles
fsicos
de
entradas
Las reas seguras se protegern mediante controles de entrada
adecuados para garantizar que se le permita el acceso
nicamente al personal autorizado.
20
INCODER
Para el ingreso de terceros al Centro de Cmputo, se tienen que
registrar en la bitcora ubicada en un lugar visible a la entrada a
este lugar.
Los privilegios (de los funcionarios y/o contratistas) de acceso
fsico a los Centros de Cmputo deben ser eliminados o
modificados opor- tunamente a la terminacin, transferencia o
cambio en las labores de un funcionario autorizado.
Las oficinas e instalaciones donde haya atencin al pblico no
deben permanecer abiertas cuando los funcionarios se levantan de
sus puestos de trabajo, as sea por periodos cortos de tiempo.
Las contraseas de sistemas de alarma, cajas fuertes, llaves y
otros mecanismos de seguridad de acceso a las oficinas solo
deben ser utilizadas por los funcionarios y/ o contratistas
autorizados y salvo situaciones de emergencia, estos no deben
ser transferidos a otros funcionarios del instituto o funcionarios
provistos por terceras partes.
Las oficinas e instalaciones donde se maneje informacin
sensible deben contar con sistemas de alarmas y cmaras.
Todos los funcionarios deben permanecer con el carnet que los
identifica como funcionarios y/ o contratistas del Incoder, mientras
permanezcan en las instalaciones.
Todos los funcionarios deben reportar, a la mayor brevedad,
cualquier sospecha de prdida o robo de carnet de identificacin
y tarjetas de acceso fsico a las instalaciones del Instituto
Los funcionarios del Incoder no deben intentar ingresar a reas a

las cuales no tengan la debida autorizacin.
Todos los visitantes que ingresan al Instituto, deben ser
recibidos y estar acompaados por la persona a quien visitan
durante su perma- nencia en las instalaciones del mismo.
Todos los visitantes que ingresan al Instituto, deben ser registrados
en bitcora de visitantes con los datos personales y hora de
entrada y salida de las instalaciones.
La documentacin fsica generada, recibida y, en general,
manipu- lada por los funcionarios del Instituto y los funcionarios
provistos por terceras partes debe estar ubicada en archivos o
repositorios
con condiciones de temperatura y humedad
adecuadas, de acuerdo con las directrices de la funcin
archivstica de la institucin.
9.1.3 Seguridad de oficinas, despachos, salas e
instalaciones
El Centro de Cmputo debe contar con mecanismos de control
de acceso tales como puertas de seguridad, sistemas de
control con tarjetas inteligentes, sistema de alarmas.
El ingreso de terceros al Centro de Cmputo debe estar
debidamente registrado mediante una bitcora ubicada en un
lugar visible a la entrada de estos lugares.
Los ingresos al Centro de Cmputo deben ser monitoreados
regularmente para identificar accesos no autorizados y para
confirmar que los controles de acceso son efectivos.
21
INCODER
El Centro de Cmputo debe estar separado de reas que
tengan lquidos inflamables o estn en riesgo de inundaciones e
incendios.
Deben existir mecanismos de revisin y control del ingreso de
cualquier tipo de material al Centro de Cmputo.
En el Centro de Cmputo debern existir sistemas de
deteccin y extincin automticas de incendios e inundacin y
alarmas en caso de detectarse condiciones inapropiadas.
Los niveles de temperatura y humedad relativa en el Centro de
Cm- puto deben ser mantenidos dentro de los lmites
requeridos por la infraestructura de cmputo all instalada, para lo
cual se deben usar sistemas de aire acondicionado.
Se debe monitorear y revisar de manera permanente el estado de
los componentes de soporte fsico, elctrico y ambiental que hacen
parte del Centro de Cmputo, como son el sistema de aire
acondicionado y el sistema de deteccin y extincin de incendios,
entre otros.
Los trabajos de mantenimiento de redes elctricas, cableados de
datos y voz, deben ser realizados por personal especialista y
debidamente autorizado e identificado.
Se deben realizar mantenimientos preventivos y pruebas de
funcionalidad del sistema de UPS y/ o plantas elctricas, de los
sistemas de deteccin y extincin de incendios y del sistema de
aire acondicionado.
Se deben realizar mantenimientos preventivos y correctivos de los

servidores, equipos de comunicaciones y de seguridad que
conforman la plataforma tecnolgica del Incoder.
Se debe proveer un procedimiento, que garantice la realizacin
del mantenimiento preventivo y correctivo de las estaciones de
trabajo y equipos porttiles, as como su adecuacin para la
reutilizacin o reasignacin de manera segura en el cual se
conserve la disponibilidad, integridad y confidencialidad de la
informacin contenida en los mismos.
La Direccin Tcnica de Informacin y Tecnologa debe
garantizar la adopcin de los controles necesarios para
asegurar que los su- ministros de electricidad as como las
redes de comunicaciones se encuentran protegidos.
9.1.4 Proteccin
ambientales
contra
las
amenazas
externas
La Direccin Tcnica de Informacin y Tecnologa y la Secretara

Ge- neral debe monitorear las variables de temperatura y humedad
de las reas de procesamiento de datos.
9.1.5 El trabajar en reas
seguras
El Incoder a travs del responsable de seguridad de
informacin, debe establecer controles ante las diferentes
amenazas que pueden afectar la normal operacin. Los controles
a implementar son:
22
INCODER
Medio ambiente: La Direccin Tcnica de Informacin y
Tecnologa y la Secretaria General debern monitorear las
variables de temperatura y humedad de las reas de
procesamiento de informacin.
Identificacin de terceros, explosivos y corrosivos: Todos los
visitantes o terceras personas, que ingresan a las instalaciones
del Instituto, deben poseer una identificacin a la vista. Por
ninguna razn se podr tener material explosivo o corrosivo dentro
o en sitio cercano a reas definidas como seguras.
Fuego: En los centros de procesamiento deben instalarse
detectores de humo, en forma adecuada y en nmero suficiente,
para detectar conato o indicio de incendios. En las reas seguras
no se debe tener material inflamable tales como: Cajas, manuales,
formas continas, papel.
Los detectores deben probarse de acuerdo a las
recomendaciones del fabricante o al menos una vez cada seis
meses.
Se deben tener extintores debidamente aprovisionados, con
carga vigente y con capacidad de detener fuego generado
por equipo elctrico, papel o qumicos especiales.
Interferencia elctrica y/o radiacin electromagntica: El
cableado lgico, debe estar protegido de las interferencias
electromagnti- cas producidas por equipos elctricos y/ o
industriales.
Los cables de potencia deben estar separados de los cables de
comunicacin, siguiendo normas tcnicas. Los equipos deben
protegerse de fallas de potencia u otras anomalas de tipo
elctrico.
Sistema de abastecimiento de Potencia: El correcto uso de las

