manual del sistema de gestiÓn de seguridad de la … manual del... · 2018-02-12 · proteja,...

UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX

VERSIÓN: 01 PÁGINA: 1 de 37

PROCESO GESTION DE TIC FECHA: DD/MM/AAAA

MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

VIGENCIA: AAAA

ELABORO: REVISO: Olga Lucía Balaguera APROBÓ: Claudio Javier Criollo R.

CARGO: CARGO: Jefe Oficina de Sistemas CARGO: Representante de la Alta Dirección (E)

FIRMA FIRMA FIRMA

Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario

MANUAL DEL SISTEMA DE GESTIÓN

DE SEGURIDAD DE LA INFORMACIÓN

(SGSI)

UNIVERSIDAD DE

LOS LLANOS





VIGENCIA: AAAA


CONTENIDO

INTRODUCCIÓN 6

1. OBJETIVO 7

1.1 OBJETIVOS ESPECÍFICOS 7

2 ALCANCE 8

3 NIVEL DE CUMPLIMIENTO 9

4 RESPONSABILIDAD 10

5 MARCO NORMATIVO 11

5.1. Marco general de seguridad de la información 11

5.2. Términos y definiciones 12

6 CONDICIONES GENERALES 14

7 LINEAMIENTOS DE OPERACIÓN DE SEGURIDAD INFORMÁTICA 16

7.1. Organización de la seguridad de la información 16

7.1.1. Objetivos 16

7.1.2. Responsabilidad 16

7.1.3. Lineamientos 16

7.1.3.1. Infraestructura de la seguridad de la información 16

7.1.3.2. Autorización para instalaciones de procesamiento de información 17

7.1.3.3. Asesoramiento especializado en materia de seguridad de la información 17

7.1.3.4. Revisión del Sistema de Gestión de seguridad de la Información 17

7.1.3.5. Seguridad frente al Acceso por parte de terceros 17

7.1.3.6. Identificación de riesgos del acceso de terceros 17

7.1.3.7. Requerimientos de seguridad en contratos con terceros 18

7.2. Gestión de activos 19

7.2.1. Activos de Información 19

7.2.2. Normas 19

7.2.3. Responsabilidad de los Activos de Información 19

7.2.4. Clasificación de la Información 20

7.2.5. Etiquetado y Manejo de la Información 20

7.2.6. Base de datos – Inventario de activos de información 21

7.2.7. Clasificación de la información 21

7.2.8. Devolución de los activos 21

7.2.9. Gestión de Medios Removibles 21

7.2.10. Disposición de los activos 21

7.2.11. Dispositivos Móviles 21

7.3. Control de acceso a la información 21

7.3.1. Control de acceso con usuario y contraseña 22

7.3.2. Gestión de Contraseñas 22

7.3.3. Perímetro de Seguridad 23

7.3.4. Perímetro de seguridad física 23





VIGENCIA: AAAA


8.3.4.1 Reglas de control de acceso 23

7.4. Privacidad y confidencialidad 24

7.4.1. Ámbitos de aplicación 24

7.4.2. Principios del tratamiento de datos personales 24

7.4.3. Derechos del titular de la información 25

7.4.4. Deberes de la Universidad de los Llanos como responsable y encargada del tratamiento de los datos personales 25

7.4.5. Autorización y consentimiento del titular 26

7.4.6. Seguridad de la información y medidas de seguridad 27

7.4.7. Confidencialidad 27

7.5. Seguridad de los recursos humanos 28

7.5.1 Responsabilidad 28

7.5.2 Lineamientos 28

7.5.2.1 Seguridad en la definición de perfiles del personal 28

7.5.2.2 Capacitación del usuario 28

7.5.2.3 Respuesta a incidentes, eventos o violación de la seguridad 29

7.6. Lineamiento de escritorio y pantalla limpia. 29

7.6.1. Objetivo 29

7.6.2. Objetivos específicos 29

7.6.3. Aplicabilidad 29

7.6.4. Directrices 30

7.6.4.1 Escritorios 30

7.6.4.2 Pantallas 30

7.6.4.3 Monitoreo 30

7.7. Comunicaciones y manejos operativos 30

7.7.1. Control de cambios operacionales 31

7.7.2. Gestión y manejo de incidentes 31

7.7.3. Separación entre instalaciones de desarrollo e instalaciones operativas 31

7.7.4. Gestión de instalaciones externas 31

7.7.5. Planificación y aprobación de sistemas 32

7.7.6. Protección contra software malicioso 32

7.8. Mantenimiento 32

7.8.1. Backups y resguardo de información 32

7.8.2. Registro de actividades del personal operativo y fallas 32

7.9. Administración de la red 32

7.9.1. Administración y seguridad de medios de almacenamiento 33

7.9.1.1 Administración de medios removibles 33

7.9.1.2 Eliminación adecuada de medios de información 33

7.9.1.3 Intercambio de información y software 33

8.9.1.4 Seguridad del gobierno electrónico 33

7.9.1.5 Seguridad del correo electrónico 33





VIGENCIA: AAAA


7.10. Desarrollo y mantenimiento de sistemas de información 34

7.11. Disponibilidad del servicio de información 35

7.11.1. Objetivo del plan de contingencia 35

7.11.2. Plan de acción para garantizar la continuidad del negocio 35

7.12. Cumplimiento 36

7.12.1. Generalidades 36

7.12.2. Objetivos de cumplimento de las políticas dentro del Sistema de Gestión de Seguridad Informática. 36

7.12.3. Política de cumplimiento de requisitos legales 36

7.12.4. Recolección de evidencia 37

7.12.5. Sanciones previstas por incumplimientos en Seguridad 37

8 Registro de Modificaciones 37





VIGENCIA: AAAA


JUSTIFICACION

El esquema de globalización que las tecnologías de la información ha originado principalmente por el uso

masivo y universal del Internet y sus tecnologías, las instituciones gubernamentales se ven inmersas en

ambientes agresivos donde el delinquir, sabotear, sustraer se convierte en retos para delincuentes

informáticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme el uso

de las tecnologías se ha incrementado, se aumenta el riesgo, lo cual obliga a las entidades a crear medidas

de emergencia y políticas definitivas para contrarrestar estos ataques y transgresiones.

En Colombia no existe una sola institución gubernamental que no se haya visto sujeta a los ataques en sus

instalaciones, tanto desde su interior como del exterior, lo cual obliga a que un grupo de personas se

involucren contrarrestando estas amenazas reales.

El objetivo principal de la Oficina de Sistemas de la Universidad de los Llanos es brindar a los usuarios los

recursos informáticos con la cantidad y calidad que demandan, es decir, que se asegure la continuidad en el

servicio los 365 días del año. Así, la cantidad de recursos de cómputo y de telecomunicaciones con que

cuentan las instalaciones de la Universidad de los Llanos son de consideración y se requiere que se

protejan para garantizar su buen funcionamiento.

La seguridad de las instituciones gubernamentales en muchos de los países se ha convertido en cuestión

de seguridad nacional, por ello contar con un documento de seguridad es imprescindible, y debe de plasmar

mecanismos confiables que con base en la política institucional proteja los activos de información de la

Universidad de los Llanos.





VIGENCIA: AAAA


INTRODUCCIÓN

La Universidad de los Llanos, a través de la Oficina de Sistemas ve la necesidad de implementar un

Sistema de Gestión de Seguridad de la Información para brindar una salvaguarda apropiada a la

información que se procesa en la Universidad, teniendo en cuenta que esta información es relevante tanto

internamente como al exterior.

El presente documento expone los lineamientos sobre el uso y aprovechamiento de las tecnologías de la

información y las comunicaciones de la Universidad por parte de administradores, usuarios o terceros,

integra estos esfuerzos de una manera conjunta y da una visión global a la Universidad de los Llanos en

materia de seguridad de la información. Pretende ser el medio mediante el cual se establecen las reglas,

normas, controles administrativos y procedimientos que regulen la forma en que la institución, prevenga,

proteja, maneje los riesgos de seguridad en diversas circunstancias y de cumplimiento a los lineamientos de

gobierno en línea del estado colombiano.

La seguridad de la información se gestiona atendiendo a tres requerimientos principales:

Disponibilidad: Entendida como la garantía del acceso a la información en el instante en que el usuario

la necesita.

Confidencialidad: Definida como la garantía del acceso a la información únicamente de los usuarios

autorizados por la alta Gerencia.

Integridad: Interpretada como la preservación de la información de forma completa y exacta en los

diferentes medios de almacenamiento.





VIGENCIA: AAAA


1. OBJETIVO

Establecer reglas y directrices para el uso de los sistemas informáticos y de las comunicaciones de la

Universidad de los Llanos enfocados al buen uso y protección de la información de amenazas internas y

externas, bien sean deliberadas o accidentales. La protección se realiza estableciendo controles

administrativos y operativos a los activos tecnológicos de la Universidad.

1.1 OBJETIVOS ESPECÍFICOS

● Proteger, almacenar y respaldar la información de la Universidad de los Llanos, con el fin de garantizar

la protección de la misma y la privacidad de los datos de los procesos administrativos, de estudiantes y

funcionarios, todo acorde con la legislación colombiana vigente.

● Preservar y administrar objetivamente la información de la Universidad de los Llanos al igual

que las tecnologías utilizada para su procesamiento, frente a amenazas internas o externas,

deliberadas o accidentales, con el fin de asegurar el cumplimiento de las características de

confidencialidad, integridad, disponibilidad, legalidad, confiabilidad.

● Transmitir las normas y políticas de seguridad informática a todos los usuarios de la Universidad de los

Llanos, para que sea de su conocimiento y aplicación en los recursos informáticos utilizados.

● Orientar el manejo a mejores prácticas para la construcción de una política de privacidad respetuosa de

los datos personales de los titulares.





VIGENCIA: AAAA


2 ALCANCE

El Sistema de Gestión de Seguridad de la Información de la Universidad de los Llanos se aplica a todas las

instancias de la organización, en cumplimiento de las disposiciones legales vigentes en Colombia, con el

objetivo de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el

ambiente tecnológico de la Universidad.

Los lineamientos de Seguridad de la Información contenidas en este documento, son mandatos generales,

de obligatorio cumplimiento por todos los funcionarios, contratistas, profesores y terceros, que presten sus

servicios a Universidad de los Llanos.





VIGENCIA: AAAA


3 NIVEL DE CUMPLIMIENTO

Las personas mencionadas por el alcance deberán dar cumplimiento un 100% de la política.

Por lo anterior se establecen los 9 lineamientos de seguridad que soportan el SGSI de LA UNIVERSIDAD

DE LOS LLANOS

● Definir, implementar, y mejorar de forma continua un Sistema de Gestión de Seguridad de la

Información, con base en las necesidades de la administración, y a los requerimientos regulatorios que

le aplican a su naturaleza.

● Las responsabilidades frente a la seguridad de la información serán compartidas, y aceptadas por cada

uno de funcionarios, contratistas, profesores y terceros.

● Se protegerá de amenazas internas y/o externas la información generada de cada uno de los procesos

e instancias que hacen parte de la Universidad con el fin de minimizar impactos financieros, operativos

o legales debido a un uso incorrecto de esta.

