Professional Documents
Culture Documents
SEGURIDAD DE LA
INFORMACIN DEL
INCODER
L i be
r tad
y Ord e n
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Contenido
1
1.1
1.2
4
1.3
1.4
2
5
2.1
6
2.2
3
7
3.1
4.
7
4.1
8
4.2
5.
9
10
5.1
10
5.2
10
5.3
11
INTRODUCCIN ...................................................... 4
Objetivo.................................................................... 4
Trminos y definiciones.................................................
Alcance .................................................................... 5
Estructura de la poltica ................................................
GESTIN Y TRATAMIENTO DE ACTIVOS
DE INFORMACIN .................................................. 6
Principal concepto de activos de informacin ...................
Incidente de seguridad............................................... 7
POLTICA DE SEGURIDAD DE LA INFORMACIN .........
Directrices de la Direccin en seguridad de la informacin.
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD
DE LA INFORMACIN............................................... 8
Organizacin interna...................................................
Dispositivos para movilidad y el teletrabajo .....................
SEGURIDAD LIGADA A LOS RECURSOS HUMANOS .
Antes de la contratacin.............................................
Durante la contratacin y/ o empleo .............................
Terminacin o cambio de empleo ................................
6.
GESTIN DE ACTIVOS ........................................... 11
6.1 Responsabilidad sobre los activos ................................
11
6.2 Clasificacin de la informacin ...................................
12
7.
DE soportes
ACCESOS
........................................
6.3 CONTROL
Manejo de los
de almacenamiento
..................
16
16
7.1 Requisitos de negocio para el Control de acceso............
16
7.2 Gestin de acceso de usuario .....................................
17
7.3 CIFRADO
8.
Responsabilidades
...............................................................
del usuario..................................... 20
19
8.1 Controles criptogrficos ...............................................
7.4 Control de acceso a sistemas y aplicaciones .................
20
9.
LA SEGURIDAD FSICA Y AMBIENTAL .......................
19
20
9.1 reas seguras ..........................................................
20
9.2
Seguridad de los Equipos...........................................
1.
Responsabilidades
y Procedimientos de operacin ..........
24 25
10
SEGURIDAD
EN cdigo
LA OPERATIVA
2.
Proteccin
contra
malicioso ................................
..............................
25 26
10.3 Copias de Seguridad ................................................
27
4.
Registro de actividad y supervisin ...............................
28
5.
Control de software en explotacin ..............................
29
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
6.
7.
11.
15.
ASPECTOS DE SEGURIDAD DE LA
INFORMACIN EN LA GESTIN DE LA
CONTINUIDAD
DEL
NEGOCIO
.......................................................
15.1 Continuidad
de la seguridad de la Informacin ..............
37
37
15.2 Redundancias...........................................................
39
15.3 Disponibilidad de instalaciones para el procesamiento de la
informacin .............................................................
39
16.
39
1.
CUMPLIMIENTO......................................................
Cumplimiento de los requisitos legales y contractuales .....
2.
Norma
41 ISO 27000 27001 Versin 2013 - Seguridad de la
Infor- macin.
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
1 INTRODUCCIN
En ejercicio de las funciones sealadas en el numeral 14 del
Artculo 12 del Decreto 4801 de 2011 se aprueba la primera
Poltica de Seguridad de la Informacin con base en las
actualizaciones sufri- das por la norma ISO/IEC 27002 Versin
2005.
Para la Direccin Tcnica de Informacin y Tecnologa, es
primordial contar con un Manual de Polticas de Seguridad de la
Informacin, para mantener todos los sistemas de informacin
funcionando de ma- nera ptima, en un entorno que sirva para
soportar los procesos administrativos de las diferentes reas,
por medio de la ejecucin de un conjunto de acciones
previamente definidas y conocidas por funcionarios claves, que
soportan toda la infraestructura de la infor- macin del
INCODER.
Con esta poltica se busca garantizar el servicio de las TICs
cuando fuese necesario, tratando de identificar, evaluar, gestionar
y minimi- zar cualquier tipo de riesgo relacionado con seguridad,
polticas y/o procedimientos que se tienen en la Entidad.