UPS, se debe probar segn las recomendaciones del fabricante, de
tal forma que se garantice su operacin y el suficiente tiempo
para realizar las funciones de respaldo servidores y aplicaciones.
La planta elctrica debe probarse regularmente, de acuerdo a
las recomendaciones del fabricante y por lo menos una vez cada
quince das.
Se deben tener interruptores elctricos adicionales, localizados cerca
de las salidas de emergencia, para lograr un rpido apagado de
los sistemas en caso de una falla o contingencia. Las luces d
emergencia deben funcionar en caso de fallas en la potencia
elctrica del proveedor del servicio pblico.
El cableado de la red lgica y elctrica debe estar instalado y
mante- nido por ingenieros calificados con el fin de garantizar su
integridad, operacin y cumplimiento de normatividad de
instalacin.
Se deben realizar mantenimientos sobre los equipos de acuerdo a
las recomendaciones del fabricante y realizarse nicamente por
soporte tcnico o personal autorizado. Si se tiene que enviar
fuera de las instalaciones del instituto, se debe asegurar la
informacin y verificar la vigencia y alcance de las plizas de
seguro.
9.1.6 reas de acceso pblico carga y
descarga
Los puntos de acceso, tales como la entrega y las zonas de carga
y otros puntos en los que las personas no autorizadas puedan
entrar, se debern controlar y, si es posible, debern estar
aisladas del procesamiento de la informacin en las
instalaciones.
23
INCODER
9.2
Seguridad
Equipos
9.2.1 Emplazamiento
equipo
de
y
los
Proteccin
9.2.6 Seguridad de los equipos y de los activos

fuera de las instalaciones
del
Se aplicar seguridad a los activos fuera de las instalaciones,

teniendo en cuenta los diferentes riesgos de trabajar fuera de las
instalaciones de la organizacin.
Los equipos de cmputo deben estar situados y protegidos para

reducir los riesgos de las amenazas ambientales y los riesgos
9.2.2 Instalaciones de suministro
y las oportunidades de acceso no autorizado.
9.2.7 Reutilizacin o eliminacin segura de dispositivos

de almacenamiento
El equipo deber estar protegido contra fallas de energa y otras

interrupciones causadas por fallas en el soporte de los servicios
pblicos.
9.2.3 Seguridad del cableado
Todos los elementos del equipo que contienen los medios de

almacenamiento debern ser verificados para garantizar que
los datos sensibles y el software con licencia se han eliminado o
sobrescrito de forma segura antes de su eliminacin o reutilizacin.
El cableado que transporta datos, energa y telecomunicaciones o

el soporte de los servicios de informacin debe estar protegido
contra la intercepcin, interferencia o daos.
9.2.8 Equipo informtico de usuario desatendido
9.2.4 Mantenimiento de los equipos

Los equipos de cmputo deben tener un correcto mantenimiento
para asegurar su continua disponibilidad e integridad.
9.2.5 Salida de los activos fuera de las
dependencias del Instituto
Los equipos, la informacin o el software no se sacaran del lugar
sin la previa autorizacin.
Los usuarios debern asegurarse de que el equipo que no cuenta

con vigilancia tenga la proteccin adecuada.
9.2.9 Poltica de puesto de trabajo
despejado y bloqueo de pantalla.
Los puestos de trabajo deben estar limpios de papeles, soportes
de almacenamiento extrables y cuando un computador este
desatendido deber bloquearse la pantalla.
Cuando sea apropiado, papeles y medios de informacin deben
estar asegurados en armarios especiales, especialmente en horas
fuera de las normales de trabajo.
24
INCODER
Informacin confidencial y crtica para el Instituto debe ser
asegura- da preferiblemente en armarios resistentes a impacto,
fuego e inundacin. Los computadores personales no se deben
dejar dentro de sesin, se recomienda el uso de llaves fsicas,
contraseas, y otro tipo de controles cuando no estn en uso.
Puntos de envo y recepcin del correo, mquinas de fax, deben
ser protegidos de acceso no autorizado.
Las fotocopiadoras deben estar protegidas de uso no
autorizado.
10 SEGURIDAD EN LA
OPERATIVA
10.1 Responsabilidades y Procedimientos de
operacin
Objetivo: Asegurar operaciones correctas y seguras de las
instalaciones de procesamiento de informacin.
La Direccin Tcnica de Informacin y Tecnologa del Incoder,
encargada de la operacin y administracin de la plataforma
tecnolgica (Voz y Datos) que apoya los procesos de negocio,
asignar funciones especficas a sus funcionarios y/ o contratistas,
quienes actuarn como responsables de garantizar la adecuada
operacin y administracin de dicha plataforma, manteniendo y
actualizando la documentacin de los procesos operativos para la
ejecucin de dichas actividades.
Los responsables de la Seguridad de la Informacin deben
apoyar en la definicin de soluciones para dar cumplimiento a los
niveles de seguridad establecidos por el Incoder.
10.1.1 Documentacin de Procedimientos de operacin

Los procedimientos de operacin debern ser documentados y
puestos a disposicin de los usuarios que los necesitan.
proveer a sus funcionarios de manuales de configuracin y
operacin de los sistemas operativos, servicios de red, bases de
datos y sistemas de informacin (comunicaciones y servicios como
correo, intranet, WEB) as como todos los componentes de la
plataforma tecnolgica de la entidad.
Se debe garantizar la documentacin y actualizacin de los
procedimientos relacionados con la operacin y administracin
de la plataforma tecnolgica que apoya los procesos de negocio
del Incoder.
10.1.2
Gestin
de
cambios
El Incoder a travs del rea responsable establecer, coordinar
y controlar los cambios realizados en los activos de informacin
tecnolgicos y los recursos informticos, asegurando que los
cambios efectuados sobre la plataforma tecnolgica, tanto el
software operativo como los sistemas de informacin, sern
debidamente autorizados por las reas correspondientes.
garantizar que todo cambio realizado a un componente de la
plataforma tecnolgica, el cual conlleve modificacin de
accesos,
modificacin o
mantenimiento
de
software,
actualizacin de versiones o modificacin de parmetros,
certifica y mantiene los niveles de seguridad existentes.
25
INCODER
Se debe garantizar que todo cambio realizado sobre la
plataforma tecnolgica del Incoder, quedar formalmente
documentado desde su solicitud hasta su implantacin
cumpliendo con el procedimiento correspondiente.
Los dueos o responsables de los activos de informacin
tecnolgicos y recursos informticos deben solicitar formalmente los
requerimientos de
nuevas
funcionalidades,
servicios
o
modificaciones sobre sus sistemas de informacin.
Los Administradores de los activos de informacin tecnolgicos y
recursos informticos deben garantizar que las modificaciones o
adi- ciones en las funcionalidades de los sistemas de informacin
estn soportadas por las solicitudes realizadas por los usuarios,
siguiendo el procedimiento vigente para dicha accin.
10.1.3
capacidades
Gestin
de
10.2 Proteccin contra cdigo malicioso