● Se protegerá las áreas de procesamiento y la infraestructura tecnológica que soporta sus procesos

críticos.

● Se controlará la operación de red de datos y procesos tecnológicos garantizando su seguridad.

● Se implementará control de acceso a la información, sistemas y recursos de red.

● La seguridad será parte integral del ciclo de vida de los sistemas de información y dem.

● Se establecerá una mejora efectiva de su modelo de seguridad a través de una adecuada gestión de los

eventos de seguridad y las debilidades asociadas con los sistemas de información.

● Se dará cumplimiento de las obligaciones legales y regulatorias establecidas. El incumplimiento a la

política de Gestión de Seguridad de la Información, traerá consigo, las consecuencias legales que

apliquen a la normativa de la Entidad, incluyendo lo establecido en las normas que competen al

Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la Información se refiere.

Comentado [FCS1]: Estos ítems se deben especificar en la

resolución mediante la cual se cree el sistema de Gestión de

Seguridad de la Información, en las “Generalidades del Sistema”





VIGENCIA: AAAA


4 RESPONSABILIDAD

Los Integrantes de la Alta Dirección, funcionarios, contratistas, profesores y terceros son responsables de la

implementación del plan de Seguridad de la Información, el cumplimiento del PGSI es de Carácter

Obligatorio para todo el personal de la de la UNIVERSIDAD DE LOS LLANOS.

El responsable de seguridad de la información

Son responsables por la seguridad de la Información en primer lugar el Señor Rector de la Universidad, el

comité de seguridad de la información (ver si existe o crearlo), usuarios y custodios de la información.

Los usuarios de la información y de los sistemas utilizados para su procesamiento.

Son responsables de conocer, divulgar, cumplir y hacer cumplir la Política de Seguridad de la Información

vigente. Son responsables los líderes de proceso de mantener actualizados los activos de información a su

cargo.

Control interno

O en su defecto quien sea propuesto por el Comité de seguridad de Gobierno en Línea (GEL) es

responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con las

tecnologías de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de

seguridad de la información establecidas por estas Políticas y por las Normas, Procedimientos y prácticas

que de ella surjan.

Nota: Sanciones previstas por incumplimiento

El incumplimiento de las Políticas podrá dar lugar a un proceso disciplinario para los funcionarios y se podrá

convertir en un incumplimiento del contrato, puede dar lugar a la imposición de sanciones e incluso su

terminación, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar según la normatividad

vigente.

Comentado [U2]: de acuerdo a lo hablado en reunión de trabajo

realizada el día 21/11/2017 en la oficina de Sistemas, este numeral

debe incluirse, en la resolución rectoral mediante la cual se cree el

sistema de gestión de seguridad de la información.





VIGENCIA: AAAA


5 MARCO NORMATIVO

La Universidad de los Llanos establece principios y/o directrices sobre aspectos específicos de seguridad de

la información, considerando los siguientes:

5.1. Marco general de seguridad de la información

Marco normativo:

LEY RESOLUCIÓN CIRCULAR

TEMA

Ley 527 de 1999 - Comercio electrónico

Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.

Ley 599 DE 2000

Por la cual se expide el Código Penal. En esta se mantuvo la estructura del tipo penal de “violación ilícita de comunicaciones”, se creó el bien jurídico de los derechos de autor y se incorporaron algunas conductas relacionadas indirectamente con el delito informático, tales como el ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Se tipificó el “Acceso abusivo a un sistema informático”, así: “Art. 195. El que abusivamente se introduzca en un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa.”

Ley 962 de 2005

Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos. Prevé incentivos por el uso de medios tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites por parte de los administrados.

Ley 1150 de 2007

Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos. Específicamente, se establece la posibilidad de que la administración pública expida actos administrativos y documentos y haga notificaciones por medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la Contratación Pública, Secop.

Ley 1273 de 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

Ley 1341 de 2009

Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la Información y las Comunicaciones –TIC, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones.

Resolución de la Comisión de Regulación de Comunicaciones 2258 de 2009

Sobre seguridad de las redes de los proveedores de redes y servicios de telecomunicaciones. Esta resolución modifica los artículos 22 y 23 de la Resolución CRT 1732 de 2007 y los artículos 1,8 y 2,4 de la Resolución CRT 1740 de 2007. Esta regulación establece la obligación para los proveedores de redes y/o servicios de telecomunicaciones que ofrezcan acceso a Internet de implementar modelos de seguridad, de acuerdo con las características y necesidades propias de su red, que contribuyan a mejorar la seguridad de sus redes de acceso, de acuerdo con los marcos de seguridad definidos por la UIT, cumpliendo los principios de confidencialidad de datos, integridad de datos y disponibilidad de los elementos de red, la información, los servicios y las aplicaciones, así como medidas para autenticación, acceso y no repudio. Así mismo, establece obligaciones a cumplir por parte de los proveedores de redes y servicios de telecomunicaciones relacionadas con la inviolabilidad de las comunicaciones y la seguridad de la información.

Circular 052 de 2007 Fija los requerimientos mínimos de seguridad y calidad en el manejo de información





VIGENCIA: AAAA


LEY RESOLUCIÓN CIRCULAR

TEMA

(Superintendencia Financiera de Colombia)

a través de medios y canales de distribución de productos y servicios para clientes y usuarios.

Ley 1581 de 2012 Reglamentada por ley 1377 de 2013

Por la cual se dictan disposiciones generales para la protección de datos personales.

Ley 1474 de 12 Julio de 2011

Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.

Artículo 258 del código Penal:

El que como empleado, asesor, directivo o miembro de una junta u órgano de administración de cualquier entidad privada, con el fin de obtener provecho para sí o para un tercero, haga uso indebido de información que haya conocido por razón o con ocasión de su cargo o función y que no sea objeto de conocimiento público, incurrirá en pena de prisión de uno (1) a tres (3) años y multa de cinco (5) a cincuenta (50) salarios mínimos legales mensuales vigentes. En la misma pena incurrirá el que utilice información conocida por razón de su profesión u oficio, para obtener para sí o para un tercero, provecho mediante la negociación de determinada acción, valor o instrumento registrado en el Registro Nacional de Valores, siempre que dicha información no sea de conocimiento público.

Constitución de 1991 Artículo 15: El derecho fundamental de intimidad personal y familiar.

Ley 1266 de 2008 Establece principios para el tratamiento de datos, e impone una serie de deberes para los operadores, fuentes y usuarios, así mismo un catálogo de derechos para los titulares de la información.

Decreto 2952 de 2010 El incumplimiento de obligaciones de tratamiento de información en casos de fuerza mayor.

Decreto 1727 de 2009 Reglamenta forma de presentación del contenido de la información del titular de la información.

Ley de habeas Data (Estatutaria) 1581 de 2012

Por la cual se dictan disposiciones generales para la protección de datos personales.

Ley (Estatutaria) 1266 de 2008

Por la cual se dictan disposiciones generales para habeas data financiero.

Resolución Rectoral 1470 de 2015

Lineamientos para el uso de recursos informáticos de la Universidad de los Llanos

5.2. Términos y definiciones

Activo: Activo valioso y estratégico para la organización Amenaza: Violación potencial de la seguridad. (Rec. UIT-T X.800, 3.3.55) Amenaza informática: La aparición de una situación potencial o actual donde un agente tiene la capacidad

de generar una agresión cibernética contra la población, el territorio y la organización política del Estado.

(Ministerio de Defensa de Colombia). Ataque cibernético: Acción organizada y/o premeditada de una o más personas para causar daño o

problemas a un sistema informático a través del ciberespacio. (Ministerio de Defensa de Colombia). Amenazas asociada activos de información: son las que se presentan como efectos no deseados contra

la disponibilidad, confidencialidad e integridad de sus contenidos.





VIGENCIA: AAAA


Ciberdelito / Delito Cibernético: Actividad delictiva o abusiva relacionada con los ordenadores y las redes

de comunicaciones, bien porque se utilice el ordenador como herramienta del delito, bien porque sea el

sistema informático (o sus datos) el objetivo del delito. (Ministerio de Defensa de Colombia). Confidencialidad: La ISO 27001 la define como la propiedad por la que la información no está disponible o

divulgada a personas no autorizadas, entidades o procesos. Disponibilidad: según la ISO 27001 es la propiedad de ser accesibles y utilizados bajo pedido por una

entidad autorizada. Incidente Informático: Cualquier evento adverso real o sospechado en relación con la seguridad de

sistemas de computación o redes de computación http://www.cert.org/csirts/csirt_faq.html CERT/CC. Información: La Norma ISO/IEC 27000 define la información como un activo que, del mismo modo que

otros importantes activos empresariales, tiene valor para la organización y, por tanto, ha de ser protegido

adecuadamente. Integridad: La Norma ISO/IEC 27000 define como la propiedad de la salvaguarda de la integridad de los

activos. Completitud de la información.

Seguridad informática:

Legalidad: ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO

transcribiendo la segunda parte de BS 7799. Es certificable. (http://www.iso.org) Logs: Registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en

seguridad informática es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por

qué un evento ocurre para un dispositivo en particular o aplicación. Sistema de gestión de seguridad de la información: según (Zubienta Guillén, 2014) es la parte del

sistema general de gestión, basado en un enfoque de riesgo organizacional, para establecer, implementar,

operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. TIC (Tecnologías de la Información y las Comunicaciones): Conjunto de recursos, herramientas,

Equipos, programas informáticos aplicaciones, redes y medios; que permiten la compilación,

Procesamiento, almacenamiento, transmisión de información como voz, datos, texto, video e Imágenes.

(Ley 1341/2009 TIC).

http://www.iso.org/





VIGENCIA: AAAA


6 CONDICIONES GENERALES

● La violación de las políticas de seguridad de la información dará lugar a acciones disciplinarias,

administrativas, civiles y/o penales de acuerdo a las normas internas de la Universidad de los Llanos y

la normatividad que aplique en el estado colombiano.

● El comité de seguridad de la información o quien sea designado revisará como mínimo cada año las

políticas de operación del sistema de gestión de seguridad de la información, a efectos de mantenerlas

actualizadas. De igual manera efectuará toda modificación que sea necesaria como pueden ser,

cambios tecnológicos, en los controles, impactos de incidentes de seguridad, disponibilidad de recursos

y personal.

● Se sancionará administrativamente a los funcionarios o contratista que utilicen equipos tecnológicos de

la Universidad de los Llanos para acceder a direcciones de internet que no sean necesarios para el

ejercicio de sus funciones y que ponen en riesgo la seguridad de la información, como por ejemplo:

sitios con contenido pornografico, Cracks, Malware, Tuneles, keygens y demás contenido que el comité

de seguridad de la información considere inadecuado. Esta sanción se aplicará al determinar que el

ingreso a los sitios anteriormente mencionados es repetitivo y constante.

● Se adelantarán procesos disciplinarios y/o sanciones para los funcionarios o contratistas que incurran

en cualquiera de los siguientes delitos informáticos y los demás que estén consagrados en las normas

legales vigentes, se dará aviso a la autoridad competente dependiendo del grado de impacto que

determine el comité de seguridad de la información.

