manual del sistema de gestiÓn de seguridad de la … manual del... · 2018-02-12 · proteja,...
TRANSCRIPT
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 1 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
ELABORO: REVISO: Olga Lucía Balaguera APROBÓ: Claudio Javier Criollo R.
CARGO: CARGO: Jefe Oficina de Sistemas CARGO: Representante de la Alta Dirección (E)
FIRMA FIRMA FIRMA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
MANUAL DEL SISTEMA DE GESTIÓN
DE SEGURIDAD DE LA INFORMACIÓN
(SGSI)
UNIVERSIDAD DE
LOS LLANOS
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 2 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
CONTENIDO
INTRODUCCIÓN 6
1. OBJETIVO 7
1.1 OBJETIVOS ESPECÍFICOS 7
2 ALCANCE 8
3 NIVEL DE CUMPLIMIENTO 9
4 RESPONSABILIDAD 10
5 MARCO NORMATIVO 11
5.1. Marco general de seguridad de la información 11
5.2. Términos y definiciones 12
6 CONDICIONES GENERALES 14
7 LINEAMIENTOS DE OPERACIÓN DE SEGURIDAD INFORMÁTICA 16
7.1. Organización de la seguridad de la información 16
7.1.1. Objetivos 16
7.1.2. Responsabilidad 16
7.1.3. Lineamientos 16
7.1.3.1. Infraestructura de la seguridad de la información 16
7.1.3.2. Autorización para instalaciones de procesamiento de información 17
7.1.3.3. Asesoramiento especializado en materia de seguridad de la información 17
7.1.3.4. Revisión del Sistema de Gestión de seguridad de la Información 17
7.1.3.5. Seguridad frente al Acceso por parte de terceros 17
7.1.3.6. Identificación de riesgos del acceso de terceros 17
7.1.3.7. Requerimientos de seguridad en contratos con terceros 18
7.2. Gestión de activos 19
7.2.1. Activos de Información 19
7.2.2. Normas 19
7.2.3. Responsabilidad de los Activos de Información 19
7.2.4. Clasificación de la Información 20
7.2.5. Etiquetado y Manejo de la Información 20
7.2.6. Base de datos – Inventario de activos de información 21
7.2.7. Clasificación de la información 21
7.2.8. Devolución de los activos 21
7.2.9. Gestión de Medios Removibles 21
7.2.10. Disposición de los activos 21
7.2.11. Dispositivos Móviles 21
7.3. Control de acceso a la información 21
7.3.1. Control de acceso con usuario y contraseña 22
7.3.2. Gestión de Contraseñas 22
7.3.3. Perímetro de Seguridad 23
7.3.4. Perímetro de seguridad física 23
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 3 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
8.3.4.1 Reglas de control de acceso 23
7.4. Privacidad y confidencialidad 24
7.4.1. Ámbitos de aplicación 24
7.4.2. Principios del tratamiento de datos personales 24
7.4.3. Derechos del titular de la información 25
7.4.4. Deberes de la Universidad de los Llanos como responsable y encargada del tratamiento de los datos personales 25
7.4.5. Autorización y consentimiento del titular 26
7.4.6. Seguridad de la información y medidas de seguridad 27
7.4.7. Confidencialidad 27
7.5. Seguridad de los recursos humanos 28
7.5.1 Responsabilidad 28
7.5.2 Lineamientos 28
7.5.2.1 Seguridad en la definición de perfiles del personal 28
7.5.2.2 Capacitación del usuario 28
7.5.2.3 Respuesta a incidentes, eventos o violación de la seguridad 29
7.6. Lineamiento de escritorio y pantalla limpia. 29
7.6.1. Objetivo 29
7.6.2. Objetivos específicos 29
7.6.3. Aplicabilidad 29
7.6.4. Directrices 30
7.6.4.1 Escritorios 30
7.6.4.2 Pantallas 30
7.6.4.3 Monitoreo 30
7.7. Comunicaciones y manejos operativos 30
7.7.1. Control de cambios operacionales 31
7.7.2. Gestión y manejo de incidentes 31
7.7.3. Separación entre instalaciones de desarrollo e instalaciones operativas 31
7.7.4. Gestión de instalaciones externas 31
7.7.5. Planificación y aprobación de sistemas 32
7.7.6. Protección contra software malicioso 32
7.8. Mantenimiento 32
7.8.1. Backups y resguardo de información 32
7.8.2. Registro de actividades del personal operativo y fallas 32
7.9. Administración de la red 32
7.9.1. Administración y seguridad de medios de almacenamiento 33
7.9.1.1 Administración de medios removibles 33
7.9.1.2 Eliminación adecuada de medios de información 33
7.9.1.3 Intercambio de información y software 33
8.9.1.4 Seguridad del gobierno electrónico 33
7.9.1.5 Seguridad del correo electrónico 33
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 4 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7.10. Desarrollo y mantenimiento de sistemas de información 34
7.11. Disponibilidad del servicio de información 35
7.11.1. Objetivo del plan de contingencia 35
7.11.2. Plan de acción para garantizar la continuidad del negocio 35
7.12. Cumplimiento 36
7.12.1. Generalidades 36
7.12.2. Objetivos de cumplimento de las políticas dentro del Sistema de Gestión de Seguridad Informática. 36
7.12.3. Política de cumplimiento de requisitos legales 36
7.12.4. Recolección de evidencia 37
7.12.5. Sanciones previstas por incumplimientos en Seguridad 37
8 Registro de Modificaciones 37
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 5 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
JUSTIFICACION
El esquema de globalización que las tecnologías de la información ha originado principalmente por el uso
masivo y universal del Internet y sus tecnologías, las instituciones gubernamentales se ven inmersas en
ambientes agresivos donde el delinquir, sabotear, sustraer se convierte en retos para delincuentes
informáticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme el uso
de las tecnologías se ha incrementado, se aumenta el riesgo, lo cual obliga a las entidades a crear medidas
de emergencia y políticas definitivas para contrarrestar estos ataques y transgresiones.
En Colombia no existe una sola institución gubernamental que no se haya visto sujeta a los ataques en sus
instalaciones, tanto desde su interior como del exterior, lo cual obliga a que un grupo de personas se
involucren contrarrestando estas amenazas reales.
El objetivo principal de la Oficina de Sistemas de la Universidad de los Llanos es brindar a los usuarios los
recursos informáticos con la cantidad y calidad que demandan, es decir, que se asegure la continuidad en el
servicio los 365 días del año. Así, la cantidad de recursos de cómputo y de telecomunicaciones con que
cuentan las instalaciones de la Universidad de los Llanos son de consideración y se requiere que se
protejan para garantizar su buen funcionamiento.
La seguridad de las instituciones gubernamentales en muchos de los países se ha convertido en cuestión
de seguridad nacional, por ello contar con un documento de seguridad es imprescindible, y debe de plasmar
mecanismos confiables que con base en la política institucional proteja los activos de información de la
Universidad de los Llanos.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 6 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
INTRODUCCIÓN
La Universidad de los Llanos, a través de la Oficina de Sistemas ve la necesidad de implementar un
Sistema de Gestión de Seguridad de la Información para brindar una salvaguarda apropiada a la
información que se procesa en la Universidad, teniendo en cuenta que esta información es relevante tanto
internamente como al exterior.
El presente documento expone los lineamientos sobre el uso y aprovechamiento de las tecnologías de la
información y las comunicaciones de la Universidad por parte de administradores, usuarios o terceros,
integra estos esfuerzos de una manera conjunta y da una visión global a la Universidad de los Llanos en
materia de seguridad de la información. Pretende ser el medio mediante el cual se establecen las reglas,
normas, controles administrativos y procedimientos que regulen la forma en que la institución, prevenga,
proteja, maneje los riesgos de seguridad en diversas circunstancias y de cumplimiento a los lineamientos de
gobierno en línea del estado colombiano.
La seguridad de la información se gestiona atendiendo a tres requerimientos principales:
Disponibilidad: Entendida como la garantía del acceso a la información en el instante en que el usuario
la necesita.
Confidencialidad: Definida como la garantía del acceso a la información únicamente de los usuarios
autorizados por la alta Gerencia.
Integridad: Interpretada como la preservación de la información de forma completa y exacta en los
diferentes medios de almacenamiento.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 7 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
1. OBJETIVO
Establecer reglas y directrices para el uso de los sistemas informáticos y de las comunicaciones de la
Universidad de los Llanos enfocados al buen uso y protección de la información de amenazas internas y
externas, bien sean deliberadas o accidentales. La protección se realiza estableciendo controles
administrativos y operativos a los activos tecnológicos de la Universidad.
1.1 OBJETIVOS ESPECÍFICOS
● Proteger, almacenar y respaldar la información de la Universidad de los Llanos, con el fin de garantizar
la protección de la misma y la privacidad de los datos de los procesos administrativos, de estudiantes y
funcionarios, todo acorde con la legislación colombiana vigente.
● Preservar y administrar objetivamente la información de la Universidad de los Llanos al igual
que las tecnologías utilizada para su procesamiento, frente a amenazas internas o externas,
deliberadas o accidentales, con el fin de asegurar el cumplimiento de las características de
confidencialidad, integridad, disponibilidad, legalidad, confiabilidad.