Objetivo: asegurar que la informacin y las instalaciones de
procesamiento de la informacin estn protegidas contra el
malware.
10.2.1 Controles contra el cdigo
malicioso
Se aplicarn controles de deteccin, prevencin y recuperacin
para protegerse contra el cdigo malicioso, en combinacin con el
conocimiento del usuario correspondiente.
El Incoder proveer los recursos necesarios que garanticen la
proteccin de la informacin y los recursos de procesamiento de
la misma adoptando controles necesarios para evitar la
divulgacin, modificacin o dao permanente ocasionados por
la contaminacin y/ o el contagio de software malicioso.
El uso de los recursos ser supervisado, se realizaran los

pertinentes ajustes, y las proyecciones hechas de las futuras
necesidades de capacidad, para asegurar el rendimiento del
10.1.4
Separacin de entornos de desarrollo,
sistema requerido.
prueba y produccin

garantizar que los activos de informacin, as como, los recursos
tecnolgicos son actualizados peridicamente, evitando que
cdigo malicioso y virus ejecuten vulnerabilidades del sistema de
los mismos.
garantizar:
El desarrollo, las pruebas y produccin debern estar separados

para reducir los riesgos de acceso no autorizado o cambios en el
entorno operativo. Se debe garantizar los recursos necesarios que
permitan la separacin de ambientes de desarrollo, pruebas y
produccin, as como de la independencia de los funcionarios
que ejecutan dichas labores.
El software usado para la mitigacin de virus informticos

cuenta con las licencias de uso aprobadas, garantizando su
autenticidad y su peridica actualizacin.
La informacin almacenada en los activos de informacin
tecnolgicos que es transportada por la red de datos, es
escaneada con una periodicidad establecida para garantizar as
la seguridad de la misma.
26
INCODER
Los usuarios de los activos de informacin tecnolgicos no
pueden modificar la configuracin establecida para el software
antivirus.
Los usuarios de activos de informacin tecnolgicos y recursos
informticos deben hacer uso exclusivo de hardware y
software autorizado por los funcionarios de la Direccin Tcnica
de Informacin y Tecnologa.
informticos deben garantizar que las descargas de archivos
adjuntos de los correos electrnicos o descargados de internet
realizadas, provie- nen de fuentes conocidas, seguras y exclusivas
de acuerdo con las funciones encomendadas.
informticos deben correr el software antivirus sobre archivos
y/o docu- mentos que son abiertos y/ o ejecutados por primera
vez.
Los usuarios de activos de informacin tecnolgicos deben
comunicarse con la Direccin Tcnica de Informacin y
Tecnologa al encontrar un virus, del cual no se sabe cmo
eliminarlo, cmo actuar frente al mismo o de considerarlo
necesario.
10.3 Copias de Seguridad

Objetivo: Evitar la prdida de
datos.
10.3.1 Copias de seguridad
informacin
de
la
Las copias de seguridad de la informacin, software y sistemas

im- genes se tomarn y se prueban regularmente de acuerdo
con una poltica de copia de seguridad acordada.
Los funcionarios responsables de la gestin del almacenamiento

y respaldo de la informacin debern proveer los recursos
necesarios para garantizar el correcto tratamiento de la misma.
Las reas encargadas de la informacin en conjunto con la
Direccin Tcnica de Informacin y Tecnologa debern definir la
estrategia a seguir para el respaldo y almacenamiento de la
informacin.
tecnolgicos y recursos informticos deben definir en compaa
de la Direccin Tcnica de Informacin y Tecnologa las
estrategias para la correcta y adecuada generacin, retencin, y
rotacin de las copias de respaldo de la informacin.
tecnolgicos y recursos informticos deben velar por el
cumplimiento de los procedimientos de respaldo de la
informacin.
establecer lineamientos para la generacin y almacenamiento de
las copias de respaldo.
La Direccin Tcnica de Informacin y Tecnologa debe generar
procedimientos para la correcta y segura generacin, as como
el adecuado tratamiento de las copias de respaldo.
La informacin que es salvaguardada por la Direccin Tcnica de
In- formacin y Tecnologa del Incoder, deber ser almacenada y
respaldada interna y/o externamente a la entidad, de acuerdo con
las normas establecidas de tal forma que se garantice su
disponibilidad en cualquier momento. Debe existir una definicin
formal de la estrategia
27
INCODER
de generacin, retencin y rotacin de las copias de respaldo
que se realizan.
finalice el vnculo laboral con la entidad debe ser entregada

como proceso para finalizar dicha vinculacin.
La Direccin Tcnica de Informacin y Tecnologa debe contar

con procedimientos para realizar pruebas a las copias de respaldo
para garantizar su integridad y usabilidad en caso de ser
requerido.
recursos informticos deben almacenar y respaldar las copias de
seguridad segn el procedimiento vigente del Instituto, de tal
forma que se garantice su confidencialidad, integridad y
disponibilidad.
recursos informticos deben ejecutar los procedimientos
provistos por la Direccin Tcnica de Informacin y Tecnologa
con los medios autorizados para realizar pruebas a las copias de
respaldo.
recursos informticos deben realizar pruebas peridicas de
recuperacin de la informacin respaldada y documentar sus
resultados.
Se deben realizar todas las copias de respaldo de las bases de
datos que contienen los sistemas de informacin institucionales y
dems servicios, todos los das, esta tarea debe realizarse de
forma automtica y adems cada sistema de informacin debe
guardar los datos en tiempo real de digitacin de los mismos por
el usuario.
Los funcionarios y/o contratistas del Incoder, son responsables
de realizar los backups de la informacin institucional que cada uno
ma- neja en sus equipos de escritorio, ya que dicha informacin
una vez
10.4 Registro de actividad y

supervisin
Objetivo: Registrar eventos y generar evidencia.
10.4.1 Registro y gestin de eventos de
actividad
Se producirn revisiones regulares y cuidadosas a los registros
de eventos que se graban de las actividades del usuario,
excepciones, fallas y eventos de seguridad de la informacin.
10.4.2 Proteccin de los registros de informacin
Los registros de informacin se protegern contra la manipulacin
y el acceso no autorizado.
10.4.3 Registros de actividad del
administrador y operador del sistema
Las actividades del administrador del sistema y de la red sern
registradas. Estos registros sern protegidos y regularmente
revisados.
10.4.4 Sincronizacin de relojes
Los relojes de todos los sistemas de informtica relevantes sern
sin- cronizados a una fuente de tiempo de referencia nica.
28
INCODER
10.5 Control de software en explotacin
10.7 Consideraciones de las auditoras de los