● Toda la información que se encuentre almacenada en los equipos de cómputo de la Universidad de los

Llanos es de propiedad de la institución, por lo anterior la Oficina de Sistemas tendrá acceso a ella en el

momento que se requiera.

● El comité de seguridad de la información estará facultado para reportar ante las autoridades

competentes a cualquier persona(Administrativos, Estudiantes, Docententes, Contratistas y Terceros)

que incurra en los delitos descritos a continuación

1. Acceso abusivo a un sistema informático: El que sin autorización o por fuera de lo acordado, acceda

en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga

dentro del mismo en contra de la voluntad de quien tenga legítimo derecho a excluirlo. Según (Ley 1273,

2009) se incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100

a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito

sancionado con una pena mayor.

2. Obstaculización ilegítima de sistema informático o red de telecomunicación: el que impida u

obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí

contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a

noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre

que la conducta no constituya delito sancionado con una pena mayor. (Ley 1273, 2009).

3. Interceptación de datos informáticos: El que sin orden judicial previa intercepte datos informáticos en

su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes

de un sistema informático que los transporte. Incurrirá en pena de prisión de treinta (36) a setenta y dos (72)

meses. (Ley 1273, 2009).

4. Daño informático: El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima

datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos,

incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000

salarios mínimos legales mensuales vigentes. (Ley 1273, 2009).

Comentado [U3]: Estas funciones deben especificarse en la

resolución de creación del Sistema de Gestión de Seguridad de la

Información, adicionalmente debe especificarse cómo está

conformado el comité de seguridad de la información, con los cargos

de quienes lo integran.





VIGENCIA: AAAA


5. Uso de software malicioso: para quien produzca, trafique, adquiera, distribuya, venda, envíe, introduzca

o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos,

incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000

salarios mínimos legales mensuales vigentes.

6. Violación de datos personales: el que sin estar facultado para ello, con provecho propio o de un

tercero, obtenga compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,

modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos

o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en

multa de 100 a 1000 salarios mínimos legales mensuales vigentes (Ley 1273, 2009).

7. Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar

facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas,

enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)

meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no

constituya delito sancionado con pena más grave.

8. Hurtos por medios informáticos y semejantes: El que, superando medidas de seguridad informáticas,

realice hurto manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio

semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos.

Más información código penal colombiano artículos 239 y 240.

9. Transferencia no concedida de activos: el que con ánimo de lucro y valiéndose de alguna

manipulación informática o artificio semejante, consiga la transferencia no concedida de cualquier activo en

perjuicio de un tercero. También incluye la fabricación o modificación de programa de computador destinado

a la comisión de delitos de hurto o estafa.

10. Acceso no autorizado a la red de datos de los servidores o sus componentes: El que sin

autorización o por fuera de lo acordado, acceda en todo o en parte a la red de telecomunicaciones de la


11. Infracciones varias: Infracción de derechos de autor o infracción de copyright de bases de datos, mal

uso de los sistemas, red y componentes de la plataforma tecnológica de la Universidad como utilizarlos

para cyber bullying, agresión moral, usos comerciales no éticos.

12. Circunstancias de agravación Punitivos: Los delitos descritos anteriormente en los numerales del 1

al 7 se aumentaran las penas de la mitad a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero,

nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.

3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo

contractual con este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

5. Obteniendo provecho para sí o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

7. Utilizando como instrumento a un tercero de buena fe.

8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha

información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de

profesión relacionada con sistemas de información procesada con equipos computacionales.





VIGENCIA: AAAA


7 LINEAMIENTOS DE OPERACIÓN DE SEGURIDAD INFORMÁTICA

A continuación la La Universidad de los Llanos define los aspectos específicos del sistema de gestión de

seguridad de la información:

7.1. Organización de la seguridad de la información

Se enfoca en administrar la seguridad de la información dentro de la Universidad de los Llanos y establecer

un marco general para avanzar en su implementación y gestión.

Con el fin de garantizar el cumplimiento misional de la institución, se establece la administración de la

seguridad de la información como parte fundamental dentro de los objetivos y actividades a realizar. Por

esta razón se define un ámbito de gestión para efectuar tareas tales como la aprobación de la política, la

coordinación de su implementación, la asignación de funciones y responsables, la necesidad de contar con

asesoramiento, capacitación, cooperación y colaboración en materias de seguridad de la información

7.1.1. Objetivos

Administrar la seguridad de la información dentro de la Universidad de los Llanos, estableciendo un

marco gerencial para gestionar la implementación, operación, mantenimiento y evaluación del SGSI.

Fomentar la capacitación, consulta y cooperación en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la

información de la Universidad de los Llanos.

7.1.2. Responsabilidad

El Comité de Gestión de Seguridad de la información de la Universidad de los Llanos será el responsable de

impulsar la implementación de la presente política y se encarga de tomar las medidas necesarias para

planear, implementar y hacer seguimiento a todas las actividades necesarias para adoptar el Modelo de

seguridad de la Información al interior de la Universidad, así como planear las actividades necesarias para

una adecuada administración y sostenibilidad del Sistema de Gestión de Seguridad de la información

(SGSI)”.

Lo anterior teniendo en cuenta La Resolución por la cual se asignan funciones de seguridad al Comité de

Gobierno en Línea de la Universidad de los Llanos y se adopta la Política de Seguridad del Sistema de

Gestión de Seguridad de la Universidad.

7.1.3. Lineamientos

7.1.3.1. Infraestructura de la seguridad de la información

Para la organización de la seguridad de la información en la Universidad de los Llanos se tienen en cuenta

las siguientes componentes:

● Seguridad del personal

● Seguridad física y ambiental

● Seguridad de comunicaciones y operaciones

● Control de accesos

● Seguridad en el desarrollo y mantenimiento de sistemas

● Planificación de la continuidad de operaciones.





VIGENCIA: AAAA


7.1.3.2. Autorización para instalaciones de procesamiento de información

Los nuevos recursos de procesamiento de información serán autorizados en conjunto por el líder del equipo

de gestión de seguridad de la información y los funcionarios a cargo del primer nivel de dirección general;

que los define la estructura orgánica de la Universidad de los Llanos Para ser más explícitos son los

responsables de los procesos misionales y de apoyo, conformado por el Señor Rector y los Vicerrectores.

Lo anterior con el fin de garantizar que se cumplan todas las políticas y requerimientos de seguridad

pertinentes.

Se pedirá visto bueno, de la Oficina de Sistemas, quien verificará el hardware y software para garantizar la

compatibilidad de los nuevos componentes con la plataforma tecnológica de la Universidad de los Llanos.

Se capacitará sobre el uso de recursos personales de procesamiento de información en el lugar de trabajo

ya que pueden poner en estado de vulnerabilidad la seguridad de la información, por lo cual su uso será

evaluado por el equipo de gestión de seguridad de la información o delegado a la Oficina de Sistemas y su

personal de apoyo.

7.1.3.3. Asesoramiento especializado en materia de seguridad de la información

El equipo de gestión de seguridad de la información será el encargado de coordinar los conocimientos y las

experiencias disponibles en la Universidad a fin de brindar ayuda en la toma de decisiones en materia de

seguridad. Se podrá tener asesoramiento de otras entidades o terceros, con el objeto de optimizar su

gestión.

7.1.3.4. Revisión del Sistema de Gestión de seguridad de la Información

La oficina de control interno o en su defecto quien sea propuesto por el equipo de gestión de seguridad de

la información realizará revisiones independientes sobre la vigilancia e implementación de la política de

seguridad de la información, a efectos de que sea implementada y gestionada adecuadamente.

7.1.3.5. Seguridad frente al Acceso por parte de terceros

Su objetivo es mantener la seguridad de la información y de las instalaciones de procesamiento de

información de la Universidad a que se tiene acceso, procesan, comunican, o son administrados por

Terceros.

7.1.3.6. Identificación de riesgos del acceso de terceros

Cuando exista necesidad de otorgar acceso a terceras partes de la información que gestiona la Universidad,

el Responsable de seguridad de la información y el propietario de la información de que se trate,

documentaran una evaluación de riesgos para identificar los requerimientos de controles específicos y el

índice de información clasificada y reservada del archivo institucional, teniendo en cuenta entre otros

aspectos:

● El tipo de acceso requerido (físico/lógico y a qué recurso)

● El valor de recuperación en caso de pérdida, el tiempo y el impacto frente a la prestación de

servicios.

● Los motivos por los cuales se solicita

● La normatividad legal vigente

● El valor de la información

● Los controles empleados por la tercera parte

● La incidencia de este acceso en la seguridad de la información

● La seguridad en el transporte de la información o equipos





VIGENCIA: AAAA


En todos los contratos cuyo objeto sea la prestación de servicios a título personal bajo cualquier modalidad

jurídica que deban desarrollarse en la Universidad de los Llanos, se establecerán los controles,

requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mínimo

necesario los permisos a otorgar. En ningún caso se otorgará acceso a terceros a la información, a las

instalaciones de procesamiento y otras áreas de servicios críticos, hasta cuando se hayan implementado los

controles apropiados.

7.1.3.7. Requerimientos de seguridad en contratos con terceros

Se revisarán y analizarán los contratos existentes o nuevos con terceros, teniendo en cuenta la necesidad

de aplicar los siguientes controles:

● Cumplimiento de la política de seguridad de la información.

● Procedimiento para determinar si ha ocurrido daños o alteración de los activos.

● Controles para garantizar la recuperación o destrucción de activos, antes, durante y después de la

ejecución del contrato.

● Restricción y buen uso de la información.

● Nivel de servicio esperado y nivel de servicio aceptable.

● Descripción de los trámites y servicios disponibles.

● Permiso para la transferencia de personal cuando sea requerido.

● Exigencia de derechos de propiedad intelectual y demás que se consideren pertinentes para la

protección de la información y eficiencia de recursos del estado.

● Protección de los activos de información de la Universidad de los Llanos.

Actividades para proteger los activos, entendiéndose como activo lo especificado en la siguiente tabla:

TIPO DE ACTIVO DE INFORMACIÓN

1. Información

Corresponden a información almacenada y procesada física o electrónicamente tales como: bases de datos y archivos de datos, contratos y resoluciones, documentación del sistema, información sobre investigaciones, manuales de usuario, material de formación o capacitación, procedimientos operativos o de soporte, planes para la continuidad del negocio, resoluciones y/o acuerdos de recuperación, registros de auditoría e información archivada.

2. Software Software de aplicación, de Desarrollo, De Bases de Datos, De Sistema Operativo y de Redes.

3. Persona Aquellas personas que, por su conocimiento y experticia para el proceso, son consideradas activos de información. Cargos, funciones, perfiles que soporten el activo.

4. Servicio Servicios de computación y comunicaciones, tales como Internet, correo electrónico, páginas de consulta, directorios compartidos e Intranet, Página Web, soporte técnico, creación de subdominios web.