1.1
Objetivo
Presentar una poltica de uso adecuado de la tecnologa para
el procesamiento de la informacin. Establecer una cultura e
indicar el conjunto de instrucciones o normas generales
necesarias para la
1.2
Trminos
definiciones
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
1.3
Alcance
La presente Poltica de Seguridad de la Informacin se aplica a las
in- formaciones institucionales, informaciones exteriores de clientes,
y de servicios por terceros, en cumplimiento de las disposiciones
legales vigentes, con el objeto de gestionar adecuadamente la
seguridad de la informacin, los sistemas informticos y el
ambiente tecnolgico del Incoder.
Las Polticas de Seguridad de la Informacin contenidas en este
do- cumento, son mandatos generales, de obligatorio
cumplimiento por todos los funcionarios, contratistas y terceras
partes, que presten sus servicios al INSTITUTO COLOMBIANO
DE DESARROLLO RURAL INCODER.
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
2 GESTIN Y TRATAMIENTO DE
ACTIVOS DE INFORMACIN
2.1
Principal
informacin
concepto
de
activos
de
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
El Incoder provee los medios necesarios para asegurarse de
que cada Usuario preserve y proteja los activos de informacin
de una manera consistente y confiable. Cualquier persona que
intente inha- bilitar, vencer o sobrepasar cualquier control de
Seguridad de la In- formacin en forma no autorizada ser sujeto
de las acciones legales correspondientes.
Los recursos de Informacin del INCODER son exclusivamente
para propsitos de la organizacin y deben ser tratados como
activos de- dicados a proveer las herramientas para realizar el
trabajo requerido.
El Incoder promueve el buen uso de los recursos de Informacin,
con- servando el derecho a la intimidad, la privacidad, el habeas
data, y la proteccin de los datos de sus propietarios.
El INCODER, se reserva el derecho de restringir el acceso a
cualquier Informacin en el momento que lo considere conveniente.
3 POLTICA DE
SEGURIDAD DE LA
INFORMACIN
3.1 Directrices de la Direccin en seguridad de la
infor- macin.
Objetivo: Dar las directrices para la entidad en lo relacionado
con Seguridad de la Informacin.
3.1.1 Conjunto de polticas para
informacin
la
seguridad de la
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
3.1.2 Revisin
informacin.
de
las
polticas
de
seguridad
de
la
DE LA SEGURIDAD DE LA
INFORMACIN
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
4.2 Dispositivos para movilidad y el teletrabajo
4.2.1 Poltica
movilidad
de
a
de
los
de
uso
de
dispositivos
para
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
5.2 Durante la contratacin y/ o empleo
4.2.2
Teletrabajo
Cualquier funcionario del Incoder, autorizado por la Direccin
Tc- nica de Informacin y Tecnologa, que requiera tener
acceso a la informacin de la Institucin desde redes externas,
podr
acceder remotamente mediante un proceso de
autenticacin; uso de conexio- nes seguras. Lo anterior asegurando
el cumplimiento de requisitos de seguridad de los equipos desde
los
se accede. LIGADA
5. que
SEGURIDAD
de
la
Responsabilidades
de
10
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
5.2.2 Concientizacin, educacin y formacin en la seguridad
de la informacin
La Direccin Tcnica de Informacin y Tecnologa realizar
capaci- taciones a todos los empleados y contratistas de la
organizacin de sensibilizacin, educacin y formacin adecuada
y actualizaciones peridicas en las polticas y procedimientos de la
organizacin, que sea relevante para su funcin laboral.
5.2.3 Proceso disciplinario
Se solicitar proceso disciplinario formal y comunicado en lugar
de tomar medidas contra los empleados que hayan cometido una
viola- cin de la seguridad de la informacin, y segn corresponda
la inves- tigacin ser tramitada por el Proceso de Control Interno
Disciplinario de la Entidad o la Procuradura General de la Nacin.
6. GESTIN DE ACTIVOS
6.1 Responsabilidad sobre los activos
Objetivo: Identificar los activos de la organizacin y definir las
res- ponsabilidades de proteccin adecuados.
Todos los activos de informacin en el Incoder sern clasificados
se- gn el contenido, y los controles adecuados sern
implementados de acuerdo a su importancia en la organizacin.
6.1.1 Inventario de activos
Los activos relacionados con la informacin y las instalaciones
de procesamiento de informacin deben ser identificados dentro
del in- ventario de activos del Instituto.
11
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
6.1.2 Propiedad de los activos
Los activos mantenidos en el inventario son de propiedad del
Incoder.