sistemas de informacin
Objetivo: Garantizar la integridad de los sistemas

operativos.
10.5.1 Instalacin del software en sistemas en produccin
Objetivo: Minimizar el impacto de las actividades de auditora en

los sistemas operativos.
Se deben implementar procedimientos para controlar la

instalacin de software en los sistemas operativos.
10.7.1 Controles
informacin
10.6 Gestin de vulnerabilidades tcnicas
La Entidad, apoyada en la Oficina de Control Interno a travs

del Procedimiento de Auditoria Interna verificar el cumplimiento
de los requisitos las normas ISO aplicables, la normatividad legal
vigente, y los requisitos propios de la organizacin, los requisitos
internos del Proceso y sus Procedimientos. Estas auditoras debern
concluir sobre la eficacia y eficiencia de los sistemas de
informacin implementados en la Entidad.
Los requisitos de auditora y las actividades relacionadas con la
verificacin de los sistemas operativos debern ser
cuidadosamente planificados y acordados para reducir al
mnimo las interrupciones de los procesos.
Objetivo: Evitar la explotacin de vulnerabilidades

tcnicas.
10.6.1 Gestin de las vulnerabilidades
tcnicas
La informacin sobre las vulnerabilidades tcnicas de los sistemas
de informacin que se utilizan, se obtendrn en el momento
oportuno, la exposicin de la entidad a tales vulnerabilidades
ser evaluada y se tomaran las medidas pertinentes para hacer
frente a los riesgos asociados.
10.6.2 Restricciones en la instalacin de
software
Las normas que regirn la instalacin de software por los
usuarios sern establecidas e implementadas. Los funcionarios son
responsables por la instalacin y utilizacin de software no
autorizado en sus estaciones de trabajo y en las plataformas
tecnolgicas que soportan los sistemas de informacin de la
Institucin.
de
auditora
de
sistemas
de
11. SEGURIDAD
DE LAS TELECOMUNICACIONES
11.1 Gestin de la seguridad en las redes
Objetivo: Garantizar la proteccin de la informacin en las redes
y sus instalaciones de apoyo de procesamiento de informacin.
29
INCODER
11.1.1 Controles de red
Las redes debern ser administradas y controladas para proteger
la informacin en los sistemas y aplicaciones.
11.1.2 Mecanismos de Seguridad asociados a servicios en
red
Los mecanismos de seguridad, niveles de servicio y los requisitos
de gestin de todos los servicios de la red deben ser
identificados e incluidos en los acuerdos de servicios de red.
11.1.3 Segregacin de redes
La plataforma tecnolgica del Incoder que soporta los sistemas
de Informacin debe estar separada en segmentos de red fsicos y
lgicos e independientes de los segmentos de red de usuarios,
de conexiones con redes con terceros y del servicio de acceso a
Internet. La divisin de estos segmentos debe ser realizada por
medio de dispositivos perimetrales e internos de enrutamiento y
de seguridad si as se requiere. La Direccin Tcnica de
Informacin y Tecnologa es el rea encargada de establecer el
permetro de seguridad necesario para proteger dichos segmentos,
de acuerdo con el nivel de criticidad del flujo de la informacin
transmitida.
El Incoder debe establecer mecanismos de identificacin
automtica de equipos en la red, como medio de autenticacin de
conexiones, desde segmentos de red especficos hacia las
plataformas donde operan los sistemas de informacin de la
entidad.
Es responsabilidad de los administradores de recursos
tecnolgicos garantizar que los puertos fsicos y lgicos de
diagnstico y configuracin de plataformas que soporten
sistemas de informacin deban
estar siempre restringidos y monitoreados con el fin de prevenir

accesos no autorizados
11.2 Intercambio de informacin con partes externas

Objetivo: Mantener la seguridad de la informacin que se
transfiere dentro de la organizacin y con cualquier entidad
externa.
11.2.1 Polticas y procedimientos de intercambio de informacin
Las polticas formales de transferencia, procedimientos y controles
debern estar en posicin de proteger la transferencia de
informacin a travs del uso de todo tipo de instalaciones de
comunicacin.
11.2.2 Acuerdos sobre la transferencia de informacin
Dichos acuerdos debern dirigirse a la transferencia segura de
informacin comercial entre la organizacin y las partes externas.
EL Incoder en su intencin de proteger la informacin de la
institucin, indistintamente del lugar o forma en que est se
encuentre almacenada, proveer los recursos necesarios para
garantizar la proteccin de la misma al momento de ser transferida,
comunicada a un tercero o al salir de sus instalaciones segn
necesidad de la actividad o proceso particular.
El intercambio electrnico de informacin utilizando el canal de
internet institucional, se debe realizar con base en estndares de
documen- tos electrnicos y mensajes de datos de dominio pblico,
regidas por organismos idneos de carcter nacional e
internacional y utilizando mecanismos criptogrficos de clave
pblica que garanticen la integridad, confidencialidad,
autenticidad y aceptacin de la informacin.
30
INCODER
Cuando se considere necesario, los servicios de intercambio de
informacin tambin incluirn garantas de no repudio.
La Direccin Tcnica de Informacin y Tecnologa, velara por la
proteccin de la informacin, sin embargo el contenido de los
archivos enviados a travs del canal de Internet institucional ser
directamente responsabilidad del funcionario y/o contratista.
Los responsables del intercambio de informacin con entidades
externas deben definir en compaa de la Direccin Tcnica de
Informa- cin y Tecnologa las estrategias para la correcta gestin
e intercambio seguro de la misma.
Los responsables del intercambio de informacin con entidades
externas deben disear, establecer y aplicar acuerdos en los
cuales se definan las responsabilidades en el intercambio de
informacin de las partes que interacten en el mismo.
La Direccin Tcnica de Informacin y Tecnologa debe proveer
los recursos necesarios con los cuales sea posible garantizar el
correcto, adecuado y seguro intercambio de informacin desde
estaciones de trabajo y equipos porttiles, as, como desde los
dispositivos externos o mviles. As mismo, debe garantizar que
las transacciones del In- coder realizadas de manera electrnica o
haciendo uso de las redes de comunicaciones y las estaciones de
trabajo de la misma, cuentan con los controles suficientes para
evitar transmisiones incompletas,
enrutamiento no apropiado o errneo, repeticiones de las mismas