5. Hardware Son activos físicos: equipos de cómputo y de comunicaciones, medios removibles, entre otros que por su criticidad son considerados activos de información, no sólo activos fijos. PC, S, Redes y telecomunicaciones, dispositivos de almacenamiento.

6. Otros Activos de información que no corresponden a ninguno de los tipos descritos anteriormente. Ejemplo: Imagen Institucional.

● Acuerdos y Resoluciones de control de acceso que contemplen métodos de acceso permitidos, control y

uso de identificadores únicos como nombres de usuarios y contraseñas, mecanismos de autorización y

autenticación con accesos y privilegios a usuarios.

● Responsabilidades en instalación y mantenimiento de hardware y software.

● Elaboración y presentación de informes, notas internas, investigaciones de incidentes y violaciones que

comprometan la seguridad de la información.





VIGENCIA: AAAA


● Relación entre proveedores y subcontratistas, licencias y certificaciones de acuerdo a la normatividad

legal.

El equipo de gestión de seguridad de la información y en especial las directrices en contratación que se

imparten para la Universidad de los Llanos, se Insistirá en la inclusión de la seguridad de la información en

toda la contratación, incluyendo dentro de los controles de seguridad de la información cláusulas para la

protección de toda la plataforma tecnológica e información que se gestione en el cumplimiento de la misión

de la institución. Como ejemplo cláusulas de confidencialidad, derechos de autor y en general el manejo

adecuado a la información teniendo especial atención con la información clasificada o reservada, según la

normatividad legal vigente.

7.2. Gestión de activos

La Universidad de los Llanos mantiene un inventario de los activos de información Actualizados, como parte

importante de la administración de riesgos, teniendo en cuenta los niveles de clasificación como son

confidencialidad, integridad, disponibilidad, ubicación, identificando responsables en su gestión.

7.2.1. Activos de Información

En este documento se tienen en cuenta todos los lineamientos y/o metodología de clasificación de activos -

modelo de seguridad de la información para la estrategia de gobierno en línea emanados del Ministerio de

Tecnologías de la Información y las Comunicaciones, la cual denomina activo de información a todo activo

que contiene información que posee un valor y es necesario para los servicios de Gobierno en Línea y de la

Universidad. Se categorizan de la siguiente manera:

● Los contenidos que residen en el portal del Estado Colombiano y los portales de las entidades del

Estado.

● La información que fluye a través de los diferentes servicios.

● Los servicios de Gobierno en Línea (servicios de interacción con la comunidad, servicios de

transacciones en línea, servicios de transformación en línea, servicios de democracia en línea).

● Los sistemas de información que apoyan los servicios.

● La plataforma tecnológica que soporta los diferentes servicios y sistemas de información (hardware,

software, comunicaciones, bases de datos, etc.).

● La plataforma tecnológica de seguridad.

● Los procesos de operación, soporte y aseguramiento de los servicios.

● Los documentos impresos.

● Los intangibles como son las Ideas, conversaciones, conocimiento, calificaciones, competencias y

experiencia.

7.2.2. Normas

Lineamientos de seguridad de la información para la estrategia de gobierno en línea, Guía para la Gestión y

Clasificación de Activos de Información. ● El Comité de Gestión de Seguridad informática establecerá los procedimientos para incluir información

clasificada, se hará de conformidad con la ley 594 de 2000 – Ley general de archivos que establece en

el artículo 26: “es obligación de las entidades de la Administración Pública elaborar inventarios de los

documentos que se produzcan en ejercicio de sus funciones, de manera que se asegure el control de

los documentos en sus diferentes fases”.

7.2.3. Responsabilidad de los Activos de Información

Se identifican los activos de información de mayor importancia asociados a cada sistema de procesamiento

de la información en su respectivo proceso, con sus responsables y su ubicación, para luego elaborar el

inventario correspondiente.





VIGENCIA: AAAA


El inventario se deberá identificar, documentar y actualizar ante cualquier modificación de la información y

los activos asociados con los medios de procesamiento. Este debe ser revisado con una periodicidad no

mayor a 1 año o actualizado por el responsable del proceso o el activo cada vez que se generen cambios

que requieran gestionar el riesgo y seguridad de la información.

El Comité de Gestión de Seguridad Informática designará a un funcionario la responsabilidad de realizar y

mantener actualizado el inventario de activos de información, proceso apoyado por los usuarios de la

información quienes deben informar al funcionario designado los cambios e información necesaria para

mantener actualizado el inventario de activos y contribuir con el buen funcionamiento del SGSI.

El uso de los activos de información pertenecientes a la Universidad de los Llanos es responsabilidad del

propietario asignado; es su deber proteger y mantener la confidencialidad, integridad y disponibilidad de los

activos de información.

7.2.4. Clasificación de la Información

Para la Clasificación de la Información se debe tener en cuenta los criterios de Confidencialidad, Integridad

y Disponibilidad. Sólo el Funcionario responsable de la Información puede asignar o cambiar su nivel de

clasificación, cumpliendo con los siguientes requisitos mínimos: Comunicárselo al líder del Proceso, al

comité de seguridad de la información de la Universidad, actualizando el inventario de activos de

información y área de archivo, comunicárselo al líder del Proceso, al comité de seguridad de la información

de la Universidad, actualizando el inventario de activos de información y área de archivo.

Definición de los Criterios de clasificación de la Información:

USO PÚBLICO: Información que por sus características puede o debe estar a disposición de cualquier

persona natural o jurídica en el Estado Colombiano. Dentro de esta clasificación se puede considerar:

noticias, informes de prensa, información de rendición de cuentas, información sobre trámites, normatividad.

USO INTERNO: Información cuya divulgación no causa daños significativos a la Universidad y su acceso es

libre para los funcionarios a través de la intranet o de cualquier otro medio.

USO CONFIDENCIAL: Información cuya divulgación no autorizada puede afectar considerablemente el

cumplimiento de la misión de la Universidad de los Llanos. La divulgación de esta información, requiere de

la aprobación de su respectivo propietario. En el caso de terceros rige el acuerdo de confidencialidad que

exista entre la Universidad de los Llanos y el tercero.

USO SECRETO: Información que sólo puede ser conocida y utilizada por un grupo muy reducido de

Funcionarios, generalmente de la Alta Dirección de la Universidad de los Llanos, y cuya divulgación o uso

no autorizados podría ocasionar graves pérdidas al mismo, a Contratistas o a Terceros.

7.2.5. Etiquetado y Manejo de la Información

Se deben desarrollar procedimientos para el etiquetado y manejo de la información, de acuerdo al esquema

de clasificación definido por la universidad de los llanos. Los mismos contemplarán los activos de tecnología

de la información tanto en formatos físicos, digital, activos tecnológicos en general.

Los propietarios de la información son los encargados de clasificarla de acuerdo con su grado de

sensibilidad y criticidad, documentar y mantener actualizada la clasificación efectuada, y los accesos y

controles adecuados para su seguridad. Cada propietario de la información supervisará que el proceso de

clasificación y rótulo de información de su área de competencia esté acorde a los lineamientos de la

Universidad y esta política.

Comentado [U4]: Se tuvo en cuenta presupuesto para esta

actividad??





VIGENCIA: AAAA


La oficina de Archivo y correspondencia definirá instructivos o procedimientos para el rotulado y manejo de

la información de manera articulada con los lineamientos archivísticos de la Universidad y las normas de

archivo vigentes, tanto para información física como electrónica.

7.2.6. Base de datos – Inventario de activos de información

Se debe contar con un inventario de Activos de Información que incluya información, hardware, software,

personas, servicios y otros de la plataforma tecnológica de la Universidad, el inventario debe ser actualizado

y gestionado eficientemente, dicho inventario es la base de datos que se utiliza como insumo fundamental

para la gestión del riesgo y establecimiento de controles con el fin de garantizar la disponibilidad, integridad

y confidencialidad de la información, necesarias para garantizar el cumplimiento misional de la


7.2.7. Clasificación de la información

Para realizar la clasificación de los activos de información la Universidad desarrolla y mantiene actualizado

según la normas vigentes un instructivo que sirve de guía para la respectiva clasificación, lo anterior

teniendo en cuenta la confidencialidad, integridad y disponibilidad de la información. Se documentará de

manera específica la política de activos de información, con formatos, base de datos, instructivos necesaria

para su adopción, lo anterior dado que se considera transversal para las demás políticas de operación del

SGSI.

7.2.8. Devolución de los activos

A través del proceso de Talento Humano en caso de desvinculación o traslado del personal se estableció el

diligenciamiento del formato FO-GTH-44 FORMATO ACTA ENTREGA DEL PUESTO DE TRABAJO, que a

su vez incluye RELACIÓN DE DOCUMENTOS Y ARCHIVOS INSTITUCIONALES QUE SE ENTREGAN.

7.2.9. Gestión de Medios Removibles

El uso de dispositivos de almacenamiento externo (dispositivos móviles, DVD, CD, memorias USB, agendas

electrónicas, celulares, Discos Duros Externos, etc.) puede ocasionalmente generar riesgos para la

institución al ser conectados a los computadores, ya que son susceptibles de transmisión de virus

informáticos o pueden ser utilizados para la extracción de información no autorizada. Para utilizar

dispositivos de almacenamiento externo se debe obtener autorización del líder del proceso en caso de ser

requerida y en los equipos en que se maneje información sensible.

7.2.10. Disposición de los activos

Cada líder de proceso administrará los Backups de los activos de información de los aplicativos financieros,

pagina web, sistema de Gestión documental y de los activos de información de los equipos de cómputo

cuando se realicen mantenimiento correctivo.

7.2.11. Dispositivos Móviles

El acceso a redes inalámbricas debe ser autorizado por el líder del proceso para los dispositivos móviles

tanto de funcionarios, contratista o terceros. La información que se maneje en estos dispositivos es

responsabilidad de quien tenga la asignación del mismo.

7.3. Control de acceso a la información

Está orientado a controlar el acceso lógico a la información, diseñar e implementar un conjunto de

restricciones y excepciones a la información como base del sistema de seguridad informática. En este

sentido debe implementar procedimientos formales y documentados para controlar la asignación de





VIGENCIA: AAAA


privilegios de acceso a los sistemas de información, bases de datos y servicios que se prestan, bien

normalizados, socializados y controlados para garantizar el cumplimiento.

Es importante realizar la trazabilidad de los usuarios de los diferentes sistemas de la Universidad en todas

las etapas del ciclo de vida de los accesos a todos los niveles, desde la necesidad de crearlos, el registro

inicial hasta la privación final de privilegios de los usuarios que ya no requieren acceso. Adicionalmente es

necesario concientizar a todo el personal de la responsabilidad, buen uso de usuarios y contraseñas de

acceso.

Dentro de los objetivos se tienen:

● Impedir accesos no autorizados.

● Implementar buenas técnicas y prácticas para autenticación y autorización.

● Controlar la seguridad de las conexiones de red y comunicaciones.

● Garantizar la seguridad de la información cuando se utiliza equipos móviles e instalaciones remotas.