● Transmitir las normas y políticas de seguridad informática a todos los usuarios de la Universidad de los
Llanos, para que sea de su conocimiento y aplicación en los recursos informáticos utilizados.
● Orientar el manejo a mejores prácticas para la construcción de una política de privacidad respetuosa de
los datos personales de los titulares.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 8 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
2 ALCANCE
El Sistema de Gestión de Seguridad de la Información de la Universidad de los Llanos se aplica a todas las
instancias de la organización, en cumplimiento de las disposiciones legales vigentes en Colombia, con el
objetivo de gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el
ambiente tecnológico de la Universidad.
Los lineamientos de Seguridad de la Información contenidas en este documento, son mandatos generales,
de obligatorio cumplimiento por todos los funcionarios, contratistas, profesores y terceros, que presten sus
servicios a Universidad de los Llanos.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 9 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
3 NIVEL DE CUMPLIMIENTO
Las personas mencionadas por el alcance deberán dar cumplimiento un 100% de la política.
Por lo anterior se establecen los 9 lineamientos de seguridad que soportan el SGSI de LA UNIVERSIDAD
DE LOS LLANOS
● Definir, implementar, y mejorar de forma continua un Sistema de Gestión de Seguridad de la
Información, con base en las necesidades de la administración, y a los requerimientos regulatorios que
le aplican a su naturaleza.
● Las responsabilidades frente a la seguridad de la información serán compartidas, y aceptadas por cada
uno de funcionarios, contratistas, profesores y terceros.
● Se protegerá de amenazas internas y/o externas la información generada de cada uno de los procesos
e instancias que hacen parte de la Universidad con el fin de minimizar impactos financieros, operativos
o legales debido a un uso incorrecto de esta.
● Se protegerá las áreas de procesamiento y la infraestructura tecnológica que soporta sus procesos
críticos.
● Se controlará la operación de red de datos y procesos tecnológicos garantizando su seguridad.
● Se implementará control de acceso a la información, sistemas y recursos de red.
● La seguridad será parte integral del ciclo de vida de los sistemas de información y dem.
● Se establecerá una mejora efectiva de su modelo de seguridad a través de una adecuada gestión de los
eventos de seguridad y las debilidades asociadas con los sistemas de información.
● Se dará cumplimiento de las obligaciones legales y regulatorias establecidas. El incumplimiento a la
política de Gestión de Seguridad de la Información, traerá consigo, las consecuencias legales que
apliquen a la normativa de la Entidad, incluyendo lo establecido en las normas que competen al
Gobierno nacional y territorial en cuanto a Seguridad y Privacidad de la Información se refiere.
Comentado [FCS1]: Estos ítems se deben especificar en la
resolución mediante la cual se cree el sistema de Gestión de
Seguridad de la Información, en las “Generalidades del Sistema”
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 10 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
4 RESPONSABILIDAD
Los Integrantes de la Alta Dirección, funcionarios, contratistas, profesores y terceros son responsables de la
implementación del plan de Seguridad de la Información, el cumplimiento del PGSI es de Carácter
Obligatorio para todo el personal de la de la UNIVERSIDAD DE LOS LLANOS.
El responsable de seguridad de la información
Son responsables por la seguridad de la Información en primer lugar el Señor Rector de la Universidad, el
comité de seguridad de la información (ver si existe o crearlo), usuarios y custodios de la información.
Los usuarios de la información y de los sistemas utilizados para su procesamiento.
Son responsables de conocer, divulgar, cumplir y hacer cumplir la Política de Seguridad de la Información
vigente. Son responsables los líderes de proceso de mantener actualizados los activos de información a su
cargo.
Control interno
O en su defecto quien sea propuesto por el Comité de seguridad de Gobierno en Línea (GEL) es
responsable de practicar auditorías periódicas sobre los sistemas y actividades vinculadas con las
tecnologías de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de
seguridad de la información establecidas por estas Políticas y por las Normas, Procedimientos y prácticas
que de ella surjan.
Nota: Sanciones previstas por incumplimiento
El incumplimiento de las Políticas podrá dar lugar a un proceso disciplinario para los funcionarios y se podrá
convertir en un incumplimiento del contrato, puede dar lugar a la imposición de sanciones e incluso su
terminación, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar según la normatividad
vigente.
Comentado [U2]: de acuerdo a lo hablado en reunión de trabajo
realizada el día 21/11/2017 en la oficina de Sistemas, este numeral
debe incluirse, en la resolución rectoral mediante la cual se cree el
sistema de gestión de seguridad de la información.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 11 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
5 MARCO NORMATIVO
La Universidad de los Llanos establece principios y/o directrices sobre aspectos específicos de seguridad de
la información, considerando los siguientes:
5.1. Marco general de seguridad de la información
Marco normativo:
LEY RESOLUCIÓN CIRCULAR
TEMA
Ley 527 de 1999 - Comercio electrónico
Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”.
Ley 599 DE 2000
Por la cual se expide el Código Penal. En esta se mantuvo la estructura del tipo penal de “violación ilícita de comunicaciones”, se creó el bien jurídico de los derechos de autor y se incorporaron algunas conductas relacionadas indirectamente con el delito informático, tales como el ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Se tipificó el “Acceso abusivo a un sistema informático”, así: “Art. 195. El que abusivamente se introduzca en un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa.”
Ley 962 de 2005
Por la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen funciones públicas o prestan servicios públicos. Prevé incentivos por el uso de medios tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites por parte de los administrados.
Ley 1150 de 2007
Por medio de la cual se introducen medidas para la eficiencia y la transparencia en la Ley 80 de 1993 y se dictan otras disposiciones generales sobre la contratación con Recursos Públicos. Específicamente, se establece la posibilidad de que la administración pública expida actos administrativos y documentos y haga notificaciones por medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la Contratación Pública, Secop.
Ley 1273 de 2009
Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
Ley 1341 de 2009
Por la cual se definen principios y conceptos sobre la sociedad de la información y la organización de las tecnologías de la Información y las Comunicaciones –TIC, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones.
Resolución de la Comisión de Regulación de Comunicaciones 2258 de 2009
Sobre seguridad de las redes de los proveedores de redes y servicios de telecomunicaciones. Esta resolución modifica los artículos 22 y 23 de la Resolución CRT 1732 de 2007 y los artículos 1,8 y 2,4 de la Resolución CRT 1740 de 2007. Esta regulación establece la obligación para los proveedores de redes y/o servicios de telecomunicaciones que ofrezcan acceso a Internet de implementar modelos de seguridad, de acuerdo con las características y necesidades propias de su red, que contribuyan a mejorar la seguridad de sus redes de acceso, de acuerdo con los marcos de seguridad definidos por la UIT, cumpliendo los principios de confidencialidad de datos, integridad de datos y disponibilidad de los elementos de red, la información, los servicios y las aplicaciones, así como medidas para autenticación, acceso y no repudio. Así mismo, establece obligaciones a cumplir por parte de los proveedores de redes y servicios de telecomunicaciones relacionadas con la inviolabilidad de las comunicaciones y la seguridad de la información.
Circular 052 de 2007 Fija los requerimientos mínimos de seguridad y calidad en el manejo de información
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 12 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
LEY RESOLUCIÓN CIRCULAR
TEMA
(Superintendencia Financiera de Colombia)
a través de medios y canales de distribución de productos y servicios para clientes y usuarios.
Ley 1581 de 2012 Reglamentada por ley 1377 de 2013
Por la cual se dictan disposiciones generales para la protección de datos personales.
Ley 1474 de 12 Julio de 2011
Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública.
Artículo 258 del código Penal:
El que como empleado, asesor, directivo o miembro de una junta u órgano de administración de cualquier entidad privada, con el fin de obtener provecho para sí o para un tercero, haga uso indebido de información que haya conocido por razón o con ocasión de su cargo o función y que no sea objeto de conocimiento público, incurrirá en pena de prisión de uno (1) a tres (3) años y multa de cinco (5) a cincuenta (50) salarios mínimos legales mensuales vigentes. En la misma pena incurrirá el que utilice información conocida por razón de su profesión u oficio, para obtener para sí o para un tercero, provecho mediante la negociación de determinada acción, valor o instrumento registrado en el Registro Nacional de Valores, siempre que dicha información no sea de conocimiento público.
Constitución de 1991 Artículo 15: El derecho fundamental de intimidad personal y familiar.
Ley 1266 de 2008 Establece principios para el tratamiento de datos, e impone una serie de deberes para los operadores, fuentes y usuarios, así mismo un catálogo de derechos para los titulares de la información.
Decreto 2952 de 2010 El incumplimiento de obligaciones de tratamiento de información en casos de fuerza mayor.
Decreto 1727 de 2009 Reglamenta forma de presentación del contenido de la información del titular de la información.
Ley de habeas Data (Estatutaria) 1581 de 2012
Por la cual se dictan disposiciones generales para la protección de datos personales.
Ley (Estatutaria) 1266 de 2008
Por la cual se dictan disposiciones generales para habeas data financiero.