no autorizadas, perdida de confidencialidad, integridad de las
mismas y perdida de disponibilidad del servicio.
Los administradores de los activos de informacin tecnolgicos y
recursos informticos deben aplicar los controles necesarios que
garan- tizan la disponibilidad, confidencialidad e integridad de la
informacin transmitida electrnicamente por medio de recursos
tecnolgicos de propiedad o provistos por el Instituto, segn
necesidad o el nivel de criticidad de la misma.
Los usuarios o funcionarios tanto directos como los provistos por
terceras partes que interacten en procesos de intercambio de
informacin al exterior del Instituto deben cumplir los lineamientos,
recomendaciones y/ o estrategias establecidas para este
propsito en el Incoder.
11.2.3 Mensajera electrnica
La informacin involucrada en la mensajera electrnica ser
debidamente protegida.
11.2.4 Acuerdos de confidencialidad o de no divulgacin
Se debe revisar, identificar y documentar regularmente los
diferentes requisitos para los acuerdos de confidencialidad o de no
divulgacin que reflejen las necesidades de la organizacin para
la proteccin de la informacin.
31
INCODER
12. ADQUISICIN, DESARROLLO
Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIN
12.1 Requisitos de seguridad de los
sistemas de informacin
Objetivo: Garantizar que la seguridad informtica es una parte
inte- gral de los sistemas de informacin a travs de todo el ciclo
de vida. Esto tambin incluye los requisitos para los sistemas de
informacin que proporcionan los servicios a travs de redes
pblicas.
12.1.1 Anlisis y especificacin de los requisitos de seguridad.
Los requisitos relacionados con la seguridad de la informacin
sern incluidos en los requerimientos para los nuevos sistemas de
informacin o mejoras a los sistemas de informacin existentes.
Los responsables por la provisin de soluciones deben crear y
mantener una metodologa que controle el ciclo completo de
adquisicin, desarrollo, mantenimiento y disposicin seguro de
soluciones de informacin e infraestructura
Los requerimientos de seguridad de la Informacin deben ser
identificados previos al diseo o requisicin de soluciones de
informacin e infraestructura. De ser necesario el desarrollo interno,
los requerimientos deben ser incluidos dentro de los sistemas y si
una modificacin es solicitada, debe cumplir estrictamente con
los requerimientos de Seguridad de la Informacin que han sido
previamente establecidos.
La informacin que se encuentra en los sistemas de produccin

no puede ser disminuida en los niveles de proteccin ni ser
utilizada en ambientes de desarrollo y pruebas, tanto para
mantenimiento como para el desarrollo de soluciones.
La informacin tratada por las aplicaciones aceptadas por el
Instituto debe preservar su confiabilidad desde su ingreso,
transformacin y entrega al negocio. Cada aplicacin valida que
use y/ o transforme informacin del negocio debe establecer los
medios que preserven su integridad y confiabilidad.
Cada solucin de informacin o de infraestructura debe
mantener durante su ciclo de vida una gestin de riesgo que
informe permanentemente el nivel de exposicin que representa
para el Instituto.
Cualquier cambio en el ciclo de vida de un elemento de la
plataforma de operacin del Incoder debe seguir los
procesos
de
Control de Cambios y Acreditacin de la
instalacin, para que preserve el cumplimiento de la Poltica.
12.1.2 Seguridad de las comunicaciones en servicios
accesibles por redes pblicas
La informacin involucrada en los servicios de aplicaciones que
pa- san a travs de redes pblicas, sern protegidos de la
actividad fraudulenta, el conflicto contractual y la divulgacin y
modificacin no autorizada.
32
INCODER
12.1.3 Proteccin
telemticas
de
las
transacciones
por
redes
La informacin involucrada en las transacciones de servicios de

aplicacin deber ser protegida para prevenir la transmisin
incompleta, mal enrutamiento, alteracin de mensaje no
autorizado, la divulgacin no autorizada, la duplicacin de
mensajes no autorizados o la reproduccin.
12.2 Seguridad en los procesos de desarrollo y

soporte
Objetivo: Garantizar que la seguridad informtica diseada e
im- plementada de cumpla durante el ciclo de vida de
desarrollo de sistemas de informacin.
12.2.1 Poltica de desarrollo seguro de software
Se establecern y aplicarn reglas para el desarrollo de software
de la organizacin.
12.2.2 Procedimientos de Control de cambios en los sistemas
Los cambios en los sistemas dentro del ciclo de desarrollo
debern cumplir los procedimientos formales de control de
cambios.
12.2.3 Revisin tcnica de las aplicaciones despus
de efectuar cambios en los sistemas
operativos
Cuando se cambian las plataformas de operacin, las

aplicaciones crticas debern ser revisadas y probadas para
asegurar que no hay impacto negativo en las operaciones de la
organizacin o de la seguridad.
12.2.4 Restricciones a los cambios en los paquetes de

software
Las modificaciones a paquetes de software sern disuadidas,
limita- das a cambios necesarios y todos los cambios
estrictamente sern controlados.
12.2.5 Uso de principios de ingeniera en
proteccin de sistemas
Se aplicarn los principios para ingeniera de sistemas segura,
se documentara, y aplicara en la implementacin de cualquier
sistema de informacin.
12.2.6
seguro
Entorno
de
desarrollo
La Direccin Tcnica de Informacin y Tecnologa debe definir y

establecer formalmente la documentacin requerida en las
diferentes etapas de ciclo de vida de los sistemas.
12.2.7
Desarrollo
tercerizado
La Direccin Tcnica de Informacin y Tecnologa debe contar con
un grupo de personas el cual debe autorizar la creacin,
adaptacin o adquisicin de software.
Los contratos de consultora, y en general todo tipo de contratos
de servicios deben contener provisiones a este respecto. De igual
manera, dada la proliferacin del outsourcing, es
especialmente importante clarificar los derechos generados por
proveedores en desarrollo de este tipo de contratos.
33
INCODER
12.2.8 Pruebas de funcionalidad durante el
desarrollo de los Sistemas
13.1.1 Poltica de seguridad de la informacin para las

relaciones con proveedores
Las pruebas de la funcionalidad se deben llevar a cabo durante

el desarrollo del sistema.
Se acordar con el proveedor y se documentaran los requisitos

de seguridad de la informacin para la mitigacin de los riesgos
asociados con el acceso del proveedor a los activos de la
organizacin.
De igual forma se debe incluir un acuerdo formal de Niveles de
Ser- vicios en Seguridad de la Informacin, en el que se detallen
los com- promisos en el cuidado de los recursos de Informacin
del Instituto y las sanciones en caso de incumplimiento. El
cumplimiento de los Ni- veles de Servicios en Seguridad de la
Informacin de terceros debe ser verificado y controlado
permanentemente por quienes ejerzan las funciones de interventora
de los contratos suscritos por el INCODER. Cuando la interventora
sea contratada, se debe incluir esta obligacin dentro de los
Contratos. En el caso en que la interventora sea realizada por
funcionarios del INCODER, se entiende que el cumplimiento
de la Poltica est incorporado dentro de sus obligaciones como
funcionario y como interventor.
13.1.2 Tratamiento del riesgo dentro de
acuerdos con proveedores
12.2.9 Pruebas de aceptacin del sistema