6.1.3 Uso aceptable de los
activos
Las normas para el uso aceptable de la informacin y de los
activos asociados a la informacin y las instalaciones de
procesamiento de informacin estn identificadas en el presente
documento y deben cumplirse de forma obligatoria por sus
6.1.4
Devolucin de los
responsables.
activos
Todos los empleados y contratistas debern devolver todos los
acti- vos de la organizacin en su poder a la terminacin de su
empleo, contrato o acuerdo.
12
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Los datos y la informacin pblica se armonizan con la seguridad de la informacin, los controles son establecidos segn la
jerar- qua formulada en el siguiente cuadro:
PUBLICABL
E
NO PUBLICABLE
INFORMACION
PERSONAL
SEMIPRIVADA
TOP SECRET
SENSITIVA
PUBLICA NO
CLASIFICAD
A
SECRET
A
CONFIDENCIAL
EN CONFIANZA
RESTRINGIDA
13
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
De acuerdo con el anterior grfico, el Instituto establece los
controles de proteccin a la informacin.
Datos e informacin publicable: Aquellos en los que la Ley no
ha dado el carcter de reservado y obliga a su publicacin, si
esta de- finidos como datos abiertos.
Datos e informacin no publicable: Aquellos en los que la Ley
ha otorgado el carcter de reservados y de proteccin legal,
por tal motivo no puede ser publicada.
Datos e informacin personal semiprivada: Datos e
informacin personal que no es de dominio pblico, pero que ha
sido obtenida u ofrecida por orden de una autoridad administrativa
en el cumplimien- to de sus funciones o en el marco de los
principios de administracin de datos personales. Esta informacin
puede ser o no sujeta a reserva por su titular.
Informacin que requiere proteccin por razones de
seguridad nacional.
Top Secret: El acceso a la informacin por parte de personal
no autorizado, as como la alteracin en la integridad de la
informacin podra daar los intereses nacionales de manera
grave y tendr un alto impacto sobre el instituto.
Secreta: El acceso a la informacin por parte de personal no
au- torizado, as como la alteracin en la integridad de la
informacin podra daar los intereses nacionales de manera
seria y tendra un medio impacto sobre el instituto.
14
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
de confidencialidad indicando las restricciones de uso de
dicha informacin.
Se deben utilizar los mecanismos apropiados de control de
acceso a la informacin dependiendo de su nivel de
clasificacin.
Los servicios pblicos, contratistas, pasantes o estudiantes no
pue- den tomar informacin top secret, secreta, confidencial, y/ o
restrin- gida cuando termine su vnculo con el instituto.
La destruccin de informacin top secret, secreta,
confidencial y restringida se realizar de acuerdo a mtodos
aprobados por el responsable de seguridad de la informacin.
El nico impedimento para la destruccin de la informacin
puede ser una restriccin sealada expresamente por parte de
la Oficina Asesora Jurdica, de acuerdo a la estructura orgnica
del Incoder, y/ o radicada en las tablas de retencin
documental.
Almacenamiento
de
Informacin.
La informacin top secret, secreta confidencial y/o restringida
alma- cenada en cualquier medio electrnico, o fsico, debe ser
protegida por medio de mecanismos de cifrado.
Los equipos de cmputo y/ o porttiles
que almacenen
informacin top secret, secreta confidencial y/ o restringida deben
estar protegi- dos con mecanismos de seguridad para evitar que
ante la prdida del equipo una persona no autorizada pueda
acceder a la informacin all almacenada. As mismo si son
reasignados a usuarios diferentes,
de
manipulado
de
la
15
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
6.3
Manejo
almacenamiento
de
los
soportes
de
7. CONTROL DE
ACCESOS
7.1.1 Poltica
accesos
de
Control
de
16
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
El acceso a reas seguras requieren esquemas de control de
acce- so, como tarjetas, llaves o candados.
El responsable de un rea segura debe asegurar que no
ingresen cmaras fotogrficas, videos, telfonos mviles con
cmaras, salvo se tenga una autorizacin expresa del D.T.I.T.
Se utilizan planillas para registrar la entrada y salida del
personal.
Se restringe el acceso fsico a dispositivos como: puntos de acceso
inalmbricos, puertas de enlace a redes y terminales de red
que estn ubicadas en las reas seguras.
7.1.2 Control de acceso a las redes y servicios asociados
Los usuarios que dispongan de acceso y servicios de la red son
los que han sido especficamente autorizados para su uso.