Resolución Rectoral 1470 de 2015
Lineamientos para el uso de recursos informáticos de la Universidad de los Llanos
5.2. Términos y definiciones
Activo: Activo valioso y estratégico para la organización Amenaza: Violación potencial de la seguridad. (Rec. UIT-T X.800, 3.3.55) Amenaza informática: La aparición de una situación potencial o actual donde un agente tiene la capacidad
de generar una agresión cibernética contra la población, el territorio y la organización política del Estado.
(Ministerio de Defensa de Colombia). Ataque cibernético: Acción organizada y/o premeditada de una o más personas para causar daño o
problemas a un sistema informático a través del ciberespacio. (Ministerio de Defensa de Colombia). Amenazas asociada activos de información: son las que se presentan como efectos no deseados contra
la disponibilidad, confidencialidad e integridad de sus contenidos.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 13 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
Ciberdelito / Delito Cibernético: Actividad delictiva o abusiva relacionada con los ordenadores y las redes
de comunicaciones, bien porque se utilice el ordenador como herramienta del delito, bien porque sea el
sistema informático (o sus datos) el objetivo del delito. (Ministerio de Defensa de Colombia). Confidencialidad: La ISO 27001 la define como la propiedad por la que la información no está disponible o
divulgada a personas no autorizadas, entidades o procesos. Disponibilidad: según la ISO 27001 es la propiedad de ser accesibles y utilizados bajo pedido por una
entidad autorizada. Incidente Informático: Cualquier evento adverso real o sospechado en relación con la seguridad de
sistemas de computación o redes de computación http://www.cert.org/csirts/csirt_faq.html CERT/CC. Información: La Norma ISO/IEC 27000 define la información como un activo que, del mismo modo que
otros importantes activos empresariales, tiene valor para la organización y, por tanto, ha de ser protegido
adecuadamente. Integridad: La Norma ISO/IEC 27000 define como la propiedad de la salvaguarda de la integridad de los
activos. Completitud de la información.
Seguridad informática:
Legalidad: ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO
transcribiendo la segunda parte de BS 7799. Es certificable. (http://www.iso.org) Logs: Registro oficial de eventos durante un rango de tiempo en particular. Para los profesionales en
seguridad informática es usado para registrar datos o información sobre quién, qué, cuándo, dónde y por
qué un evento ocurre para un dispositivo en particular o aplicación. Sistema de gestión de seguridad de la información: según (Zubienta Guillén, 2014) es la parte del
sistema general de gestión, basado en un enfoque de riesgo organizacional, para establecer, implementar,
operar, monitorizar, revisar, mantener y mejorar la seguridad de la información. TIC (Tecnologías de la Información y las Comunicaciones): Conjunto de recursos, herramientas,
Equipos, programas informáticos aplicaciones, redes y medios; que permiten la compilación,
Procesamiento, almacenamiento, transmisión de información como voz, datos, texto, video e Imágenes.
(Ley 1341/2009 TIC).
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 14 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
6 CONDICIONES GENERALES
● La violación de las políticas de seguridad de la información dará lugar a acciones disciplinarias,
administrativas, civiles y/o penales de acuerdo a las normas internas de la Universidad de los Llanos y
la normatividad que aplique en el estado colombiano.
● El comité de seguridad de la información o quien sea designado revisará como mínimo cada año las
políticas de operación del sistema de gestión de seguridad de la información, a efectos de mantenerlas
actualizadas. De igual manera efectuará toda modificación que sea necesaria como pueden ser,
cambios tecnológicos, en los controles, impactos de incidentes de seguridad, disponibilidad de recursos
y personal.
● Se sancionará administrativamente a los funcionarios o contratista que utilicen equipos tecnológicos de
la Universidad de los Llanos para acceder a direcciones de internet que no sean necesarios para el
ejercicio de sus funciones y que ponen en riesgo la seguridad de la información, como por ejemplo:
sitios con contenido pornografico, Cracks, Malware, Tuneles, keygens y demás contenido que el comité
de seguridad de la información considere inadecuado. Esta sanción se aplicará al determinar que el
ingreso a los sitios anteriormente mencionados es repetitivo y constante.
● Se adelantarán procesos disciplinarios y/o sanciones para los funcionarios o contratistas que incurran
en cualquiera de los siguientes delitos informáticos y los demás que estén consagrados en las normas
legales vigentes, se dará aviso a la autoridad competente dependiendo del grado de impacto que
determine el comité de seguridad de la información.
● Toda la información que se encuentre almacenada en los equipos de cómputo de la Universidad de los
Llanos es de propiedad de la institución, por lo anterior la Oficina de Sistemas tendrá acceso a ella en el
momento que se requiera.
● El comité de seguridad de la información estará facultado para reportar ante las autoridades
competentes a cualquier persona(Administrativos, Estudiantes, Docententes, Contratistas y Terceros)
que incurra en los delitos descritos a continuación
1. Acceso abusivo a un sistema informático: El que sin autorización o por fuera de lo acordado, acceda
en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga
dentro del mismo en contra de la voluntad de quien tenga legítimo derecho a excluirlo. Según (Ley 1273,
2009) se incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito
sancionado con una pena mayor.
2. Obstaculización ilegítima de sistema informático o red de telecomunicación: el que impida u
obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí
contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre
que la conducta no constituya delito sancionado con una pena mayor. (Ley 1273, 2009).
3. Interceptación de datos informáticos: El que sin orden judicial previa intercepte datos informáticos en
su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes
de un sistema informático que los transporte. Incurrirá en pena de prisión de treinta (36) a setenta y dos (72)
meses. (Ley 1273, 2009).
4. Daño informático: El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima
datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes. (Ley 1273, 2009).
Comentado [U3]: Estas funciones deben especificarse en la
resolución de creación del Sistema de Gestión de Seguridad de la
Información, adicionalmente debe especificarse cómo está
conformado el comité de seguridad de la información, con los cargos
de quienes lo integran.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 15 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
5. Uso de software malicioso: para quien produzca, trafique, adquiera, distribuya, venda, envíe, introduzca
o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes.
6. Violación de datos personales: el que sin estar facultado para ello, con provecho propio o de un
tercero, obtenga compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue,
modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos
o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mínimos legales mensuales vigentes (Ley 1273, 2009).
7. Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar
facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas,
enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con pena más grave.
8. Hurtos por medios informáticos y semejantes: El que, superando medidas de seguridad informáticas,
realice hurto manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio
semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos.
Más información código penal colombiano artículos 239 y 240.
9. Transferencia no concedida de activos: el que con ánimo de lucro y valiéndose de alguna
manipulación informática o artificio semejante, consiga la transferencia no concedida de cualquier activo en
perjuicio de un tercero. También incluye la fabricación o modificación de programa de computador destinado
a la comisión de delitos de hurto o estafa.
10. Acceso no autorizado a la red de datos de los servidores o sus componentes: El que sin
autorización o por fuera de lo acordado, acceda en todo o en parte a la red de telecomunicaciones de la
Universidad de los Llanos.
11. Infracciones varias: Infracción de derechos de autor o infracción de copyright de bases de datos, mal
uso de los sistemas, red y componentes de la plataforma tecnológica de la Universidad como utilizarlos
para cyber bullying, agresión moral, usos comerciales no éticos.
12. Circunstancias de agravación Punitivos: Los delitos descritos anteriormente en los numerales del 1
al 7 se aumentaran las penas de la mitad a las tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero,
nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.
3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo
contractual con este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.
5. Obteniendo provecho para sí o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha
información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de
profesión relacionada con sistemas de información procesada con equipos computacionales.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 16 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7 LINEAMIENTOS DE OPERACIÓN DE SEGURIDAD INFORMÁTICA
A continuación la La Universidad de los Llanos define los aspectos específicos del sistema de gestión de
seguridad de la información:
7.1. Organización de la seguridad de la información
Se enfoca en administrar la seguridad de la información dentro de la Universidad de los Llanos y establecer
un marco general para avanzar en su implementación y gestión.
Con el fin de garantizar el cumplimiento misional de la institución, se establece la administración de la
seguridad de la información como parte fundamental dentro de los objetivos y actividades a realizar. Por
esta razón se define un ámbito de gestión para efectuar tareas tales como la aprobación de la política, la
coordinación de su implementación, la asignación de funciones y responsables, la necesidad de contar con
asesoramiento, capacitación, cooperación y colaboración en materias de seguridad de la información
7.1.1. Objetivos
Administrar la seguridad de la información dentro de la Universidad de los Llanos, estableciendo un
marco gerencial para gestionar la implementación, operación, mantenimiento y evaluación del SGSI.
Fomentar la capacitación, consulta y cooperación en materia de seguridad de la información.
Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la
información de la Universidad de los Llanos.
7.1.2. Responsabilidad
El Comité de Gestión de Seguridad de la información de la Universidad de los Llanos será el responsable de
impulsar la implementación de la presente política y se encarga de tomar las medidas necesarias para
planear, implementar y hacer seguimiento a todas las actividades necesarias para adoptar el Modelo de
seguridad de la Información al interior de la Universidad, así como planear las actividades necesarias para
una adecuada administración y sostenibilidad del Sistema de Gestión de Seguridad de la información
(SGSI)”.