Se debe cumplir con los formatos y el procedimiento del sistema
de calidad para la realizacin y documentacin de las pruebas.
12.3 Los datos de prueba

Objetivo: Garantizar la proteccin de los datos utilizados para
la prueba.
12.3.1 Proteccin de los datos de prueba
Los datos de prueba deben seleccionarse cuidadosamente, en
caso de seleccionar datos reales estos deben ser protegidos y
controlados.
13. RELACIONES CON LOS PROVEEDORES

13.1 Seguridad de la informacin en
relacin con los proveedores
Objetivo: Garantizar la proteccin de los activos de la
organizacin que sea accesible por los proveedores.
Todos los requisitos de seguridad de la informacin pertinentes

sern establecidos y acordados con cada proveedor que pueda
acceder, procesar, almacenar, comunicar, o proporcionar los
componentes de infraestructura de TI para la informacin del
Incoder.
34
INCODER
13.1.3 Cadena de suministro en tecnologas de la
informacin y comunicaciones
Incluir los requisitos para los acuerdos con proveedores para
abor- dar los riesgos de la seguridad de la informacin asociada
con los servicios de las tecnologas de informacin y
comunicacin y de la cadena de suministro de productos.
13.2 Gestin de la prestacin de

servicios por proveedores
Objetivo: Mantener un nivel convenido de seguridad de la
informacin y la prestacin de servicios en los acuerdos con los
proveedores.
13.2.1 Seguimiento y revisin de los servicios de proveedores
Cada servicio con proveedor deber tener con un supervisor
encar- gado de revisar y auditar la prestacin de servicios de
proveedores.
13.2.2 Gestin de cambios en los servicios
prestados por proveedores
Los cambios en la prestacin de servicios por parte de los
proveedores, incluyendo el mantenimiento y la mejora de las
actuales polticas de seguridad de informacin, procedimientos y
controles, se gestio- narn, teniendo en cuenta la criticidad de la
informacin, sistemas y procesos que intervienen y re-evaluacin de
los riesgos.
14. GESTIN DE INCIDENTES DE

SEGURIDAD DE INFORMACIN
14.1 Gestin de incidentes de
seguridad de la informacin y
mejoras
Objetivo: Garantizar un enfoque coherente y eficaz para la
gestin de incidentes en la seguridad de la informacin, incluyendo
la
nicacin
eventos de
y debilidades.
La comupriorizacin
delde
tratamiento
deseguridad
los incidentes
se realiza
conforme a la criticidad de la Informacin.
El Responsable de la Informacin debe definir los eventos
conside- rados como crticos junto con sus respectivas alertas y
registros de seguridad de la informacin, los cuales debern ser
generados. stos deben ser activados, vigilados, almacenados y
revisados permanentemente, y las situaciones no esperadas
deben ser reportadas de manera inmediata al equipo de
respuesta a Incidentes. Los registros y los medios que los generan y
administran deben ser protegidos por controles que eviten
modificaciones o accesos no autorizados, para preservar la
integridad de las evidencias.
35
INCODER
Los incidentes de seguridad, resultantes del incumplimiento de la
Po- ltica y Normas de seguridad del Incoder sern direccionados
por el Procedimiento de manejo de incidentes establecido por la
Direccin Tcnica de Informacin y Tecnologa, con el objetivo
de realizar la respectiva investigacin y entregar los resultados a
los
respectivos responsables dentro de la Organizacin,
encargados de tomar las acciones correctivas y preventivas del
caso.
Los empleados debern estar informados del proceso
disciplinario que se llevar a cabo en caso de incumplimiento de la
Poltica de Se- guridad de la Informacin o alguno de los
elementos que la soportan. En cualquier caso se har un
seguimiento de acuerdo con los procedimientos establecidos
para el manejo de incidentes de seguridad.
14.1.1
Responsabilidades
y
procedimientos
La responsabilidad y el procedimiento de manejo para asegurar
una respuesta rpida, eficaz y ordenada a los incidentes de
seguridad de la informacin est en cabeza de la Direccin tcnica
de Informacin y Tecnologa.
14.1.2 Informar sobre los eventos de seguridad de informacin
Los eventos de seguridad de informacin se comunicarn a travs
de canales de gestin adecuadas tan pronto como sea posible.
14.1.3 Notificacin de puntos dbiles de la seguridad
guridad de informacin observada o sospechada en los sistemas

o servicios.
14.1.4 Valoracin de eventos de seguridad de la
informacin y toma de decisiones
La Direccin Tcnica de Informacin y Tecnologa es la
encargada de valorar los eventos de seguridad de informacin y
decidir si han de ser clasificados como incidentes de seguridad de
la informacin.
14.1.5 Respuesta a incidentes de seguridad de la informacin
Los incidentes de seguridad de informacin debern recibir una
respuesta de conformidad con los procedimientos documentados.
14.1.6 Aprendizaje de los incidentes de seguridad de la
informacin
Los conocimientos adquiridos a partir del anlisis y la resolucin
de incidentes de seguridad de informacin se deben utilizar para
reducir la probabilidad o el impacto de los incidentes en el futuro.
14.1.7
evidencias
Recopilacin
de
El Instituto debe definir y aplicar procedimientos para la

identificacin, recoleccin, adquisicin y conservacin de la
informacin, que puede servir como evidencia.
Los funcionarios y contratistas que utilizan los sistemas y servicios

de informacin deben observar y reportar cualquier debilidad
de se-
36
INCODER
15. ASPECTOS DE SEGURIDAD
DE LA INFORMACIN EN LA
GESTIN DE LA CONTINUIDAD DEL
NEGOCIO
15.1 Continuidad
Informacin
de
la
seguridad
de
la
Objetivo: Contrarrestar las interrupciones en las actividades del

negocio y proteger sus procesos crticos contra los efectos de
fallas importantes en los sistemas de informacin o contra
desastres y asegurar su recuperacin oportuna.
Los procesos crticos establecidos por el Incoder, deben
garantizar que sus activos de informacin estn disponibles para
su tratamiento autorizado cuando el Incoder lo requiera en la
ejecucin de sus tareas regulares. Se debe definir e implementar
un proceso para reducir la interrupcin causada por desastres
naturales, accidentes y fallos de seguridad por medio de la
combinacin de controles preventivos y de recuperacin.
Para los procesos crticos del negocio, el Incoder, debe contar
con instalaciones alternas y con capacidad de recuperacin, que
permitan mantener la continuidad del negocio an en caso de
desastre en las instalaciones de los lugares de operacin.
Cada lugar debe incluir los controles establecidos para ste tipo
de reas segn su clasificacin, para que no se vea disminuido
los aspectos de seguridad en caso de desastre.
Por razones de la continuidad en la operacin normal del negocio