7.3.1. Control de acceso con usuario y contraseña

La Oficina de Sistemas ha establecido el procedimiento de creación de cuentas de Usuarios de los

Sistemas de Información, los lineamientos de obligatorio cumplimiento para funcionarios, contratistas o

terceros en el control de acceso con usuario y contraseña a los diferentes sistemas dentro la plataforma

tecnológica; sin embargo es relevante para la Universidad reiterar lo siguiente:

● Los usuarios y contraseñas son personales e intransferibles y no deben prestarse ni compartirse.

● Cada funcionario, contratista debe tener un usuario y una contraseña para el acceso pertinente o

rol establecido en la Universidad.

7.3.2. Gestión de Contraseñas

Se debe instruir y controlar que los usuarios sigan buenas prácticas de seguridad en la selección, uso y

protección de claves o contraseñas, las cuales constituyen un medio de validación de la identidad de un

usuario y consecuentemente un medio para establecer derechos de acceso a los equipos o servicios

informáticos

Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para la

utilización de los equipos o servicios informáticos de la Universidad.

El cambio de contraseña sólo podrá ser solicitado por el titular de la cuenta o su líder del proceso.

Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no estén

en uso.

La clave de acceso será desbloqueada sólo por la Oficina de Sistemas, luego de la solicitud formal por

parte del responsable de la cuenta o Líder del Proceso.

Las claves o contraseñas deben:

● Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en

diccionarios, ni tener información personal, por ejemplo: fechas de cumpleaños, nombre de los hijos,

placas de automóvil, etc.

● Tener mínimo ocho caracteres alfanuméricos.

● Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.

● Cambiarse periódicamente o cuando lo establezca la Oficina de Sistemas..

● Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres anteriores.





VIGENCIA: AAAA


● Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario.

● No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos.

● No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.

● No ser reveladas a ninguna persona, incluyendo al personal de Sistemas.

● No registrarlas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar

de forma segura y el método de almacenamiento esté aprobado.

7.3.3. Perímetro de Seguridad

La Universidad evaluará la viabilidad para determinar cómo el líder de cada Proceso, identificará las áreas

delimitadas con acceso restringido en donde se encuentre información sensible, crítica, o donde se realice

almacenamiento y/o procesamiento de información a los cuales los funcionarios, contratistas o terceros

tienen acceso y a cuáles no.

El objetivo principal es prevenir el acceso no autorizado físico, daños e interferencia a los activos de

información de la Universidad, buscando al máximo la continuidad en cumplimento misional de la institución.

La seguridad física y ambiental pretende evitar accesos físicos no autorizados.

Cuando nos referimos a seguridad física y ambiental, hay que tener en cuenta la protección física de

accesos, la protección ambiental, el transporte, protección y mantenimiento de activos de información. Para

prevenir el acceso físico no autorizado es conveniente establecer perímetros de seguridad y áreas

protegidas que facilita la implementación de controles para proteger las instalaciones de procesamiento

críticas o sensibles de la Universidad.

Por otra parte el control del ambiente y garantizar unos factores adecuados permiten el funcionamiento

correcto de los equipos tecnológicos y activos de información según aplique, esto debe realizarse con el fin

de minimizar las interrupciones en el desarrollo de actividades en el cumplimiento misional, por

consiguiente es necesario gestionar los riesgos adecuadamente, de igual manera es necesario

implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco

normal de sus labores habituales.

Responsabilidad: el equipo de gestión de seguridad de la información coordinará las acciones pertinentes

para propiciar la seguridad física y ambiental, pondrá a disposición los instrumentos necesarios, para definir

propietarios y custodios de los activos de información, se difundirá una metodología de gestión del riesgo

para ser aplicada, la oficina de sistemas de la Universidad estará dispuesta a apoyar en temas de seguridad

de la información al personal de la institución, dicha solicitud debe realizarse formalmente.

La responsabilidad de buen uso y mantenimiento de los activos tecnológicos es responsabilidad de los

propietarios y custodios de cada uno de los activos de información. Cada propietario y custodio, debe

gestionar las acciones necesarias para la protección de los activos asignados y gestionados en el

cumplimiento de su labor.

7.3.4. Perímetro de seguridad física

Con el ánimo de contribuir al correcto funcionamiento de los sistemas de información, se implementará la

protección física de áreas de procesamiento de información, que se consideren críticas según el inventario

de activos de información y el análisis de riesgos de la Universidad, se aplicarán barreras o medidas de

control físico adecuadas y ajustadas al presupuesto de la institución. Se considerarán como mínimo los

siguientes lineamientos:

7.3.4.1 Reglas de control de acceso

Las normas que regulan el control de acceso a la información son:

1. Indicar expresamente si las reglas son obligatorios u optativas.





VIGENCIA: AAAA


2. Establecer reglas para que los funcionarios puedan realizar únicamente lo que está expresamente

autorizado, lo demás es indebido.

3. Controlar los cambios en los permisos de acceso a la información, tanto por administrador o

usuarios.

4. Controlar las reglas que requieren la aprobación de los jefes de Oficina, antes de ejecutar

autorizaciones de acceso.

5. El comité de seguridad realiza inventario de administradores de sistemas de información en cada

una de las Oficinas, estableciendo de manera segura los lineamientos a seguir para garantizar su

control y monitoreo. Tratando de manera especial la gestión de contraseñas críticas.

6. La Oficina de sistemas o en su defecto en cada oficina quien administre los recursos informáticos

se encargará de autorizar los accesos a la red e infraestructura tecnológica. Estableciendo controles

y procedimientos para dicha labor.

7. La Oficina de sistemas diseñará y ejecutará procesos, procedimientos y gestiona herramientas

necesarias para controlar los puestos, acceso a internet, segmentación de redes, control de

conexión de redes, seguridad en los servicios de red, control a los sistemas operativos, control de

acceso a las aplicaciones, barreras de seguridad, aislamiento de sistemas sensibles, computación

móvil, trabajo remoto, monitoreo y uso de los sistemas en general.

7.4. Privacidad y confidencialidad

Dando cumplimiento a lo dispuesto en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377

de 2013, la Universidad de los Llanos adopta la presente política para el tratamiento de datos personales,

la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el

ejercicio de las actividades propias de la Universidad. De esta manera, la Universidad garantiza los

derechos de la privacidad, la intimidad, el buen nombre y la autonomía, en el tratamiento de los datos

personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad,

libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.

Todas las personas que en desarrollo de sus diferentes funciones propias, sean permanentes u

ocasionales, llegaran a suministrar a la Universidad de los Llanos cualquier tipo de información o dato

personal, podrá conocerla, actualizarla y rectificarla.

7.4.1. Ámbitos de aplicación

El presente manual será aplicable a los datos personales registrados en cualquier base de datos de la

Universidad cuyo titular sea una persona natural.

7.4.2. Principios del tratamiento de datos personales

Para efectos de garantizar la protección de datos personales, la Universidad aplicará de manera armónica e

integral los siguientes principios, a la luz de los cuales se deberá realizar el tratamiento, transferencia y

transmisión de datos personales:

Principio de legalidad en materia de Tratamiento de datos: El tratamiento de datos es una actividad

reglada, la cual deberá estar sujeta a las disposiciones legales vigentes y aplicables que rigen el tema.

Principio de finalidad: la actividad del tratamiento de datos personales que realice la Universidad o a

la cual tuviere acceso, obedecerán a una finalidad legítima en consonancia con la Constitución Política

de Colombia, la cual deberá ser informada al respectivo titular de los datos personales.

Principio de libertad: el tratamiento de los datos personales sólo puede realizarse con el

consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o

divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el

consentimiento.





VIGENCIA: AAAA


Principio de veracidad o calidad: la información sujeta a Tratamiento de datos personales debe ser

veraz, completa, exacta, actualizada y comprobable. Se prohíbe el Tratamiento de datos parciales,

incompletos, fraccionados o que induzcan a error.

Principio de transparencia: En el tratamiento de datos personales, la Universidad garantizará al Titular

su derecho de obtener en cualquier momento y sin restricciones, información acerca de la existencia de

cualquier tipo de información o dato personal que sea de su interés o titularidad.

Principio de acceso y circulación restringida: El tratamiento de datos personales se sujeta a los

límites que se derivan de la naturaleza de éstos, de las disposiciones de la ley y la Constitución. En

consecuencia, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las

personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar

disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea

técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros

autorizados conforme a la ley.

Principio de seguridad: la información sujeta a tratamiento por la Universidad, se deberá manejar con

las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los

registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado.

Principio de confidencialidad: Todas las personas que en la Universidad, administren, manejen,

actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos,

están obligadas a garantizar la reserva de la información, por lo que se comprometen a conservar y

mantener de manera estrictamente confidencial y no revelar a terceros, toda la información que llegaren

a conocer en la ejecución y ejercicio de sus funciones; salvo cuando se trate de actividades autorizadas

expresamente por la ley de protección de datos. Esta obligación persiste y se mantendrá inclusive

después de finalizada su relación con alguna de las labores que comprende el Tratamiento.

7.4.3. Derechos del titular de la información

De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los

siguientes son los derechos de los titulares de los datos personales:

1. Acceder, conocer, actualizar y rectificar sus datos personales frente a la Universidad en su

condición de responsable del tratamiento. Este derecho se podrá ejercer una vez cada seis meses,

entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o

aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.

2. Solicitar prueba de la autorización otorgada a la Universidad para el tratamiento de datos, mediante

cualquier medio válido, salvo en los casos en que no es necesaria la autorización.

3. Ser informado por la Universidad, previa solicitud, respecto del uso que le ha dado a sus datos

personales.

4. Presentar ante la autoridad competente, o la entidad que hiciere sus veces, quejas por infracciones

a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o

complementen, previo trámite de consulta o requerimiento ante La Universidad.

Estos derechos podrán ser ejercidos por:

● El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a

disposición La Universidad.

● Los causahabientes del titular, quienes deberán acreditar tal calidad.

● El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.

● Otro a favor o para el cual el titular hubiere estipulado.

7.4.4. Deberes de la Universidad de los Llanos como responsable y encargada del tratamiento de los datos

personales





VIGENCIA: AAAA


La Universidad de los Llanos reconoce la titularidad que de los datos personales ostentan las personas y en

consecuencia ellas de manera exclusiva pueden decidir sobre los mismos. Por lo tanto, La Universidad

utilizará los datos personales para el cumplimiento de las finalidades autorizadas expresamente por el titular

o por las normas vigentes.

En el tratamiento y protección de datos personales, La Universidad de los Llanos tendrá los siguientes

deberes, sin perjuicio de otros previstos en las disposiciones que regulen o lleguen a regular esta materia:

1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

2. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular para el tratamiento

de datos personales.

3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en

virtud de la autorización otorgada.

4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su

adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

5. Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y

comprensible.

6. Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto

de los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para

que la información se mantenga actualizada.

7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente.

8. Respetar las condiciones de seguridad y privacidad de la información del titular.

9. Tramitar las consultas y reclamos formulados en los términos señalados por la ley.

10. Identificar cuando determinada información se encuentra en discusión por parte del titular.

11. Informar a solicitud del titular sobre el uso dado a sus datos.

12. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de

seguridad y existan riesgos en la administración de la información de los titulares.

13. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo

previsto en la ley 1581 de 2012.

14. Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la

ley.

15. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.

16. Usar los datos personales del titular sólo para aquellas finalidades para las que se encuentre

facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos

personales.

7.4.5. Autorización y consentimiento del titular

La Universidad de los Llanos requiere del consentimiento libre, previo, expreso e informado del titular de los

datos personales para el tratamiento de los mismos, excepto en los casos expresamente autorizados en la

ley, a saber:

1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales

o por orden judicial.

2. Datos de naturaleza pública.

3. Casos de urgencia médica o sanitaria.

4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

5. Datos relacionados con el Registro Civil de las Personas

Manifestación de la autorización: La autorización a la Universidad para el tratamiento de los datos

personales será otorgada por:





VIGENCIA: AAAA


● El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a

disposición La Universidad.

● Los causahabientes del titular, quienes deberán acreditar tal calidad.

● El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.

● Otro a favor o para el cual el titular hubiere estipulado.

Medios para otorgar la autorización: La Universidad de los Llanos obtendrá la autorización por parte de

los estudiantes mediante Sitios Web o en cualquier otro formato que en todo caso permita la obtención del

consentimiento mediante conductas inequívocas a través de las cuales se concluya que de no haberse

surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado

o capturado en la base de datos.

La autorización será solicitada por la UNIVERSIDAD de manera previa al tratamiento de los datos

personales.

Prueba de la autorización: La Universidad de los Llanos conservará la prueba de la autorización otorgada

por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos

disponibles a su alcance en la actualidad al igual que adoptará las acciones necesarias para mantener el

registro de la forma y fecha y en la que obtuvo ésta. En consecuencia la Institución podrá establecer

archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados

para tal fin.

Revocatoria de la autorización: Los titulares de los datos personales pueden en cualquier momento

revocar la autorización otorgada a La Universidad para el tratamiento de sus datos personales o solicitar la

supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual.

La universidad establecerá mecanismos sencillos y gratuitos que permitan al titular revocar su autorización

o solicitar la supresión sus datos personales, al menos por el mismo medio por el que lo otorgó.

Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse, por una

parte, de manera total en relación con las finalidades autorizadas, y por lo tanto La Universidad deberá

cesar cualquier actividad De tratamiento de los datos; y por la otra de manera parcial en relación con ciertos

tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento, como

para fines publicitarios, entre otros. En este último caso, La Institución podrá continuar tratando los datos

personales para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento.

7.4.6. Seguridad de la información y medidas de seguridad

Dando cumplimiento al principio de seguridad establecido en la normatividad vigente, la Universidad

adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a

los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado.

7.4.7. Confidencialidad

Esta política contiene un compromiso o acuerdo de confidencialidad, por medio del cual todo funcionario y/o

contratista vinculado a la Universidad, deberá firmar un compromiso de no divulgar la información interna y

externa que conozca de la Universidad, así como la relacionada con las funciones que desempeña. La firma

del acuerdo implica que la información conocida por todo funcionario y contratista, bajo ninguna

circunstancia deberá ser revelada por ningún medio electrónico, verbal, escrito u otro, ni total ni

parcialmente, sin contar con previa autorización.

Esta política de confidencialidad se adoptará de acuerdo a las cláusulas establecidas en las minutas de los

contratos o de la forma como la Universidad lo designe.

Comentado [U5]: Describir los mecanismos que se van a

implementar o se implementaron. “esto es lo que se describe en todo

el documento,, francisco.”





VIGENCIA: AAAA


7.5. Seguridad de los recursos humanos

Las políticas de operación en seguridad del recurso humano está orientada a reducir los riesgos de error

humano, voluntario o involuntario, infracción de las normas e ilícitos y uso inadecuado de los activos de

información de la Universidad. Ejercer compromisos de confidencialidad con todo el personal y usuarios de

los activos de información.

Se considera fundamental capacitar y socializar a todo el personal que interviene en la gestión y actividades

que desarrolla la Universidad, desde su ingreso, permanencia acerca de las medidas de seguridad que se

deben tener en cuenta para el desarrollo de sus funciones o actividades, de igual manera se debe definir las

sanciones que se aplicarán en caso de incumplimiento por parte de la institución, sin que esto le exima de la

responsabilidad legal ante las autoridades respectivas.

Para disminuir la probabilidad de ocurrencia de incidentes en materia de seguridad de la información es

necesario que la institución implemente un mecanismo que permita reportar las debilidades y los incidentes

tan pronto como sea posible, a fin de subsanarlos y evitar posibles réplicas. Adicional implementar una

metodología de gestión del riesgo para ejecutar las acciones a lugar con el fin de prevenirlo y evitarlo en el

futuro.

7.5.1 Responsabilidad

El equipo de gestión de seguridad de la información tiene a cargo establecer las directrices, garantizar el

seguimiento, documentación, análisis de los incidentes de seguridad, esta actividad debe ser motivada en

primera instancia por los propietarios y custodios de la información. En la etapa precontractual se estudiará

los controles y clausulas a incluir en los contratos, adiciones a las funciones ya establecidas que refuercen

la seguridad de los activos de la institución.

7.5.2 Lineamientos

7.5.2.1 Seguridad en la definición de perfiles del personal

Incorporación de la seguridad en las actividades laborales: Las funciones y responsabilidades en

seguridad de la información serán incorporadas en la definición de perfiles del cargo, se realizarán las

adiciones pertinentes a los compromisos ya pactados. Deben contener como mínimo las responsabilidades

generales relacionadas con la implementación y gestión del Sistema de Seguridad de la Información y las

responsabilidades específicas vinculadas a la protección de cada uno de los activos.

Compromiso de confidencialidad: Como parte de sus términos y condiciones del empleo o contrato, se

firmará un compromiso de confidencialidad o no divulgación de información de acuerdo a las políticas y

clasificación de activos de información y normas legales. Dentro del compromiso de confidencialidad el

contratista o funcionario declarará conocer y aceptar la existencia de determinadas actividades que pueden

ser objeto de cumplimiento, control y seguimiento.

Con el ánimo de articular SGSI con los ya existentes en la Universidad de los Llanos, se actualizarán los

formatos implementados en el área precontractual y contractual para garantizar la inclusión del compromiso

de confidencialidad.

7.5.2.2 Capacitación del usuario

Capacitación en materia de seguridad de la información: todos los funcionarios y contratistas, que

desempeñen funciones relacionadas con la institución recibirán capacitación, socialización en el Sistema de

Gestión de Seguridad de la Información de la Universidad. El equipo de gestión de seguridad de la

información de la Universidad realiza las acciones pertinentes para garantizar la capacitación oportuna. Se

habilitarán los medios técnicos que garanticen la comunicación para eventuales modificaciones o

novedades en materia de seguridad.





VIGENCIA: AAAA


7.5.2.3 Respuesta a incidentes, eventos o violación de la seguridad

Comunicación de incidentes: Los propietarios o usuarios de servicios de información, al momento de

tener conocimiento acerca de una debilidad de seguridad, deben informar al Jefe del Proceso quien a su

vez debe informar al comité de seguridad de inmediato, se debe de establecer un instrumento de

comunicación y respuesta a incidentes, que indique la acción que ha de tomarse, el responsable de

seguridad designado, se encargará de gestionar los recursos necesarios para iniciar la indagación y/o

resolución del incidente y garantía de no repetición.

Comunicación de debilidades: los usuarios de servicios y/o activos de información al momento de tener

conocimiento de una debilidad de seguridad son responsables de registrar e informar al responsable de

seguridad informática.

Comunicación de fallas de seguridad en software: se establecerán procedimientos y protocolos para

informar de posibles inconvenientes en el software con que cuenta la Universidad; como mínimo debe

contener lo siguiente: registrar los síntomas y evidencias, establecer la forma de actuar frente a la presencia

de anomalías, comunicar inmediatamente al responsable de seguridad.

Acciones de mejoramiento frente a incidentes: se definirán los instrumentos necesarios que permita

documentar, cuantificar y monitorear los tipos y frecuencia que se den frente a incidentes de seguridad, lo

anterior con el ánimo de tomar acciones de mejoramiento e implementación o ajuste de controles

adecuados.

Procesos disciplinarios: Se notificará al ente responsable para la apertura de proceso disciplinario formal

contemplado en la normatividad legal colombiana que rigen al personal de la administración pública o

terceros que violen la política de seguridad de la Universidad o en general el Sistema de Gestión de

seguridad de la Información de la Universidad de los Llanos y demás normas legales vigentes relativas a

seguridad.

7.6. Lineamiento de escritorio y pantalla limpia.

7.6.1. Objetivo

Definir las pautas generales para minimizar el riesgo de acceso no autorizado, pérdida, alteración y daño

de la información durante y fuera del horario de trabajo normal de los usuarios.

7.6.2. Objetivos específicos

● Garantizar la confidencialidad, la privacidad y el uso adecuado y moderado de la información.

● Crear conciencia sobre los riesgos asociados al manejo de información física y digital y la manera de

reducirlos aplicando los lineamientos aquí determinados.

● Establecer las recomendaciones necesarias para mantener las pantallas y escritorios organizados y

controlando el reposo de información clasificada a la vista.

● Brindar las pautas para mantener organizado y resguardado los documentos digitales y correos

electrónicos en los computadores puestos a disposición de todos los usuarios de los sistemas de

información y estructura tecnológica de la Universidad.

7.6.3. Aplicabilidad

La política de escritorios y pantallas despejadas es extensiva para todos los funcionarios, contratistas y

pasantes de la Universidad. Este lineamiento se define en el uso adecuado y ordenado de las áreas de

trabajo desde el punto de vista físico como tecnológico entendiéndose para tal fin como escritorio el espacio

físico o puesto de trabajo asignado a cada funcionario, contratista o pasante y pantalla, el área de trabajo

virtual sobre el sistema operativo de su computador, que contiene tanto sus carpetas electrónicas como los

archivos y accesos a los diferentes aplicativos Institucionales.





VIGENCIA: AAAA


7.6.4. Directrices

Para su definición y aplicación se define de la siguiente manera:

7.6.4.1 Escritorios

● Se deben dejar organizados los puestos y áreas de trabajo, entendiéndose por esto el resguardo de

documentos con información clasificada o reservada evitando que queden al alcance de la mano de

personal ajeno a la misma.

● En la medida de lo posible los documentos con información clasificada debe quedar bajo llave o

custodia en horas no laborables.

● Se debe evitar el retiro de documentos clasificados de la institución y en el caso de ser necesario se

debe propender por su protección fuera de la Universidad y su pronta devolución al mismo.

● Se deben controlar la recepción, flujo, envío de documentos físicos por medio de registro de sus

destinatarios desde el punto de correspondencia.

● Se debe restringir el fotocopiado de documentos fuera del horario normal de trabajo y fuera de las

instalaciones de la Universidad. De ser necesario se debe autorizar el retiro de dichos documentos y

garantizar su confidencialidad fuera por parte del líder del proceso.