Lo anterior teniendo en cuenta La Resolución por la cual se asignan funciones de seguridad al Comité de
Gobierno en Línea de la Universidad de los Llanos y se adopta la Política de Seguridad del Sistema de
Gestión de Seguridad de la Universidad.
7.1.3. Lineamientos
7.1.3.1. Infraestructura de la seguridad de la información
Para la organización de la seguridad de la información en la Universidad de los Llanos se tienen en cuenta
las siguientes componentes:
● Seguridad del personal
● Seguridad física y ambiental
● Seguridad de comunicaciones y operaciones
● Control de accesos
● Seguridad en el desarrollo y mantenimiento de sistemas
● Planificación de la continuidad de operaciones.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 17 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7.1.3.2. Autorización para instalaciones de procesamiento de información
Los nuevos recursos de procesamiento de información serán autorizados en conjunto por el líder del equipo
de gestión de seguridad de la información y los funcionarios a cargo del primer nivel de dirección general;
que los define la estructura orgánica de la Universidad de los Llanos Para ser más explícitos son los
responsables de los procesos misionales y de apoyo, conformado por el Señor Rector y los Vicerrectores.
Lo anterior con el fin de garantizar que se cumplan todas las políticas y requerimientos de seguridad
pertinentes.
Se pedirá visto bueno, de la Oficina de Sistemas, quien verificará el hardware y software para garantizar la
compatibilidad de los nuevos componentes con la plataforma tecnológica de la Universidad de los Llanos.
Se capacitará sobre el uso de recursos personales de procesamiento de información en el lugar de trabajo
ya que pueden poner en estado de vulnerabilidad la seguridad de la información, por lo cual su uso será
evaluado por el equipo de gestión de seguridad de la información o delegado a la Oficina de Sistemas y su
personal de apoyo.
7.1.3.3. Asesoramiento especializado en materia de seguridad de la información
El equipo de gestión de seguridad de la información será el encargado de coordinar los conocimientos y las
experiencias disponibles en la Universidad a fin de brindar ayuda en la toma de decisiones en materia de
seguridad. Se podrá tener asesoramiento de otras entidades o terceros, con el objeto de optimizar su
gestión.
7.1.3.4. Revisión del Sistema de Gestión de seguridad de la Información
La oficina de control interno o en su defecto quien sea propuesto por el equipo de gestión de seguridad de
la información realizará revisiones independientes sobre la vigilancia e implementación de la política de
seguridad de la información, a efectos de que sea implementada y gestionada adecuadamente.
7.1.3.5. Seguridad frente al Acceso por parte de terceros
Su objetivo es mantener la seguridad de la información y de las instalaciones de procesamiento de
información de la Universidad a que se tiene acceso, procesan, comunican, o son administrados por
Terceros.
7.1.3.6. Identificación de riesgos del acceso de terceros
Cuando exista necesidad de otorgar acceso a terceras partes de la información que gestiona la Universidad,
el Responsable de seguridad de la información y el propietario de la información de que se trate,
documentaran una evaluación de riesgos para identificar los requerimientos de controles específicos y el
índice de información clasificada y reservada del archivo institucional, teniendo en cuenta entre otros
aspectos:
● El tipo de acceso requerido (físico/lógico y a qué recurso)
● El valor de recuperación en caso de pérdida, el tiempo y el impacto frente a la prestación de
servicios.
● Los motivos por los cuales se solicita
● La normatividad legal vigente
● El valor de la información
● Los controles empleados por la tercera parte
● La incidencia de este acceso en la seguridad de la información
● La seguridad en el transporte de la información o equipos
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 18 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
En todos los contratos cuyo objeto sea la prestación de servicios a título personal bajo cualquier modalidad
jurídica que deban desarrollarse en la Universidad de los Llanos, se establecerán los controles,
requerimientos de seguridad y compromisos de confidencialidad aplicables al caso, restringiendo al mínimo
necesario los permisos a otorgar. En ningún caso se otorgará acceso a terceros a la información, a las
instalaciones de procesamiento y otras áreas de servicios críticos, hasta cuando se hayan implementado los
controles apropiados.
7.1.3.7. Requerimientos de seguridad en contratos con terceros
Se revisarán y analizarán los contratos existentes o nuevos con terceros, teniendo en cuenta la necesidad
de aplicar los siguientes controles:
● Cumplimiento de la política de seguridad de la información.
● Procedimiento para determinar si ha ocurrido daños o alteración de los activos.
● Controles para garantizar la recuperación o destrucción de activos, antes, durante y después de la
ejecución del contrato.
● Restricción y buen uso de la información.
● Nivel de servicio esperado y nivel de servicio aceptable.
● Descripción de los trámites y servicios disponibles.
● Permiso para la transferencia de personal cuando sea requerido.
● Exigencia de derechos de propiedad intelectual y demás que se consideren pertinentes para la
protección de la información y eficiencia de recursos del estado.
● Protección de los activos de información de la Universidad de los Llanos.
Actividades para proteger los activos, entendiéndose como activo lo especificado en la siguiente tabla:
TIPO DE ACTIVO DE INFORMACIÓN
1. Información
Corresponden a información almacenada y procesada física o electrónicamente tales como: bases de datos y archivos de datos, contratos y resoluciones, documentación del sistema, información sobre investigaciones, manuales de usuario, material de formación o capacitación, procedimientos operativos o de soporte, planes para la continuidad del negocio, resoluciones y/o acuerdos de recuperación, registros de auditoría e información archivada.
2. Software Software de aplicación, de Desarrollo, De Bases de Datos, De Sistema Operativo y de Redes.
3. Persona Aquellas personas que, por su conocimiento y experticia para el proceso, son consideradas activos de información. Cargos, funciones, perfiles que soporten el activo.
4. Servicio Servicios de computación y comunicaciones, tales como Internet, correo electrónico, páginas de consulta, directorios compartidos e Intranet, Página Web, soporte técnico, creación de subdominios web.
5. Hardware Son activos físicos: equipos de cómputo y de comunicaciones, medios removibles, entre otros que por su criticidad son considerados activos de información, no sólo activos fijos. PC, S, Redes y telecomunicaciones, dispositivos de almacenamiento.
6. Otros Activos de información que no corresponden a ninguno de los tipos descritos anteriormente. Ejemplo: Imagen Institucional.
● Acuerdos y Resoluciones de control de acceso que contemplen métodos de acceso permitidos, control y
uso de identificadores únicos como nombres de usuarios y contraseñas, mecanismos de autorización y
autenticación con accesos y privilegios a usuarios.
● Responsabilidades en instalación y mantenimiento de hardware y software.
● Elaboración y presentación de informes, notas internas, investigaciones de incidentes y violaciones que
comprometan la seguridad de la información.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 19 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
● Relación entre proveedores y subcontratistas, licencias y certificaciones de acuerdo a la normatividad
legal.
El equipo de gestión de seguridad de la información y en especial las directrices en contratación que se
imparten para la Universidad de los Llanos, se Insistirá en la inclusión de la seguridad de la información en
toda la contratación, incluyendo dentro de los controles de seguridad de la información cláusulas para la
protección de toda la plataforma tecnológica e información que se gestione en el cumplimiento de la misión
de la institución. Como ejemplo cláusulas de confidencialidad, derechos de autor y en general el manejo
adecuado a la información teniendo especial atención con la información clasificada o reservada, según la
normatividad legal vigente.
7.2. Gestión de activos
La Universidad de los Llanos mantiene un inventario de los activos de información Actualizados, como parte
importante de la administración de riesgos, teniendo en cuenta los niveles de clasificación como son
confidencialidad, integridad, disponibilidad, ubicación, identificando responsables en su gestión.
7.2.1. Activos de Información
En este documento se tienen en cuenta todos los lineamientos y/o metodología de clasificación de activos -
modelo de seguridad de la información para la estrategia de gobierno en línea emanados del Ministerio de
Tecnologías de la Información y las Comunicaciones, la cual denomina activo de información a todo activo
que contiene información que posee un valor y es necesario para los servicios de Gobierno en Línea y de la
Universidad. Se categorizan de la siguiente manera:
● Los contenidos que residen en el portal del Estado Colombiano y los portales de las entidades del
Estado.
● La información que fluye a través de los diferentes servicios.
● Los servicios de Gobierno en Línea (servicios de interacción con la comunidad, servicios de
transacciones en línea, servicios de transformación en línea, servicios de democracia en línea).
● Los sistemas de información que apoyan los servicios.
● La plataforma tecnológica que soporta los diferentes servicios y sistemas de información (hardware,
software, comunicaciones, bases de datos, etc.).
● La plataforma tecnológica de seguridad.
● Los procesos de operación, soporte y aseguramiento de los servicios.
● Los documentos impresos.
● Los intangibles como son las Ideas, conversaciones, conocimiento, calificaciones, competencias y
experiencia.
7.2.2. Normas
Lineamientos de seguridad de la información para la estrategia de gobierno en línea, Guía para la Gestión y
Clasificación de Activos de Información. ● El Comité de Gestión de Seguridad informática establecerá los procedimientos para incluir información
clasificada, se hará de conformidad con la ley 594 de 2000 – Ley general de archivos que establece en
el artículo 26: “es obligación de las entidades de la Administración Pública elaborar inventarios de los
documentos que se produzcan en ejercicio de sus funciones, de manera que se asegure el control de
los documentos en sus diferentes fases”.