se debe contar con circuitos alternos y equipos que suministren
energa en caso de una falla. Es necesario contar con servicios
de mantenimiento peridico a estos equipos y realizar pruebas
programadas a los mismos para estar siempre en posibilidad de
prestar servicio sin interrupciones a los usuarios.
Se debe seguir una estrategia de recuperacin alineada con los
objetivos de negocio, formalmente documentada y con
procedimientos perfectamente probados para asegurar la
restauracin de los procesos crticos del negocio, ante el evento
de una contingencia.
Cada responsable de los procesos del Incoder con el
acompaa- miento de la Direccin Tcnica de Informacin y
Tecnologa, debe disear, implementar, probar y mantener su Plan
de Continuidad.
El plan de continuidad debe considerar los siguientes
aspectos:
Procedimientos de contingencia. Los cuales describen las
acciones a tomar cuando ocurre un incidente que interrumpe las
operaciones del negocio, proporcionando mecanismos
alternos y temporales para continuar con el procesamiento.
Procedimientos de recuperacin. Los cuales describen las
acciones a seguir para trasladar las actividades del negocio
a un centro alterno de recuperacin.
Procedimientos de retorno. Los cuales describen las acciones
a seguir para regresar las operaciones normales a las
instalaciones originales.
37
INCODER
Programacin de pruebas. Las cuales describen la periodicidad
en que el plan de continuidad debe ser probado.
Actualizacin peridica. El plan debe actualizarse cuando
cambios realizados en el ambiente operativo impacten su
funcionalidad.
Consideraciones de seguridad. Es importante que el plan sea
dise- ado para mantener los controles de seguridad
establecidos por la Organizacin, aun cuando se opere en
modalidad de contingencia. Es responsabilidad de la
Coordinacin de Seguridad de la In- formacin asegurar que
estas consideraciones sean efectivamente contempladas en el
plan.
Cuando se realicen pruebas, simulacros o se tengan
contingencias reales, los resultados y sugerencias deben ser
entregadas a los responsables de la informacin quienes
deben actualizar sus planes y mantenerlos al da conforme los
riesgos de disponibilidad lo dictaminen.
El proceso de copia y respaldo de la informacin del Incoder
debe contar con una Poltica que debe cumplir con los
requerimientos del negocio, los de seguridad de la informacin y
los legales. Este proceso junto con sus procedimientos es la
entrada para la ejecucin de los planes de Continuidad del
Incoder, en caso de presentarse un evento que amerite la
activacin del Plan.
15.1.1 Planificacin de la continuidad de la

seguridad de la informacin y Anlisis de
riesgos
Anlisis de riesgos enfocado especficamente a valorar el impacto
de incidentes que comprometen la continuidad del negocio
teniendo en cuenta que este impacto ser mayor cuanto ms
dure el incidente. Los pasos a seguir para realizarlo son los
habituales de un anlisis de riesgos:
Se identifican los procesos crticos de
negocio.
Se identifican los eventos que pueden provocar interrupciones
en los procesos de negocio de la organizacin, p. ej. fallos
de los equipos, errores humanos, robos, incendios, desastres
naturales y actos terroristas.
Se evalan los riesgos para determinar la probabilidad y los
efectos de dichas interrupciones en cuanto a tiempo, escala de
daos y perodo de recuperacin.
Identificar los riesgos asociados a la prdida de la
confidencialidad, integridad y disponibilidad de la informacin
en el mbito del sistema de gestin de la seguridad de
informacin, y estableces acciones de control y responsables de
contribuir en la mitigacin de los riesgos.
38
INCODER
15.1.2 Implantacin de la continuidad de la

seguridad de la informacin
16. CUMPLIMIENTO
Establecer, documentar, implementar y mantener procesos,

procedimientos y controles para garantizar el nivel necesario de
continuidad para la seguridad de la informacin durante una
situacin adversa.
15.1.3 Verificacin, revisin y evaluacin de la
continuidad de la seguridad de la informacin
16.1 Cumplimiento de los requisitos

legales y contractuales
Verificar la informacin de continuidad de los controles de

seguridad establecidos y aplicados a intervalos regulares con el fin
de asegurarse de que son vlidos y eficaces en situaciones
adversas.
15.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de

procesamiento de informacin.
15.3 Disponibilidad de instalaciones

para el procesamiento de la
informacin
Las instalaciones para el procesamiento de informacin deben
contar con la suficiente redundancia para satisfacer los requisitos
de disponibilidad.
Objetivo: Evitar el incumplimiento de las obligaciones legales,

estatu- tarias, reglamentarias o contractuales relacionadas con la
seguridad de la informacin y de los requisitos de seguridad.
Las situaciones o acciones que violen la presente Poltica deben
ser detectadas, registradas, analizadas, resueltas y reportadas de
manera inmediata a travs de los canales sealados para el
efecto.
Se entendern incluidas a la Poltica las regulaciones nacionales
e internacionales que de tiempo en tiempo se expidieren y que se
rela- cionen con la misma.
Cuando de la aplicacin de tales normas se presentare un
conflicto, se entender que aplica la ms restrictiva, es decir,
aquella que exija el mayor grado de seguridad.
As mismo y con el fin de mantener un nivel de seguridad
adecuado con el negocio del Incoder, esta Poltica se debe
apoyar en las mejores prcticas de seguridad de la informacin y
aquellas que el mercado y el Incoder reconozcan como tal.
39
INCODER
La Poltica junto con el Proceso de Gestin de Informacin y

Tec- nologa del Sistema de Gestin de Calidad del Incoder
debe ser auditada anualmente para verificar su nivel, actualidad,
aplicacin, completitud y cumplimiento.
La informacin de auditora generada por el uso de los controles
de seguridad de los Recursos de Tecnologa, debe ser evaluada
por el responsable para:
Detectar Violaciones a la
Poltica.
Reportar incidentes de
seguridad.
Constatar que los datos registrados incluyen evidencias
suficientes para el seguimiento y resolucin de incidentes de
seguridad.
Peridicamente se debe evaluar el cumplimiento de los
requerimientos de seguridad por parte de los Usuarios. El
incumplimiento de los requerimientos de seguridad, se debe
registrar como un incidente a la Poltica de Seguridad de la
informacin que debe ser resuelto de acuerdo con los
procedimientos de manejo de incidentes del Incoder.
Deben establecerse procedimientos apropiados para asegurar
el cumplimiento con las restricciones de carcter legal en el
uso de material que puede estar sujeto a derechos de propiedad
intelectual tales como derechos de autor y derechos de diseo.
16.1.1 Identificacin de la legislacin