● Al imprimir o fotocopiar documentos con información clasificada, esta debe ser retirada inmediatamente

de las impresoras o fotocopiadoras utilizadas para tal fin. Y no debe ser dejada desatendida sobre los

escritorios.

● No se debe reutilizar papel que contenga información clasificada.

7.6.4.2 Pantallas

● Los computadores o estaciones de trabajo deben ser bloqueados por los usuarios al retirarse de ellos

así sea por periodos de tiempos cortos y los mismos deben ser desbloqueados por medio del usuario y

contraseña asignado.

● El escritorio del computador deben tener el mínimo de iconos visibles, limitándose estos a los accesos

necesarios para la ejecución de la ofimática, accesos a sistemas de información y a carpetas y unidades

de red necesarios para la ejecución de las actividades.

● Los documentos digitales deben ser organizados en carpetas y evitar dejarlos a la vista en el escritorio

del Computador.

● Los funcionarios, contratistas y pasantes al retirarse de la Universidad deben apagar los computadores

asignados. Queda fuera de esta indicación los servidores y estaciones de trabajo utilizados para acceso

remoto. Las sesiones activas se deben terminar cuando el usuario finalice las actividades programadas.

● El fondo de pantalla de cada computador es único para todas las estaciones de trabajo y para todos los

usuarios y puede ser cambiado únicamente por la Oficina de Sistemas.

7.6.4.3 Monitoreo

La Oficina de Sistemas, en coordinación con los usuarios, realizará monitoreo para verificar el estado de los

computadores, monitores y uso de la red y generar el respectivo informe de lo encontrado.

7.7. Comunicaciones y manejos operativos

La gestión de las comunicaciones y las operaciones tienen el objetivo de garantizar el correcto

funcionamiento y seguridad de las instalaciones de procesamiento de la información y medios de

comunicación con que cuenta la Universidad.

Es necesario establecer criterios de seguridad en las comunicaciones que se establezcan dentro de la

Institución, por lo tanto es necesario establecer criterios de seguridad en todas las comunicaciones, tanto

actuales como futuras que permitan intercambio de información, deben estar reguladas para garantizar la

confidencialidad, integridad y disponibilidad de la información.





VIGENCIA: AAAA


Responsabilidad: el Comité de gestión de seguridad informática al interior de la Universidad o quien haga

sus veces tendrá a su cargo, entre otros:

● Establecer criterios de aprobación para nuevos sistemas de información, actualizaciones,

contemplando las realizaciones de pruebas necesarias antes de su puesta en producción definitiva.

Verificar que dichos documentos de aprobación de software incluyan aspectos específicos de

seguridad para las aplicaciones de gobierno en línea.

● Definir y documentar el manejo de incidentes de seguridad y uso de medios de almacenamiento.

● Definir lineamientos para el uso del correo electrónico.

● Definir y documentar controles para la detección y prevención del acceso no autorizado, la

protección contra software malicioso.

● Desarrollar mecanismos para concientización de usuarios y cultura en seguridad de la información,

que incluyan control de acceso al sistema y control de cambios.

● Desarrollar controles e implementarlos con el objetivo de mantener actualizados los procesos y

documentos relacionados con las comunicaciones y operaciones.

7.7.1. Control de cambios operacionales

Se deben aplicar los procedimientos para el control de los cambios de documentos en el ambiente

operativo, de las comunicaciones de la Universidad. Todo posible cambio debe ser evaluado por personal

idóneo en aspectos técnicos, impactos operativos y de seguridad.

7.7.2. Gestión y manejo de incidentes

Se establecerán los documentos necesarios conforme a los lineamientos establecidos en el Sistema

Integrado de Gestión y Modelo estándar de control interno, tomando como guía la norma ISO 27000 para

realizar la gestión y manejo de incidentes. De igual forma se establecerán funciones, roles,

responsabilidades, autoridades y documentación de incidentes garantizando una respuesta rápida y eficaz a

los incidentes relativos a seguridad. Como mínimo debe permitirse registrar pistas de auditoría para análisis

de problemas internos, que sirven de evidencias en infracción normativa o en proceso judicial.

7.7.3. Separación entre instalaciones de desarrollo e instalaciones operativas

Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible estarán separados,

preferiblemente de forma física, y se definirá y documentará las reglas para la transferencia de software

desde la necesidad, el estado de desarrollo al estado operativo. Para esto se tendrán en cuenta como

mínimo los siguientes controles:

● Separar las actividades de desarrollo y prueba.

● Impedir el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente operativo,

limitándose a la necesidad del trabajo neto de cada persona.

● Utilizar sistemas de autenticación, y autorización independientes para los diferentes ambientes,

utilizando perfiles de acceso a los sistemas, acceso de acuerdo a las responsabilidades contractuales

de cada persona o tercero.

● Definir propietarios de información.

● En los casos donde no se pueda mantener separados los distintos ambientes en forma física, se

implementarán controles para fortalecer la separación de funciones.

7.7.4. Gestión de instalaciones externas

En el caso de tercerizar la administración de las instalaciones de procesamiento, se acordaran controles con

el proveedor del servicio y se incluirán en el contrato. Identificando aplicaciones sensibles que convenga

retener en la Universidad, consultar con los usuarios de las aplicaciones específicas, garantizar la

Comentado [U6]: En ese caso, deben incluirse en las funciones

de dicho comité, las cuales deben estar descritas en la resolución de

creación del SGSI





VIGENCIA: AAAA


continuidad de las operaciones, definir las funciones, procedimientos de comunicación y manejo de

incidentes.

7.7.5. Planificación y aprobación de sistemas

La Oficina de sistemas efectuará cada vez que sea requerido por las demás oficinas de la Universidad, o

podrá tomar iniciativa propia para efectuar el monitoreo de las necesidades de capacidad de los sistemas de

operación y proyectar las futuras demandas, a fin de garantizar un procesamiento y almacenamiento

adecuado, teniendo en cuenta las tendencias actuales y futuras, la plataforma tecnológica existente, las

limitaciones de presupuesto y la vida útil de los activos de información.

Adicionalmente la Oficina de sistemas y el comité de seguridad de la información seguirán criterios de

aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones.

7.7.6. Protección contra software malicioso

El comité de seguridad de la información definirá controles de detección y prevención para la protección

contra software malicioso. Los controles mínimos deben ser:

● Prohibir la instalación y/o el uso de software no autorizado

● Crear documentos para evitar riesgos relacionados con la obtención de archivos y software.

● Instalar, actualizar y ejecutar periódicamente software de detección y reparación de virus informáticos.

● Mantener los sistemas con actualizaciones de seguridad disponibles, verificar las actualizaciones.

● Diseñar y socializar una cultura de verificar antes de su uso, la presencia de virus en archivos de

medios electrónicos de origen incierto, o archivos recibidos por red o internet.

● Cultura de prevención de virus y mecanismos a realizar ante su materialización.

7.8. Mantenimiento

7.8.1. Backups y resguardo de información

Cada una de las dependencias de la Universidad definirá los requerimientos para resguardar la información

que maneja de acuerdo a la criticidad y presupuesto disponible, pueden apoyarse en la Oficina de sistemas.

Se crearán documentos para el respaldo y resguardo de información, control de copias de seguridad,

pruebas periódicas de restauración,

7.8.2. Registro de actividades del personal operativo y fallas

Se llevará el registro de las actividades realizadas en los sistemas, como mínimo errores del sistema y

medidas correctivas aplicadas, intentos de acceso a sistemas, ejecución de operaciones críticas y cambios

a información crítica. Se verificará el cumplimiento de los documentos o procesos para comunicar las fallas

de procesamiento de información o los sistemas de comunicación de tal manera que sirvan para tomar

medidas correctivas, realizar revisión y seguimiento de estas.

7.9. Administración de la red

El comité de seguridad informática definirá controles para garantizar la seguridad de los datos y los servicios

contra el acceso no autorizado adoptando las siguientes acciones:

● Documentar la administración de servidores

● Establecer controles especiales para garantizar la confidencialidad, integridad y disponibilidad de la

información.

● Implementar controles para mantener la disponibilidad de servicios de red y equipos conectados.

● Realizar actividades de supervisión y auditoría para garantizar que los controles se aplican en la toda la

infraestructura tecnológica.





VIGENCIA: AAAA


7.9.1. Administración y seguridad de medios de almacenamiento

7.9.1.1 Administración de medios removibles

El comité de seguridad de la información gestionará para documentar e implementar los controles para la

administración de medios informáticos removibles como USB, discos externos, etc. Se debe documentar las

siguientes actividades: ● Almacenar en un ambiente seguro todos los medios removibles y acciones de protección de los

mismos.

7.9.1.2 Eliminación adecuada de medios de información

La oficina de Control del Archivo y Correspondencia definirá la metodología para la eliminación segura de

los medios de almacenamiento de información. Como mínimo se debe tener en cuenta los siguientes

elementos (documentos en papel, planos, discos magnéticos, memorias USB, Discos externos y fijos,

medios de almacenamientos en general y datos de prueba.)

7.9.1.3 Intercambio de información y software

Acuerdos de intercambio de información y software Cuando se realicen acuerdos de intercambio de información y software, se especificará el grado de

sensibilidad de la información y las consideraciones de seguridad de la misma, se deben tener en cuenta los

siguientes aspectos: ● Responsabilidad en la gestión, control y notificaciones de transmisiones (envíos y recepciones).

● Controles especiales que se requieran para garantizar la seguridad.

● Documentos de notificación de emisión, transmisión.

● Parámetros normativos para el empaquetado de la información y requerimientos específicos.

● Responsabilidad y obligaciones en caso de pérdida o mal uso de la información.

● Términos y condiciones de la licencia bajo la cual se suministra el software.

● Información sobre la propiedad de la información y concesiones de buen uso.

8.9.1.4 Seguridad del gobierno electrónico

El comité de seguridad de la información, los líderes de cada una de las oficinas para lo cual pueden

solicitar apoyo de la Oficina de Sistemas se verificarán como los siguientes aspectos:

● Autenticación: Nivel de confianza recíproca sobre la identidad del usuario y la institución.

● Autorización: niveles de autorización adecuada para establecer disposiciones y emitir datos o

documentos claves.

● Procesos de oferta y contratación pública: requerimientos de confidencialidad, integridad y

disponibilidad, prueba de envío y no repudio.

● Trámites en línea: confidencialidad, integridad y disponibilidad de datos suministrados con respecto a

trámites en línea, confirmación de recepción.

● Verificación: grado de verificación adecuado de la información.

● Cierre de la transacción: iteración más adecuada para evitar fraudes.

● Protección a la duplicación: asegurar que una transacción sólo se realice una vez, a menos que se

requiera lo contrario.

● No repudio: manera de evitar que una entidad que haya enviado o recibido información alegue que no la

envió o recibió.

7.9.1.5 Seguridad del correo electrónico

Se creará el documento de la política de seguridad del correo electrónico y se implementarán controles para

reducir los riesgos de incidentes de seguridad en el correo electrónico, contemplando lo siguiente:





VIGENCIA: AAAA


● Los correos institucionales para las oficinas se crearán con el nombre de la oficina solicitante.