7.2.3. Responsabilidad de los Activos de Información
Se identifican los activos de información de mayor importancia asociados a cada sistema de procesamiento
de la información en su respectivo proceso, con sus responsables y su ubicación, para luego elaborar el
inventario correspondiente.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 20 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
El inventario se deberá identificar, documentar y actualizar ante cualquier modificación de la información y
los activos asociados con los medios de procesamiento. Este debe ser revisado con una periodicidad no
mayor a 1 año o actualizado por el responsable del proceso o el activo cada vez que se generen cambios
que requieran gestionar el riesgo y seguridad de la información.
El Comité de Gestión de Seguridad Informática designará a un funcionario la responsabilidad de realizar y
mantener actualizado el inventario de activos de información, proceso apoyado por los usuarios de la
información quienes deben informar al funcionario designado los cambios e información necesaria para
mantener actualizado el inventario de activos y contribuir con el buen funcionamiento del SGSI.
El uso de los activos de información pertenecientes a la Universidad de los Llanos es responsabilidad del
propietario asignado; es su deber proteger y mantener la confidencialidad, integridad y disponibilidad de los
activos de información.
7.2.4. Clasificación de la Información
Para la Clasificación de la Información se debe tener en cuenta los criterios de Confidencialidad, Integridad
y Disponibilidad. Sólo el Funcionario responsable de la Información puede asignar o cambiar su nivel de
clasificación, cumpliendo con los siguientes requisitos mínimos: Comunicárselo al líder del Proceso, al
comité de seguridad de la información de la Universidad, actualizando el inventario de activos de
información y área de archivo, comunicárselo al líder del Proceso, al comité de seguridad de la información
de la Universidad, actualizando el inventario de activos de información y área de archivo.
Definición de los Criterios de clasificación de la Información:
USO PÚBLICO: Información que por sus características puede o debe estar a disposición de cualquier
persona natural o jurídica en el Estado Colombiano. Dentro de esta clasificación se puede considerar:
noticias, informes de prensa, información de rendición de cuentas, información sobre trámites, normatividad.
USO INTERNO: Información cuya divulgación no causa daños significativos a la Universidad y su acceso es
libre para los funcionarios a través de la intranet o de cualquier otro medio.
USO CONFIDENCIAL: Información cuya divulgación no autorizada puede afectar considerablemente el
cumplimiento de la misión de la Universidad de los Llanos. La divulgación de esta información, requiere de
la aprobación de su respectivo propietario. En el caso de terceros rige el acuerdo de confidencialidad que
exista entre la Universidad de los Llanos y el tercero.
USO SECRETO: Información que sólo puede ser conocida y utilizada por un grupo muy reducido de
Funcionarios, generalmente de la Alta Dirección de la Universidad de los Llanos, y cuya divulgación o uso
no autorizados podría ocasionar graves pérdidas al mismo, a Contratistas o a Terceros.
7.2.5. Etiquetado y Manejo de la Información
Se deben desarrollar procedimientos para el etiquetado y manejo de la información, de acuerdo al esquema
de clasificación definido por la universidad de los llanos. Los mismos contemplarán los activos de tecnología
de la información tanto en formatos físicos, digital, activos tecnológicos en general.
Los propietarios de la información son los encargados de clasificarla de acuerdo con su grado de
sensibilidad y criticidad, documentar y mantener actualizada la clasificación efectuada, y los accesos y
controles adecuados para su seguridad. Cada propietario de la información supervisará que el proceso de
clasificación y rótulo de información de su área de competencia esté acorde a los lineamientos de la
Universidad y esta política.
Comentado [U4]: Se tuvo en cuenta presupuesto para esta
actividad??
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 21 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
La oficina de Archivo y correspondencia definirá instructivos o procedimientos para el rotulado y manejo de
la información de manera articulada con los lineamientos archivísticos de la Universidad y las normas de
archivo vigentes, tanto para información física como electrónica.
7.2.6. Base de datos – Inventario de activos de información
Se debe contar con un inventario de Activos de Información que incluya información, hardware, software,
personas, servicios y otros de la plataforma tecnológica de la Universidad, el inventario debe ser actualizado
y gestionado eficientemente, dicho inventario es la base de datos que se utiliza como insumo fundamental
para la gestión del riesgo y establecimiento de controles con el fin de garantizar la disponibilidad, integridad
y confidencialidad de la información, necesarias para garantizar el cumplimiento misional de la
Universidad de los Llanos.
7.2.7. Clasificación de la información
Para realizar la clasificación de los activos de información la Universidad desarrolla y mantiene actualizado
según la normas vigentes un instructivo que sirve de guía para la respectiva clasificación, lo anterior
teniendo en cuenta la confidencialidad, integridad y disponibilidad de la información. Se documentará de
manera específica la política de activos de información, con formatos, base de datos, instructivos necesaria
para su adopción, lo anterior dado que se considera transversal para las demás políticas de operación del
SGSI.
7.2.8. Devolución de los activos
A través del proceso de Talento Humano en caso de desvinculación o traslado del personal se estableció el
diligenciamiento del formato FO-GTH-44 FORMATO ACTA ENTREGA DEL PUESTO DE TRABAJO, que a
su vez incluye RELACIÓN DE DOCUMENTOS Y ARCHIVOS INSTITUCIONALES QUE SE ENTREGAN.
7.2.9. Gestión de Medios Removibles
El uso de dispositivos de almacenamiento externo (dispositivos móviles, DVD, CD, memorias USB, agendas
electrónicas, celulares, Discos Duros Externos, etc.) puede ocasionalmente generar riesgos para la
institución al ser conectados a los computadores, ya que son susceptibles de transmisión de virus
informáticos o pueden ser utilizados para la extracción de información no autorizada. Para utilizar
dispositivos de almacenamiento externo se debe obtener autorización del líder del proceso en caso de ser
requerida y en los equipos en que se maneje información sensible.
7.2.10. Disposición de los activos
Cada líder de proceso administrará los Backups de los activos de información de los aplicativos financieros,
pagina web, sistema de Gestión documental y de los activos de información de los equipos de cómputo
cuando se realicen mantenimiento correctivo.
7.2.11. Dispositivos Móviles
El acceso a redes inalámbricas debe ser autorizado por el líder del proceso para los dispositivos móviles
tanto de funcionarios, contratista o terceros. La información que se maneje en estos dispositivos es
responsabilidad de quien tenga la asignación del mismo.
7.3. Control de acceso a la información
Está orientado a controlar el acceso lógico a la información, diseñar e implementar un conjunto de
restricciones y excepciones a la información como base del sistema de seguridad informática. En este
sentido debe implementar procedimientos formales y documentados para controlar la asignación de
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 22 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
privilegios de acceso a los sistemas de información, bases de datos y servicios que se prestan, bien
normalizados, socializados y controlados para garantizar el cumplimiento.
Es importante realizar la trazabilidad de los usuarios de los diferentes sistemas de la Universidad en todas
las etapas del ciclo de vida de los accesos a todos los niveles, desde la necesidad de crearlos, el registro
inicial hasta la privación final de privilegios de los usuarios que ya no requieren acceso. Adicionalmente es
necesario concientizar a todo el personal de la responsabilidad, buen uso de usuarios y contraseñas de
acceso.
Dentro de los objetivos se tienen:
● Impedir accesos no autorizados.
● Implementar buenas técnicas y prácticas para autenticación y autorización.
● Controlar la seguridad de las conexiones de red y comunicaciones.
● Garantizar la seguridad de la información cuando se utiliza equipos móviles e instalaciones remotas.
7.3.1. Control de acceso con usuario y contraseña
La Oficina de Sistemas ha establecido el procedimiento de creación de cuentas de Usuarios de los
Sistemas de Información, los lineamientos de obligatorio cumplimiento para funcionarios, contratistas o
terceros en el control de acceso con usuario y contraseña a los diferentes sistemas dentro la plataforma
tecnológica; sin embargo es relevante para la Universidad reiterar lo siguiente:
● Los usuarios y contraseñas son personales e intransferibles y no deben prestarse ni compartirse.
● Cada funcionario, contratista debe tener un usuario y una contraseña para el acceso pertinente o
rol establecido en la Universidad.
7.3.2. Gestión de Contraseñas
Se debe instruir y controlar que los usuarios sigan buenas prácticas de seguridad en la selección, uso y
protección de claves o contraseñas, las cuales constituyen un medio de validación de la identidad de un
usuario y consecuentemente un medio para establecer derechos de acceso a los equipos o servicios
informáticos
Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para la
utilización de los equipos o servicios informáticos de la Universidad.
El cambio de contraseña sólo podrá ser solicitado por el titular de la cuenta o su líder del proceso.
Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no estén
en uso.
La clave de acceso será desbloqueada sólo por la Oficina de Sistemas, luego de la solicitud formal por
parte del responsable de la cuenta o Líder del Proceso.
Las claves o contraseñas deben:
● Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en
diccionarios, ni tener información personal, por ejemplo: fechas de cumpleaños, nombre de los hijos,
placas de automóvil, etc.