aplicable y los requisitos contractuales
Todos los requisitos pertinentes, legislativos estatutarios,
reglamentarios y contractuales, y el planteamiento de la entidad
para cumplir con estos requisitos debern estar explcitamente
identificados, documentados y protegidos al da para cada
sistema de informacin y la organizacin.
16.1.2
intelectual
Derechos
de
propiedad
Se aplicarn procedimientos apropiados para garantizar el

cumplimiento de requisitos legales, reglamentarios y
contractuales, relacionados con los derechos de propiedad
intelectual y uso de productos de software propietario.
Se debe establecer en los contratos de trabajo de empleados y
en los contratos de desarrollo realizados por proveedores y
contratistas, clusulas respecto a la propiedad intelectual del
Incoder, al material y productos generados en el desarrollo del
negocio.
16.1.3
Proteccin de los
registros
Los registros deben estar
protegidos contra prdida,
destruccin, falsificacin, acceso no autorizado y divulgacin no
autorizada, de conformidad con los requisitos de legalidad,
reglamentarias, contractuales y comerciales.
40
INCODER
16.1.4 Proteccin de datos y
privacidad de la informacin
personal
16.2.2
Cumplimiento de las polticas y normas de
seguridad
Se garantizar la privacidad y la proteccin de la informacin

de identificacin personal a lo dispuesto en la legislacin y la
reglamen- tacin pertinente en su caso.
16.1.5 Regulacin de los controles criptogrficos
Los controles criptogrficos sern utilizados en cumplimiento a
todos los acuerdos pertinentes, la legislacin y los reglamentos.
16.2
Revisiones
informacin
de
la
seguridad
de
la
Objetivo: Garantizar que la seguridad informtica sea

implementa- da y aplicada de acuerdo con las polticas y
procedimientos de la organizacin.
16.2.1 Revisin independiente de la seguridad
de la informacin
La Direccin Tcnica de Informacin y Tecnologa deber

comprobar peridicamente
el
cumplimiento
de
los
procedimientos de procesamiento de la informacin dentro de
su rea de responsabilidad con las polticas de seguridad, las
16.2.3
Comprobacin
normas y otros requisitos
de seguridad.del
cumplimiento
Los sistemas de informacin deben ser revisados regularmente
para cerciorarse que se da cumplimiento a las polticas y normas
de seguridad de la informacin de la entidad.
Las situaciones o acciones que violen la presente Poltica deben
ser detectadas, registradas, analizadas, resueltas e informadas al
comit de Seguridad de la Informacin y a las reas
responsables por su tratamiento de manera inmediata.
El enfoque de la organizacin para la gestin de seguridad de la

informacin y su aplicacin (es decir, los objetivos de control,
controles, polticas, procesos y procedimientos para la seguridad de
la informacin) se revisar de forma independiente a intervalos
planificados o cuando se produzcan cambios significativos.
Elaborado:
Direccin Tcnica de Informacin y Tecnologa Junio de
2014
Revisado:
Prensa y comunicaciones Julio de 2014
41

Politica de Seguridad Del A Informacion

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Politica de Seguridad Del A Informacion

Uploaded by

Copyright:

Available Formats

POLTICA DE

Gestin de vulnerabilidades tcnicas ............................

SEGURIDAD DE LAS TELECOMUNICACIONES ..........

RELACIONES CON LOS PROVEEDORES ...................

Revisiones de la seguridad de la informacin ................

Este documento est basado en las siguientes normas y

Norma ISO-17799 Versin 2005 Estndar Internacional Para

operacin y buscar mejor disponibilidad, integridad y

Confidencialidad: Se refiere a que la informacin solo puede

Disponibilidad: La disponibilidad de la informacin se refiere a

1.4 Estructura de la poltica

Los activos de informacin se clasifican para indicar la

2.2 Incidente de seguridad

Cualquier incidente generado durante la utilizacin u operacin

El Incoder se compromete a producir, proveer y divulgar

Las polticas de seguridad de la informacin se revisarn

Objetivo: Establecer un marco de gestin para iniciar y controlar

4.1 Organizacin interna

Jefe de la Oficina Asesora Jurdica, su objetivo es: Asegurar que

4.1.1 Asignacin de responsabilidades para la seguridad

Objetivo: Garantizar la seguridad del teletrabajo y el uso de

Las responsabilidades de seguridad de la informacin estn

Se mantendrn los contactos apropiados con las autoridades

El uso de los equipos porttiles fuera de las instalaciones del

La seguridad de la informacin se dirigir en la gestin de

A LOS RECURSOS HUMANOS

Objetivo: Asegurar que los empleados y contratistas entiendan

Objetivo: Asegurar que los empleados y contratistas conozcan

La administracin pedir a todos los empleados y contratistas,

5.3 Terminacin o cambio de empleo

Es responsabilidad de la Secretaria General Coordinacin de

6.2 Clasificacin de la informacin

Objetivo: Asegurar que la informacin reciba un nivel adecuado

ser realizada por el responsable de la misma, teniendo en

Confidencial: El acceso a la informacin por parte de personal

se debe borrar la informacin del disco de forma segura, de

La informacin clasificada como top secret, secreta confidencial

Los procedimientos para el etiquetado de la informacin sern

Objetivo: Evitar la divulgacin no autorizada, modificacin,

7.1 Requisitos de negocio para el Control de acceso

La gestin de medios extrables se realizar de acuerdo con el

Los equipos de cmputo que tienen autorizado el manejo de USB

El INCODER garantiza entornos con controles de acceso

Tener habilitado el escaneo automtico de

Los servidores pblicos responsables de las reas seguras tienen

7.2 Gestin de acceso de usuario

7.2.3 Gestin de derechos de acceso privilegios especiales

Una vez se han identificado y autenticado, los usuarios slo

El uso de las claves de usuarios administradoras, tales como:

El acceso a los Activos de Informacin del Incoder, debe ser

La asignacin y utilizacin de los derechos de acceso preferente

La asignacin de la informacin secreta de autenticacin se

7.4.1 Restriccin del acceso a la informacin

Objetivo: Hacer que los usuarios responsables de salvaguardar

El acceso a la informacin estar restringido de conformidad con

7.3.1 Uso de la informacin confidencial para la autenticacin

7.4.2 Procedimientos seguros de inicio de sesin.

Se exigir a los usuarios que sigan prcticas de la organizacin

El acceso a los servicios de informacin slo ser posible a travs

7.4 Control de acceso a sistemas y aplicaciones

Objetivo: Evitar el acceso no autorizado a los sistemas y

El Incoder tiene establecidos controles fsicos y de acceso lgico

Junto con el nombre de usuario el funcionario recibir una contrasea