Cada usuario es responsable por sus acciones mientras usa
cualquier recurso de Informacin del Incoder. Por lo tanto, la
identidad de cada Usuario de los recursos de informacin est
establecida de una manera nica. Esta identidad de ninguna
manera o por ninguna circunstancia podr ser compartida. El
sobrepaso a ste medio ser tratado como una infraccin a
seguridad de la informacin.
Los niveles de acceso deben reflejar permanentemente una
necesi- dad clara y demostrada de negocio y no deben
comprometer la segregacin de funciones y responsabilidades.
17
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Debe estar activo para acceder a la plataforma tecnolgica y
de operacin del Incoder, lo que significa que cada usuario tiene
que identificarse y autenticarse antes de acceder a un recurso de
tecno- loga por medio de un usuario y una contrasea.
18
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
7.3 Responsabilidades del usuario
7.4.3
Sistema
contraseas
de
gestin
de
19
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
7.4.4 Uso de herramientas de administracin de
sistemas
El uso de programas de utilidad que podran ser capaces de
anular el sistema y de aplicaciones con controles principales ser
restringido y estrechamente controlado.
7.4.5 Control de acceso al cdigo fuente de los
programas
El acceso al cdigo fuente del programa es limitado. Solamente
los ingenieros del grupo de soporte podrn contar con acceso a
esta in- formacin y harn uso de la misma. Se debe monitorear
los registros de log in.
8. CIFRADO
8.1
criptogrficos
de
9. LA SEGURIDAD FSICA Y
AMBIENTAL
9.1
seguras
Controles
Administracin
reas
20
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Para el ingreso de terceros al Centro de Cmputo, se tienen que
re- gistrar en la bitcora ubicada en un lugar visible a la entrada a
este lugar.
Los privilegios (de los funcionarios y/o contratistas) de acceso
fsico a los Centros de Cmputo deben ser eliminados o
modificados opor- tunamente a la terminacin, transferencia o
cambio en las labores de un funcionario autorizado.
Las oficinas e instalaciones donde haya atencin al pblico no
deben permanecer abiertas cuando los funcionarios se levantan de
sus pues- tos de trabajo, as sea por periodos cortos de tiempo.
Las contraseas de sistemas de alarma, cajas fuertes, llaves y
otros mecanismos de seguridad de acceso a las oficinas solo
deben ser utilizadas por los funcionarios y/ o contratistas
autorizados y salvo situaciones de emergencia, estos no deben
ser transferidos a otros funcionarios del instituto o funcionarios
provistos por terceras partes.
Las oficinas e instalaciones donde se maneje informacin
sensible deben contar con sistemas de alarmas y cmaras.
Todos los funcionarios deben permanecer con el carnet que los
iden- tifica como funcionarios y/ o contratistas del Incoder, mientras
perma- nezcan en las instalaciones.
Todos los funcionarios deben reportar, a la mayor brevedad,
cual- quier sospecha de prdida o robo de carnet de identificacin
y tarje- tas de acceso fsico a las instalaciones del Instituto
21
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
El Centro de Cmputo debe estar separado de reas que
tengan lquidos inflamables o estn en riesgo de inundaciones e
incendios.
Deben existir mecanismos de revisin y control del ingreso de
cual- quier tipo de material al Centro de Cmputo.
En el Centro de Cmputo debern existir sistemas de
deteccin y extincin automticas de incendios e inundacin y
alarmas en caso de detectarse condiciones inapropiadas.
Los niveles de temperatura y humedad relativa en el Centro de
Cm- puto deben ser mantenidos dentro de los lmites
requeridos por la infraestructura de cmputo all instalada, para lo
cual se deben usar sistemas de aire acondicionado.
Se debe monitorear y revisar de manera permanente el estado de
los componentes de soporte fsico, elctrico y ambiental que hacen
parte del Centro de Cmputo, como son el sistema de aire
acondicionado y el sistema de deteccin y extincin de incendios,
entre otros.
Los trabajos de mantenimiento de redes elctricas, cableados de
da- tos y voz, deben ser realizados por personal especialista y
debida- mente autorizado e identificado.
Se deben realizar mantenimientos preventivos y pruebas de
funciona- lidad del sistema de UPS y/ o plantas elctricas, de los
sistemas de deteccin y extincin de incendios y del sistema de
aire acondicio- nado.
contra
las
amenazas
externas
22
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Medio ambiente: La Direccin Tcnica de Informacin y
Tecnologa y la Secretaria General debern monitorear las
variables de tempera- tura y humedad de las reas de
procesamiento de informacin.