● Tener mínimo ocho caracteres alfanuméricos.
● Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
● Cambiarse periódicamente o cuando lo establezca la Oficina de Sistemas..
● Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres anteriores.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 23 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
● Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario.
● No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos.
● No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.
● No ser reveladas a ninguna persona, incluyendo al personal de Sistemas.
● No registrarlas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar
de forma segura y el método de almacenamiento esté aprobado.
7.3.3. Perímetro de Seguridad
La Universidad evaluará la viabilidad para determinar cómo el líder de cada Proceso, identificará las áreas
delimitadas con acceso restringido en donde se encuentre información sensible, crítica, o donde se realice
almacenamiento y/o procesamiento de información a los cuales los funcionarios, contratistas o terceros
tienen acceso y a cuáles no.
El objetivo principal es prevenir el acceso no autorizado físico, daños e interferencia a los activos de
información de la Universidad, buscando al máximo la continuidad en cumplimento misional de la institución.
La seguridad física y ambiental pretende evitar accesos físicos no autorizados.
Cuando nos referimos a seguridad física y ambiental, hay que tener en cuenta la protección física de
accesos, la protección ambiental, el transporte, protección y mantenimiento de activos de información. Para
prevenir el acceso físico no autorizado es conveniente establecer perímetros de seguridad y áreas
protegidas que facilita la implementación de controles para proteger las instalaciones de procesamiento
críticas o sensibles de la Universidad.
Por otra parte el control del ambiente y garantizar unos factores adecuados permiten el funcionamiento
correcto de los equipos tecnológicos y activos de información según aplique, esto debe realizarse con el fin
de minimizar las interrupciones en el desarrollo de actividades en el cumplimiento misional, por
consiguiente es necesario gestionar los riesgos adecuadamente, de igual manera es necesario
implementar medidas para proteger la información manejada por el personal en las oficinas, en el marco
normal de sus labores habituales.
Responsabilidad: el equipo de gestión de seguridad de la información coordinará las acciones pertinentes
para propiciar la seguridad física y ambiental, pondrá a disposición los instrumentos necesarios, para definir
propietarios y custodios de los activos de información, se difundirá una metodología de gestión del riesgo
para ser aplicada, la oficina de sistemas de la Universidad estará dispuesta a apoyar en temas de seguridad
de la información al personal de la institución, dicha solicitud debe realizarse formalmente.
La responsabilidad de buen uso y mantenimiento de los activos tecnológicos es responsabilidad de los
propietarios y custodios de cada uno de los activos de información. Cada propietario y custodio, debe
gestionar las acciones necesarias para la protección de los activos asignados y gestionados en el
cumplimiento de su labor.
7.3.4. Perímetro de seguridad física
Con el ánimo de contribuir al correcto funcionamiento de los sistemas de información, se implementará la
protección física de áreas de procesamiento de información, que se consideren críticas según el inventario
de activos de información y el análisis de riesgos de la Universidad, se aplicarán barreras o medidas de
control físico adecuadas y ajustadas al presupuesto de la institución. Se considerarán como mínimo los
siguientes lineamientos:
7.3.4.1 Reglas de control de acceso
Las normas que regulan el control de acceso a la información son:
1. Indicar expresamente si las reglas son obligatorios u optativas.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 24 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
2. Establecer reglas para que los funcionarios puedan realizar únicamente lo que está expresamente
autorizado, lo demás es indebido.
3. Controlar los cambios en los permisos de acceso a la información, tanto por administrador o
usuarios.
4. Controlar las reglas que requieren la aprobación de los jefes de Oficina, antes de ejecutar
autorizaciones de acceso.
5. El comité de seguridad realiza inventario de administradores de sistemas de información en cada
una de las Oficinas, estableciendo de manera segura los lineamientos a seguir para garantizar su
control y monitoreo. Tratando de manera especial la gestión de contraseñas críticas.
6. La Oficina de sistemas o en su defecto en cada oficina quien administre los recursos informáticos
se encargará de autorizar los accesos a la red e infraestructura tecnológica. Estableciendo controles
y procedimientos para dicha labor.
7. La Oficina de sistemas diseñará y ejecutará procesos, procedimientos y gestiona herramientas
necesarias para controlar los puestos, acceso a internet, segmentación de redes, control de
conexión de redes, seguridad en los servicios de red, control a los sistemas operativos, control de
acceso a las aplicaciones, barreras de seguridad, aislamiento de sistemas sensibles, computación
móvil, trabajo remoto, monitoreo y uso de los sistemas en general.
7.4. Privacidad y confidencialidad
Dando cumplimiento a lo dispuesto en la Ley estatutaria 1581 de 2012 y a su Decreto Reglamentario 1377
de 2013, la Universidad de los Llanos adopta la presente política para el tratamiento de datos personales,
la cual será informada a todos los titulares de los datos recolectados o que en el futuro se obtengan en el
ejercicio de las actividades propias de la Universidad. De esta manera, la Universidad garantiza los
derechos de la privacidad, la intimidad, el buen nombre y la autonomía, en el tratamiento de los datos
personales, y en consecuencia todas sus actuaciones se regirán por los principios de legalidad, finalidad,
libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Todas las personas que en desarrollo de sus diferentes funciones propias, sean permanentes u
ocasionales, llegaran a suministrar a la Universidad de los Llanos cualquier tipo de información o dato
personal, podrá conocerla, actualizarla y rectificarla.
7.4.1. Ámbitos de aplicación
El presente manual será aplicable a los datos personales registrados en cualquier base de datos de la
Universidad cuyo titular sea una persona natural.
7.4.2. Principios del tratamiento de datos personales
Para efectos de garantizar la protección de datos personales, la Universidad aplicará de manera armónica e
integral los siguientes principios, a la luz de los cuales se deberá realizar el tratamiento, transferencia y
transmisión de datos personales:
Principio de legalidad en materia de Tratamiento de datos: El tratamiento de datos es una actividad
reglada, la cual deberá estar sujeta a las disposiciones legales vigentes y aplicables que rigen el tema.
Principio de finalidad: la actividad del tratamiento de datos personales que realice la Universidad o a
la cual tuviere acceso, obedecerán a una finalidad legítima en consonancia con la Constitución Política
de Colombia, la cual deberá ser informada al respectivo titular de los datos personales.
Principio de libertad: el tratamiento de los datos personales sólo puede realizarse con el
consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o
divulgados sin previa autorización, o en ausencia de mandato legal, estatutario, o judicial que releve el
consentimiento.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 25 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
Principio de veracidad o calidad: la información sujeta a Tratamiento de datos personales debe ser
veraz, completa, exacta, actualizada y comprobable. Se prohíbe el Tratamiento de datos parciales,
incompletos, fraccionados o que induzcan a error.
Principio de transparencia: En el tratamiento de datos personales, la Universidad garantizará al Titular
su derecho de obtener en cualquier momento y sin restricciones, información acerca de la existencia de
cualquier tipo de información o dato personal que sea de su interés o titularidad.
Principio de acceso y circulación restringida: El tratamiento de datos personales se sujeta a los
límites que se derivan de la naturaleza de éstos, de las disposiciones de la ley y la Constitución. En
consecuencia, el tratamiento sólo podrá hacerse por personas autorizadas por el titular y/o por las
personas previstas en la ley. Los datos personales, salvo la información pública, no podrán estar
disponibles en internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea
técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o terceros
autorizados conforme a la ley.
Principio de seguridad: la información sujeta a tratamiento por la Universidad, se deberá manejar con
las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los
registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado.
Principio de confidencialidad: Todas las personas que en la Universidad, administren, manejen,
actualicen o tengan acceso a informaciones de cualquier tipo que se encuentre en Bases de Datos,
están obligadas a garantizar la reserva de la información, por lo que se comprometen a conservar y
mantener de manera estrictamente confidencial y no revelar a terceros, toda la información que llegaren
a conocer en la ejecución y ejercicio de sus funciones; salvo cuando se trate de actividades autorizadas
expresamente por la ley de protección de datos. Esta obligación persiste y se mantendrá inclusive
después de finalizada su relación con alguna de las labores que comprende el Tratamiento.
7.4.3. Derechos del titular de la información
De acuerdo con lo contemplado por la normatividad vigente aplicable en materia de protección de datos, los
siguientes son los derechos de los titulares de los datos personales:
1. Acceder, conocer, actualizar y rectificar sus datos personales frente a la Universidad en su
condición de responsable del tratamiento. Este derecho se podrá ejercer una vez cada seis meses,
entre otros, frente a datos parciales, inexactos, incompletos, fraccionados, que induzcan a error, o
aquellos cuyo tratamiento esté expresamente prohibido o no haya sido autorizado.
2. Solicitar prueba de la autorización otorgada a la Universidad para el tratamiento de datos, mediante
cualquier medio válido, salvo en los casos en que no es necesaria la autorización.
3. Ser informado por la Universidad, previa solicitud, respecto del uso que le ha dado a sus datos
personales.
4. Presentar ante la autoridad competente, o la entidad que hiciere sus veces, quejas por infracciones
a lo dispuesto en la ley 1581 de 2012 y las demás normas que la modifiquen, adicionen o
complementen, previo trámite de consulta o requerimiento ante La Universidad.