● Los correos institucionales para funcionarios de carrera administrativa, Contratistas y Docentes crearán

con la primera letra del primer nombre seguido del primer apellido.

● Los correos institucionales de los Estudiantes se crearán primer nombre punto y primer apellido; al

encontrarse ya en uso se creará primer nombre punto primer apellido punto segundo apellido.

● La vulnerabilidad de los mensajes en cuanto a acceso o modificación no autorizada.

● Intercepción de los mensajes en el medio de transmisión.

● Vulnerabilidades a errores, ejemplo dirección incorrecta.

● Posible recepción de código malicioso

● Las consideraciones legales como la necesidad de contar con prueba de envió, origen, entrega y

aceptación.

7.10. Desarrollo y mantenimiento de sistemas de información

Orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde la

etapa de diseño, desarrollo, implementación, mantenimiento y evaluación; se consideran estas etapas

como puntos críticos para la seguridad de la información, por lo tanto durante el análisis y diseño de los

procesos a desarrollar se deben identificar, documentar y aprobar los requerimientos de seguridad que se

deben incorporar durante las etapas de desarrollo e implementación, diseñando controles de validación de

datos de entrada, procesamiento interno y salida de datos. Los objetivos principales en cuanto a desarrollo y

mantenimiento de sistemas de información son: ● Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de sistemas.

● Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los

aplicativos y la infraestructura necesaria.

● Definir claramente los métodos de protección de información crítica o sensible de la Universidad.

● Dentro de los procesos contractuales con terceros se incorporarán aspectos relacionados con el

licenciamiento, calidad del software, seguridad de la información en los contratos,

Para incorporar la seguridad a los sistemas de información propios o desarrollados por terceros y mejoras

necesarias se especificarán los siguientes parámetros: ● Análisis y requerimientos de seguridad

● Seguridad en los sistemas de aplicación

● Validación de datos de entrada

● Controles de procesamiento interno

● Autenticación de mensajes

● Validación de datos de salida

● Controles criptográficos, cifrado y firma digital de ser necesario

● Servicios de no repudio

● Seguridad de los archivos del sistema

● Protección de los datos en ambientes de prueba

● Control de cambios en datos operativos

● Control de acceso a los programas fuentes

● Seguridad y gestión en todos los procesos de desarrollo y soporte

Requerimientos para desarrollo externo de Software:

En el caso de tercerización en el desarrollo de software se establecerán los siguientes aspectos:

1. Acuerdos de licencias, propiedad de código fuente y derechos conferidos de propiedad intelectual.

2. Requerimientos contractuales con respecto a la calidad del código y la existencia de garantías.





VIGENCIA: AAAA


3. Documentos de certificación de calidad y precisión del trabajo llevado a cabo por el proveedor, que

incluya auditorías, revisión de código malicioso, verificación del cumplimiento de los requisitos de

seguridad del software establecido.

4. Acuerdos de custodia de los códigos fuentes de software.

5. Distinción entre funciones de ambientes de prueba, desarrollo y producción.

7.11. Disponibilidad del servicio de información

Está orientado a contrarrestar las interrupciones y proteger los procesos críticos de la materialización de

riesgos, este objetivo de control involucra a toda la Universidad, se debe establecer y mantener actualizado

el plan de contingencia como herramienta básica para garantizar las actividades dentro de los plazos

requeridos en la ejecución del cumplimiento misional de la Institución. El plan debe adoptarse como parte

integral de todos los procesos administrativos y de gestión, debiendo incluir controles orientados a

identificar y reducir riesgos, atenuar el impacto de eventuales interrupciones y reanudar en el menor

tiempo posible las actividades comprometidas.

7.11.1. Objetivo del plan de contingencia

El objetivo general del Plan de contingencia es proporcionar a la Alta dirección de la Universidad de los

Llanos un Plan de Contingencia Informático, que contenga los procedimientos e instructivos necesarios para

poder continuar con las operaciones, procesos y servicios informáticos críticos, en caso de que se llegara a

presentar algún siniestro. Así como minimizar el impacto que dichos daños pudieran causar. los objetivos

específicos a considerar son:

● Reanudar con la mayor brevedad posible las funciones más críticas de la Universidad, en aras a

minimizar el impacto sobre los estudiantes y la ciudadanía en general. Garantizando la correcta

recuperación de los sistemas y procesos.

● Identificar y evaluar los riesgos así como los costos de los procedimientos de contingencia requeridos

cuando se presenta una interrupción de las operaciones, de forma que sólo se inviertan los recursos

necesarios.

● Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna

y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la

emergencia.

7.11.2. Plan de acción para garantizar la continuidad del negocio

● Realizar un levantamiento de los activos informáticos con los que cuenta la Universidad de los Llanos.

Teniendo en cuenta la política de Activos de información del Sistema de Gestión de Seguridad de la

Información.

● Determinar cuál es la información crítica que se tiene que resguardar, determinando los servicios de

cómputo, telecomunicaciones, Internet, etc., que son requeridos para que los usuarios estén en

posibilidad de llevar a cabo sus actividades normales.

● Identificar amenazas posibles.

● Identificar los tipos de siniestros a los cuales está propenso cada uno de los procesos críticos, tales

como falla eléctrica prolongada, incendio, terremoto, etc.

● Identificar el conjunto de amenazas que pudieran afectar a los procesos informáticos, ya sea por causa

accidental o intencional.

● Revisar la seguridad, controles físicos y ambientales existentes, evaluando si son adecuados respecto a

las amenazas posibles.

● Se debe estar preparado para cualquier percance, verificando que dentro de la Oficina de Sistemas de

Información se cuente con los elementos necesarios para salvaguardar sus activos.

● Identificar los servicios fundamentales de la Oficina de Sistemas de la Universidad de los Llanos.





VIGENCIA: AAAA


● Definir roles y responsabilidades al interior de la Universidad, identificar entidades de apoyo dado el

caso de ocurrir incidentes.

7.12. Cumplimiento

Su objetivo es impedir infracciones y violaciones de las leyes del derecho civil y penal de las obl igaciones

establecidas por leyes, estatutos, normas, reglamentos, contratos y requisitos de seguridad de la

Universidad. Todo con el fin de asegurar la implementación de las medidas de seguridad comprendidas en

estos lineamientos de operación en seguridad informática, la Universidad de los Llanos identificará los

recursos técnicos, administrativos y financieros por disposiciones legales y contractuales necesarios para su

implementación. Dichos recursos y actividades necesarias para su implementación se realizarán de manera

gradual de acuerdo a las limitaciones de recursos con que cuenta la Institución.

7.12.1. Generalidades

El diseño, operación, uso y administración de las medidas de seguridad comprendidas para el

funcionamiento e implementación del Manual de seguridad de la información harán parte del sistema de

gestión de seguridad informática de la Universidad de los Llanos. Cabe aclarar que todos los

procedimientos, guías, manuales, instructivos, y demás herramientas que se aprueben de aquí en adelante

y que sean necesarias para la implementación de los controles de seguridad y actividades sugeridas que se

hacen en este manual; harán parte de este, en la medida que se vayan aprobando y actualizando dentro del

Sistema de Gestión de Calidad de la institución.

7.12.2. Objetivos de cumplimento de las políticas dentro del Sistema de Gestión de Seguridad Informática.

● Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones a la Universidad y/o

funcionarios o terceros relacionados.

● Garantizar que los sistemas de información cumplan con la política de seguridad de la información y

todos los lineamientos del Sistema de Gestión de Seguridad Informática (SGSI).

● Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la

adecuada aplicación de la política de seguridad adoptada por la Institución.

● Garantizar la existencia de controles que protejan todos los activos de información y tecnológicos con

que cuenta la institución.

● Implementar el Sistema de Gestión de Seguridad de la Información de manera gradual de acuerdo a la

disponibilidad de recursos.

7.12.3. Política de cumplimiento de requisitos legales

Identificación de legislación aplicable: Se definirá y documentará todos los requisitos normativos y

contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentaran

los controles específicos, las responsabilidades y funciones individuales para cumplir con los requisitos de

las políticas de operación de seguridad de la información como de todo el SGSI.

Derechos de propiedad Intelectual: Se implementarán procedimientos adecuados para garantizar el

cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual,

los funcionarios únicamente podrán utilizar material autorizado por la dirección de sistemas de información

o directores de las dependencias, La Universidad de los Llanos solo contempla el uso y autorización de

materia producido por esta, o material autorizado o suministrado al mismo por su titular, conforme a los

términos y condiciones acordadas y lo dispuesto por las normas vigentes.

Prevención del uso inadecuado de los activos tecnológicos: Los recursos asignados deben ser

utilizados con el propósito adecuado según el tipo de vinculación con la Universidad de los Llanos, toda

utilización de estos con propósito no autorizado o ajeno al destino por el cual fueron provistos debe ser





VIGENCIA: AAAA


considerado como uso inadecuado. Todos los funcionarios y contratistas deben conocer el alcance preciso

del uso adecuado de los recursos informáticos y deben acatarlo.

7.12.4. Recolección de evidencia

Es necesario contar con evidencia para respaldar una acción contra una persona u organización, siempre

que responda a una medida disciplinaria interna. Revisiones del manual de seguridad de la información y políticas de operación del SGSI

● Cada líder de proceso o jefe de oficina, velará por la correcta implementación y cumplimiento de las

normas y procedimientos de seguridad establecidos que apliquen dentro de su área de responsabilidad.

● El comité de seguridad de la información realizará revisiones periódicas en todas las dependencias de la

Universidad a efectos de garantizar el cumplimiento de las políticas de seguridad, teniendo especial

cuidado con los sistemas de información, proveedores de sistemas, propietarios de información,

clasificación de activos y usuarios.

● En la medida de lo posible, se deben disponer de recursos y personal competente para realizar pruebas

de vulnerabilidades en los sistemas de información y activos tecnológicos, con el fin de verificar y

retroalimentar los controles establecidos y tomar decisiones para prevenir accesos no autorizados.

7.12.5. Sanciones previstas por incumplimientos en Seguridad

Se sancionará administrativamente a todo aquel que viole lo dispuesto en las políticas de seguridad de la

información conforme a lo dispuesto en las normas vigentes y en caso de ser necesario se remitirá a

organismos competentes. Las sanciones solo pueden imponerse mediante acto administrativo que así lo

disponga cumpliendo las formalidades impuestas por la constitución política de Colombia, leyes de

procedimiento administrativo y demás normas específicas aplicables.

Además de las sanciones administrativas o disciplinarias, el servidor público o tercero que no da debido

cumplimiento a sus obligaciones puede también incurrir en responsabilidad civil, penal o patrimonial cuando

ocasiona un daño que debe ser indemnizado según las normas vigentes.

8 Registro de Modificaciones

Fecha Cambio Nueva versión

DD/MM/AAAA Documento Nuevo 01

manual del sistema de gestiÓn de seguridad de la … manual del... · 2018-02-12 · proteja,...

Documents