Identificacin de terceros, explosivos y corrosivos: Todos los
visitan- tes o terceras personas, que ingresan a las instalaciones
del Instituto, deben poseer una identificacin a la vista. Por
ninguna razn se podr tener material explosivo o corrosivo dentro
o en sitio cercano a reas definidas como seguras.
Fuego: En los centros de procesamiento deben instalarse
detectores de humo, en forma adecuada y en nmero suficiente,
para detectar conato o indicio de incendios. En las reas seguras
no se debe tener material inflamable tales como: Cajas, manuales,
formas continas, papel.
Los detectores deben probarse de acuerdo a las
recomendaciones del fabricante o al menos una vez cada seis
meses.
Se deben tener extintores debidamente aprovisionados, con
carga vigente y con capacidad de detener fuego generado
por equipo elctrico, papel o qumicos especiales.
Interferencia elctrica y/o radiacin electromagntica: El
cablea- do lgico, debe estar protegido de las interferencias
electromagnti- cas producidas por equipos elctricos y/ o
industriales.
Los cables de potencia deben estar separados de los cables de
co- municacin, siguiendo normas tcnicas. Los equipos deben
proteger- se de fallas de potencia u otras anomalas de tipo
elctrico.
23
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
9.2
Seguridad
Equipos
9.2.1 Emplazamiento
equipo
de
y
los
Proteccin
24
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Informacin confidencial y crtica para el Instituto debe ser
asegura- da preferiblemente en armarios resistentes a impacto,
fuego e inun- dacin. Los computadores personales no se deben
dejar dentro de sesin, se recomienda el uso de llaves fsicas,
contraseas, y otro tipo de controles cuando no estn en uso.
Puntos de envo y recepcin del correo, mquinas de fax, deben
ser protegidos de acceso no autorizado.
Las fotocopiadoras deben estar protegidas de uso no
autorizado.
10 SEGURIDAD EN LA
OPERATIVA
10.1 Responsabilidades y Procedimientos de
operacin
Objetivo: Asegurar operaciones correctas y seguras de las
instalacio- nes de procesamiento de informacin.
La Direccin Tcnica de Informacin y Tecnologa del Incoder,
encar- gada de la operacin y administracin de la plataforma
tecnolgica (Voz y Datos) que apoya los procesos de negocio,
asignar funciones especficas a sus funcionarios y/ o contratistas,
quienes actuarn como responsables de garantizar la adecuada
operacin y administracin de dicha plataforma, manteniendo y
actualizando la documentacin de los procesos operativos para la
ejecucin de dichas actividades.
Los responsables de la Seguridad de la Informacin deben
apoyar en la definicin de soluciones para dar cumplimiento a los
niveles de seguridad establecidos por el Incoder.
25
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Se debe garantizar que todo cambio realizado sobre la
plataforma tecnolgica del Incoder, quedar formalmente
documentado desde su solicitud hasta su implantacin
cumpliendo con el procedimiento correspondiente.
Los dueos o responsables de los activos de informacin
tecnolgicos y recursos informticos deben solicitar formalmente los
requerimientos de
nuevas
funcionalidades,
servicios
o
modificaciones sobre sus sis- temas de informacin.
Los Administradores de los activos de informacin tecnolgicos y
re- cursos informticos deben garantizar que las modificaciones o
adi- ciones en las funcionalidades de los sistemas de informacin
estn soportadas por las solicitudes realizadas por los usuarios,
siguiendo el procedimiento vigente para dicha accin.
10.1.3
capacidades
Gestin
de
26
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Los usuarios de los activos de informacin tecnolgicos no
pueden modificar la configuracin establecida para el software
antivirus.
Los usuarios de activos de informacin tecnolgicos y recursos
infor- mticos deben hacer uso exclusivo de hardware y
software autori- zado por los funcionarios de la Direccin Tcnica
de Informacin y Tecnologa.
Los usuarios de activos de informacin tecnolgicos y recursos
infor- mticos deben garantizar que las descargas de archivos
adjuntos de los correos electrnicos o descargados de internet
realizadas, provie- nen de fuentes conocidas, seguras y exclusivas
de acuerdo con las funciones encomendadas.
Los usuarios de activos de informacin tecnolgicos y recursos
infor- mticos deben correr el software antivirus sobre archivos
y/o docu- mentos que son abiertos y/ o ejecutados por primera
vez.