Estos derechos podrán ser ejercidos por:
● El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a
disposición La Universidad.
● Los causahabientes del titular, quienes deberán acreditar tal calidad.
● El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
● Otro a favor o para el cual el titular hubiere estipulado.
7.4.4. Deberes de la Universidad de los Llanos como responsable y encargada del tratamiento de los datos
personales
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 26 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
La Universidad de los Llanos reconoce la titularidad que de los datos personales ostentan las personas y en
consecuencia ellas de manera exclusiva pueden decidir sobre los mismos. Por lo tanto, La Universidad
utilizará los datos personales para el cumplimiento de las finalidades autorizadas expresamente por el titular
o por las normas vigentes.
En el tratamiento y protección de datos personales, La Universidad de los Llanos tendrá los siguientes
deberes, sin perjuicio de otros previstos en las disposiciones que regulen o lleguen a regular esta materia:
1. Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.
2. Solicitar y conservar, copia de la respectiva autorización otorgada por el titular para el tratamiento
de datos personales.
3. Informar debidamente al titular sobre la finalidad de la recolección y los derechos que le asisten en
virtud de la autorización otorgada.
4. Conservar la información bajo las condiciones de seguridad necesarias para impedir su
adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
5. Garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y
comprensible.
6. Actualizar oportunamente la información, atendiendo de esta forma todas las novedades respecto
de los datos del titular. Adicionalmente, se deberán implementar todas las medidas necesarias para
que la información se mantenga actualizada.
7. Rectificar la información cuando sea incorrecta y comunicar lo pertinente.
8. Respetar las condiciones de seguridad y privacidad de la información del titular.
9. Tramitar las consultas y reclamos formulados en los términos señalados por la ley.
10. Identificar cuando determinada información se encuentra en discusión por parte del titular.
11. Informar a solicitud del titular sobre el uso dado a sus datos.
12. Informar a la autoridad de protección de datos cuando se presenten violaciones a los códigos de
seguridad y existan riesgos en la administración de la información de los titulares.
13. Usar únicamente datos cuyo tratamiento esté previamente autorizado de conformidad con lo
previsto en la ley 1581 de 2012.
14. Registrar en la base de datos las leyenda "reclamo en trámite" en la forma en que se regula en la
ley.
15. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella.
16. Usar los datos personales del titular sólo para aquellas finalidades para las que se encuentre
facultada debidamente y respetando en todo caso la normatividad vigente sobre protección de datos
personales.
7.4.5. Autorización y consentimiento del titular
La Universidad de los Llanos requiere del consentimiento libre, previo, expreso e informado del titular de los
datos personales para el tratamiento de los mismos, excepto en los casos expresamente autorizados en la
ley, a saber:
1. Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales
o por orden judicial.
2. Datos de naturaleza pública.
3. Casos de urgencia médica o sanitaria.
4. Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.
5. Datos relacionados con el Registro Civil de las Personas
Manifestación de la autorización: La autorización a la Universidad para el tratamiento de los datos
personales será otorgada por:
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 27 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
● El titular, quien deberá acreditar su identidad en forma suficiente por los distintos medios que le ponga a
disposición La Universidad.
● Los causahabientes del titular, quienes deberán acreditar tal calidad.
● El representante y/o apoderado del titular, previa acreditación de la representación o apoderamiento.
● Otro a favor o para el cual el titular hubiere estipulado.
Medios para otorgar la autorización: La Universidad de los Llanos obtendrá la autorización por parte de
los estudiantes mediante Sitios Web o en cualquier otro formato que en todo caso permita la obtención del
consentimiento mediante conductas inequívocas a través de las cuales se concluya que de no haberse
surtido la misma por parte del titular o la persona legitimada para ello, los datos no se hubieran almacenado
o capturado en la base de datos.
La autorización será solicitada por la UNIVERSIDAD de manera previa al tratamiento de los datos
personales.
Prueba de la autorización: La Universidad de los Llanos conservará la prueba de la autorización otorgada
por los titulares de los datos personales para su tratamiento, para lo cual utilizará los mecanismos
disponibles a su alcance en la actualidad al igual que adoptará las acciones necesarias para mantener el
registro de la forma y fecha y en la que obtuvo ésta. En consecuencia la Institución podrá establecer
archivos físicos o repositorios electrónicos realizados de manera directa o a través de terceros contratados
para tal fin.
Revocatoria de la autorización: Los titulares de los datos personales pueden en cualquier momento
revocar la autorización otorgada a La Universidad para el tratamiento de sus datos personales o solicitar la
supresión de los mismos, siempre y cuando no lo impida una disposición legal o contractual.
La universidad establecerá mecanismos sencillos y gratuitos que permitan al titular revocar su autorización
o solicitar la supresión sus datos personales, al menos por el mismo medio por el que lo otorgó.
Para lo anterior, deberá tenerse en cuenta que la revocatoria del consentimiento puede expresarse, por una
parte, de manera total en relación con las finalidades autorizadas, y por lo tanto La Universidad deberá
cesar cualquier actividad De tratamiento de los datos; y por la otra de manera parcial en relación con ciertos
tipos de tratamiento, en cuyo caso serán estos sobre los que cesarán las actividades de tratamiento, como
para fines publicitarios, entre otros. En este último caso, La Institución podrá continuar tratando los datos
personales para aquellos fines en relación con los cuales el titular no hubiera revocado su consentimiento.
7.4.6. Seguridad de la información y medidas de seguridad
Dando cumplimiento al principio de seguridad establecido en la normatividad vigente, la Universidad
adoptará las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a
los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado.
7.4.7. Confidencialidad
Esta política contiene un compromiso o acuerdo de confidencialidad, por medio del cual todo funcionario y/o
contratista vinculado a la Universidad, deberá firmar un compromiso de no divulgar la información interna y
externa que conozca de la Universidad, así como la relacionada con las funciones que desempeña. La firma
del acuerdo implica que la información conocida por todo funcionario y contratista, bajo ninguna
circunstancia deberá ser revelada por ningún medio electrónico, verbal, escrito u otro, ni total ni
parcialmente, sin contar con previa autorización.
Esta política de confidencialidad se adoptará de acuerdo a las cláusulas establecidas en las minutas de los
contratos o de la forma como la Universidad lo designe.
Comentado [U5]: Describir los mecanismos que se van a
implementar o se implementaron. “esto es lo que se describe en todo
el documento,, francisco.”
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 28 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7.5. Seguridad de los recursos humanos
Las políticas de operación en seguridad del recurso humano está orientada a reducir los riesgos de error
humano, voluntario o involuntario, infracción de las normas e ilícitos y uso inadecuado de los activos de
información de la Universidad. Ejercer compromisos de confidencialidad con todo el personal y usuarios de
los activos de información.
Se considera fundamental capacitar y socializar a todo el personal que interviene en la gestión y actividades
que desarrolla la Universidad, desde su ingreso, permanencia acerca de las medidas de seguridad que se
deben tener en cuenta para el desarrollo de sus funciones o actividades, de igual manera se debe definir las
sanciones que se aplicarán en caso de incumplimiento por parte de la institución, sin que esto le exima de la
responsabilidad legal ante las autoridades respectivas.
Para disminuir la probabilidad de ocurrencia de incidentes en materia de seguridad de la información es
necesario que la institución implemente un mecanismo que permita reportar las debilidades y los incidentes
tan pronto como sea posible, a fin de subsanarlos y evitar posibles réplicas. Adicional implementar una
metodología de gestión del riesgo para ejecutar las acciones a lugar con el fin de prevenirlo y evitarlo en el
futuro.
7.5.1 Responsabilidad
El equipo de gestión de seguridad de la información tiene a cargo establecer las directrices, garantizar el
seguimiento, documentación, análisis de los incidentes de seguridad, esta actividad debe ser motivada en
primera instancia por los propietarios y custodios de la información. En la etapa precontractual se estudiará
los controles y clausulas a incluir en los contratos, adiciones a las funciones ya establecidas que refuercen
la seguridad de los activos de la institución.
7.5.2 Lineamientos
7.5.2.1 Seguridad en la definición de perfiles del personal
Incorporación de la seguridad en las actividades laborales: Las funciones y responsabilidades en
seguridad de la información serán incorporadas en la definición de perfiles del cargo, se realizarán las
adiciones pertinentes a los compromisos ya pactados. Deben contener como mínimo las responsabilidades
generales relacionadas con la implementación y gestión del Sistema de Seguridad de la Información y las
responsabilidades específicas vinculadas a la protección de cada uno de los activos.
Compromiso de confidencialidad: Como parte de sus términos y condiciones del empleo o contrato, se
firmará un compromiso de confidencialidad o no divulgación de información de acuerdo a las políticas y
clasificación de activos de información y normas legales. Dentro del compromiso de confidencialidad el
contratista o funcionario declarará conocer y aceptar la existencia de determinadas actividades que pueden
ser objeto de cumplimiento, control y seguimiento.
Con el ánimo de articular SGSI con los ya existentes en la Universidad de los Llanos, se actualizarán los
formatos implementados en el área precontractual y contractual para garantizar la inclusión del compromiso
de confidencialidad.