Los usuarios de activos de informacin tecnolgicos deben
comuni- carse con la Direccin Tcnica de Informacin y
Tecnologa al encon- trar un virus, del cual no se sabe cmo
eliminarlo, cmo actuar frente al mismo o de considerarlo
necesario.
de
la
27
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
de generacin, retencin y rotacin de las copias de respaldo
que se realizan.
28
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
10.5 Control de software en explotacin
10.7.1 Controles
informacin
de
auditora
de
sistemas
de
11. SEGURIDAD
DE LAS TELECOMUNICACIONES
11.1 Gestin de la seguridad en las redes
Objetivo: Garantizar la proteccin de la informacin en las redes
y sus instalaciones de apoyo de procesamiento de informacin.
29
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
11.1.1 Controles de red
Las redes debern ser administradas y controladas para proteger
la informacin en los sistemas y aplicaciones.
11.1.2 Mecanismos de Seguridad asociados a servicios en
red
Los mecanismos de seguridad, niveles de servicio y los requisitos
de gestin de todos los servicios de la red deben ser
identificados e incluidos en los acuerdos de servicios de red.
11.1.3 Segregacin de redes
La plataforma tecnolgica del Incoder que soporta los sistemas
de Informacin debe estar separada en segmentos de red fsicos y
lgi- cos e independientes de los segmentos de red de usuarios,
de cone- xiones con redes con terceros y del servicio de acceso a
Internet. La divisin de estos segmentos debe ser realizada por
medio de disposi- tivos perimetrales e internos de enrutamiento y
de seguridad si as se requiere. La Direccin Tcnica de
Informacin y Tecnologa es el rea encargada de establecer el
permetro de seguridad necesario para proteger dichos segmentos,
de acuerdo con el nivel de criticidad del flujo de la informacin
transmitida.
El Incoder debe establecer mecanismos de identificacin
automtica de equipos en la red, como medio de autenticacin de
conexiones, desde segmentos de red especficos hacia las
plataformas donde operan los sistemas de informacin de la
entidad.
Es responsabilidad de los administradores de recursos
tecnolgicos garantizar que los puertos fsicos y lgicos de
diagnstico y configu- racin de plataformas que soporten
sistemas de informacin deban
30
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Cuando se considere necesario, los servicios de intercambio de
infor- macin tambin incluirn garantas de no repudio.
La Direccin Tcnica de Informacin y Tecnologa, velara por la
pro- teccin de la informacin, sin embargo el contenido de los
archivos enviados a travs del canal de Internet institucional ser
directamente responsabilidad del funcionario y/o contratista.
Los responsables del intercambio de informacin con entidades
exter- nas deben definir en compaa de la Direccin Tcnica de
Informa- cin y Tecnologa las estrategias para la correcta gestin
e intercam- bio seguro de la misma.
Los responsables del intercambio de informacin con entidades
ex- ternas deben disear, establecer y aplicar acuerdos en los
cuales se definan las responsabilidades en el intercambio de
informacin de las partes que interacten en el mismo.
La Direccin Tcnica de Informacin y Tecnologa debe proveer
los recursos necesarios con los cuales sea posible garantizar el
correcto, adecuado y seguro intercambio de informacin desde
estaciones de trabajo y equipos porttiles, as, como desde los
dispositivos externos o mviles. As mismo, debe garantizar que
las transacciones del In- coder realizadas de manera electrnica o
haciendo uso de las redes de comunicaciones y las estaciones de
trabajo de la misma, cuentan con los controles suficientes para
evitar transmisiones incompletas,
31
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
12. ADQUISICIN, DESARROLLO
Y MANTENIMIENTO DE LOS
SISTEMAS DE INFORMACIN
12.1 Requisitos de seguridad de los
sistemas de informacin
Objetivo: Garantizar que la seguridad informtica es una parte
inte- gral de los sistemas de informacin a travs de todo el ciclo
de vida. Esto tambin incluye los requisitos para los sistemas de
informacin que proporcionan los servicios a travs de redes
pblicas.
12.1.1 Anlisis y especificacin de los requisitos de seguridad.
Los requisitos relacionados con la seguridad de la informacin
sern incluidos en los requerimientos para los nuevos sistemas de
informa- cin o mejoras a los sistemas de informacin existentes.
Los responsables por la provisin de soluciones deben crear y
mante- ner una metodologa que controle el ciclo completo de
adquisicin, desarrollo, mantenimiento y disposicin seguro de
soluciones de in- formacin e infraestructura
Los requerimientos de seguridad de la Informacin deben ser
identifi- cados previos al diseo o requisicin de soluciones de
informacin e infraestructura. De ser necesario el desarrollo interno,
los requerimien- tos deben ser incluidos dentro de los sistemas y si
una modificacin es solicitada, debe cumplir estrictamente con
los requerimientos de Seguridad de la Informacin que han sido
previamente establecidos.
32
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
12.1.3 Proteccin
telemticas
de
las
transacciones
por
redes
Entorno
de
desarrollo
33
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
12.2.8 Pruebas de funcionalidad durante el
desarrollo de los Sistemas
34
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
13.1.3 Cadena de suministro en tecnologas de la
informacin y comunicaciones
Incluir los requisitos para los acuerdos con proveedores para
abor- dar los riesgos de la seguridad de la informacin asociada
con los servicios de las tecnologas de informacin y
comunicacin y de la cadena de suministro de productos.
35
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Los incidentes de seguridad, resultantes del incumplimiento de la
Po- ltica y Normas de seguridad del Incoder sern direccionados
por el Procedimiento de manejo de incidentes establecido por la
Direccin Tcnica de Informacin y Tecnologa, con el objetivo
de realizar la respectiva investigacin y entregar los resultados a
los
respectivos responsables dentro de la Organizacin,
encargados de tomar las acciones correctivas y preventivas del
caso.
Los empleados debern estar informados del proceso
disciplinario que se llevar a cabo en caso de incumplimiento de la
Poltica de Se- guridad de la Informacin o alguno de los
elementos que la soportan. En cualquier caso se har un
seguimiento de acuerdo con los proce- dimientos establecidos
para el manejo de incidentes de seguridad.
14.1.1
Responsabilidades
y
procedimientos
La responsabilidad y el procedimiento de manejo para asegurar
una respuesta rpida, eficaz y ordenada a los incidentes de
seguridad de la informacin est en cabeza de la Direccin tcnica
de Informacin y Tecnologa.
14.1.2 Informar sobre los eventos de seguridad de informacin
Los eventos de seguridad de informacin se comunicarn a travs
de canales de gestin adecuadas tan pronto como sea posible.
14.1.3 Notificacin de puntos dbiles de la seguridad
Recopilacin
de
36
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
15. ASPECTOS DE SEGURIDAD
DE LA INFORMACIN EN LA
GESTIN DE LA CONTINUIDAD DEL
NEGOCIO
15.1 Continuidad
Informacin
de
la
seguridad
de
la
37
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Programacin de pruebas. Las cuales describen la periodicidad
en que el plan de continuidad debe ser probado.
Actualizacin peridica. El plan debe actualizarse cuando
cam- bios realizados en el ambiente operativo impacten su
funcionali- dad.
Consideraciones de seguridad. Es importante que el plan sea
dise- ado para mantener los controles de seguridad
establecidos por la Organizacin, aun cuando se opere en
modalidad de contingen- cia. Es responsabilidad de la
Coordinacin de Seguridad de la In- formacin asegurar que
estas consideraciones sean efectivamente contempladas en el
plan.
Cuando se realicen pruebas, simulacros o se tengan
contingencias reales, los resultados y sugerencias deben ser
entregadas a los responsables de la informacin quienes
deben actualizar sus pla- nes y mantenerlos al da conforme los
riesgos de disponibilidad lo dictaminen.
El proceso de copia y respaldo de la informacin del Incoder
debe contar con una Poltica que debe cumplir con los
requerimientos del negocio, los de seguridad de la informacin y
los legales. Este pro- ceso junto con sus procedimientos es la
entrada para la ejecucin de los planes de Continuidad del
Incoder, en caso de presentarse un evento que amerite la
activacin del Plan.
38
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
16. CUMPLIMIENTO
15.2 Redundancias
39
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
Derechos
de
propiedad
40
POLTICA DE SEGURIDAD
DE LA INFORMACIN DEL
INCODER
16.1.4 Proteccin de datos y
privacidad de la informacin
personal
16.2.2
Cumplimiento de las polticas y normas de
seguridad
16.2
Revisiones
informacin
de
la
seguridad
de
la
Elaborado:
Direccin Tcnica de Informacin y Tecnologa Junio de
2014
Revisado:
Prensa y comunicaciones Julio de 2014
41