7.5.2.2 Capacitación del usuario
Capacitación en materia de seguridad de la información: todos los funcionarios y contratistas, que
desempeñen funciones relacionadas con la institución recibirán capacitación, socialización en el Sistema de
Gestión de Seguridad de la Información de la Universidad. El equipo de gestión de seguridad de la
información de la Universidad realiza las acciones pertinentes para garantizar la capacitación oportuna. Se
habilitarán los medios técnicos que garanticen la comunicación para eventuales modificaciones o
novedades en materia de seguridad.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 29 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7.5.2.3 Respuesta a incidentes, eventos o violación de la seguridad
Comunicación de incidentes: Los propietarios o usuarios de servicios de información, al momento de
tener conocimiento acerca de una debilidad de seguridad, deben informar al Jefe del Proceso quien a su
vez debe informar al comité de seguridad de inmediato, se debe de establecer un instrumento de
comunicación y respuesta a incidentes, que indique la acción que ha de tomarse, el responsable de
seguridad designado, se encargará de gestionar los recursos necesarios para iniciar la indagación y/o
resolución del incidente y garantía de no repetición.
Comunicación de debilidades: los usuarios de servicios y/o activos de información al momento de tener
conocimiento de una debilidad de seguridad son responsables de registrar e informar al responsable de
seguridad informática.
Comunicación de fallas de seguridad en software: se establecerán procedimientos y protocolos para
informar de posibles inconvenientes en el software con que cuenta la Universidad; como mínimo debe
contener lo siguiente: registrar los síntomas y evidencias, establecer la forma de actuar frente a la presencia
de anomalías, comunicar inmediatamente al responsable de seguridad.
Acciones de mejoramiento frente a incidentes: se definirán los instrumentos necesarios que permita
documentar, cuantificar y monitorear los tipos y frecuencia que se den frente a incidentes de seguridad, lo
anterior con el ánimo de tomar acciones de mejoramiento e implementación o ajuste de controles
adecuados.
Procesos disciplinarios: Se notificará al ente responsable para la apertura de proceso disciplinario formal
contemplado en la normatividad legal colombiana que rigen al personal de la administración pública o
terceros que violen la política de seguridad de la Universidad o en general el Sistema de Gestión de
seguridad de la Información de la Universidad de los Llanos y demás normas legales vigentes relativas a
seguridad.
7.6. Lineamiento de escritorio y pantalla limpia.
7.6.1. Objetivo
Definir las pautas generales para minimizar el riesgo de acceso no autorizado, pérdida, alteración y daño
de la información durante y fuera del horario de trabajo normal de los usuarios.
7.6.2. Objetivos específicos
● Garantizar la confidencialidad, la privacidad y el uso adecuado y moderado de la información.
● Crear conciencia sobre los riesgos asociados al manejo de información física y digital y la manera de
reducirlos aplicando los lineamientos aquí determinados.
● Establecer las recomendaciones necesarias para mantener las pantallas y escritorios organizados y
controlando el reposo de información clasificada a la vista.
● Brindar las pautas para mantener organizado y resguardado los documentos digitales y correos
electrónicos en los computadores puestos a disposición de todos los usuarios de los sistemas de
información y estructura tecnológica de la Universidad.
7.6.3. Aplicabilidad
La política de escritorios y pantallas despejadas es extensiva para todos los funcionarios, contratistas y
pasantes de la Universidad. Este lineamiento se define en el uso adecuado y ordenado de las áreas de
trabajo desde el punto de vista físico como tecnológico entendiéndose para tal fin como escritorio el espacio
físico o puesto de trabajo asignado a cada funcionario, contratista o pasante y pantalla, el área de trabajo
virtual sobre el sistema operativo de su computador, que contiene tanto sus carpetas electrónicas como los
archivos y accesos a los diferentes aplicativos Institucionales.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 30 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7.6.4. Directrices
Para su definición y aplicación se define de la siguiente manera:
7.6.4.1 Escritorios
● Se deben dejar organizados los puestos y áreas de trabajo, entendiéndose por esto el resguardo de
documentos con información clasificada o reservada evitando que queden al alcance de la mano de
personal ajeno a la misma.
● En la medida de lo posible los documentos con información clasificada debe quedar bajo llave o
custodia en horas no laborables.
● Se debe evitar el retiro de documentos clasificados de la institución y en el caso de ser necesario se
debe propender por su protección fuera de la Universidad y su pronta devolución al mismo.
● Se deben controlar la recepción, flujo, envío de documentos físicos por medio de registro de sus
destinatarios desde el punto de correspondencia.
● Se debe restringir el fotocopiado de documentos fuera del horario normal de trabajo y fuera de las
instalaciones de la Universidad. De ser necesario se debe autorizar el retiro de dichos documentos y
garantizar su confidencialidad fuera por parte del líder del proceso.
● Al imprimir o fotocopiar documentos con información clasificada, esta debe ser retirada inmediatamente
de las impresoras o fotocopiadoras utilizadas para tal fin. Y no debe ser dejada desatendida sobre los
escritorios.
● No se debe reutilizar papel que contenga información clasificada.
7.6.4.2 Pantallas
● Los computadores o estaciones de trabajo deben ser bloqueados por los usuarios al retirarse de ellos
así sea por periodos de tiempos cortos y los mismos deben ser desbloqueados por medio del usuario y
contraseña asignado.
● El escritorio del computador deben tener el mínimo de iconos visibles, limitándose estos a los accesos
necesarios para la ejecución de la ofimática, accesos a sistemas de información y a carpetas y unidades
de red necesarios para la ejecución de las actividades.
● Los documentos digitales deben ser organizados en carpetas y evitar dejarlos a la vista en el escritorio
del Computador.
● Los funcionarios, contratistas y pasantes al retirarse de la Universidad deben apagar los computadores
asignados. Queda fuera de esta indicación los servidores y estaciones de trabajo utilizados para acceso
remoto. Las sesiones activas se deben terminar cuando el usuario finalice las actividades programadas.
● El fondo de pantalla de cada computador es único para todas las estaciones de trabajo y para todos los
usuarios y puede ser cambiado únicamente por la Oficina de Sistemas.
7.6.4.3 Monitoreo
La Oficina de Sistemas, en coordinación con los usuarios, realizará monitoreo para verificar el estado de los
computadores, monitores y uso de la red y generar el respectivo informe de lo encontrado.
7.7. Comunicaciones y manejos operativos
La gestión de las comunicaciones y las operaciones tienen el objetivo de garantizar el correcto
funcionamiento y seguridad de las instalaciones de procesamiento de la información y medios de
comunicación con que cuenta la Universidad.
Es necesario establecer criterios de seguridad en las comunicaciones que se establezcan dentro de la
Institución, por lo tanto es necesario establecer criterios de seguridad en todas las comunicaciones, tanto
actuales como futuras que permitan intercambio de información, deben estar reguladas para garantizar la
confidencialidad, integridad y disponibilidad de la información.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 31 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
Responsabilidad: el Comité de gestión de seguridad informática al interior de la Universidad o quien haga
sus veces tendrá a su cargo, entre otros:
● Establecer criterios de aprobación para nuevos sistemas de información, actualizaciones,
contemplando las realizaciones de pruebas necesarias antes de su puesta en producción definitiva.
Verificar que dichos documentos de aprobación de software incluyan aspectos específicos de
seguridad para las aplicaciones de gobierno en línea.
● Definir y documentar el manejo de incidentes de seguridad y uso de medios de almacenamiento.
● Definir lineamientos para el uso del correo electrónico.
● Definir y documentar controles para la detección y prevención del acceso no autorizado, la
protección contra software malicioso.
● Desarrollar mecanismos para concientización de usuarios y cultura en seguridad de la información,
que incluyan control de acceso al sistema y control de cambios.
● Desarrollar controles e implementarlos con el objetivo de mantener actualizados los procesos y
documentos relacionados con las comunicaciones y operaciones.
7.7.1. Control de cambios operacionales
Se deben aplicar los procedimientos para el control de los cambios de documentos en el ambiente
operativo, de las comunicaciones de la Universidad. Todo posible cambio debe ser evaluado por personal
idóneo en aspectos técnicos, impactos operativos y de seguridad.
7.7.2. Gestión y manejo de incidentes
Se establecerán los documentos necesarios conforme a los lineamientos establecidos en el Sistema
Integrado de Gestión y Modelo estándar de control interno, tomando como guía la norma ISO 27000 para
realizar la gestión y manejo de incidentes. De igual forma se establecerán funciones, roles,
responsabilidades, autoridades y documentación de incidentes garantizando una respuesta rápida y eficaz a
los incidentes relativos a seguridad. Como mínimo debe permitirse registrar pistas de auditoría para análisis
de problemas internos, que sirven de evidencias en infracción normativa o en proceso judicial.
7.7.3. Separación entre instalaciones de desarrollo e instalaciones operativas
Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible estarán separados,
preferiblemente de forma física, y se definirá y documentará las reglas para la transferencia de software
desde la necesidad, el estado de desarrollo al estado operativo. Para esto se tendrán en cuenta como
mínimo los siguientes controles:
● Separar las actividades de desarrollo y prueba.
● Impedir el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente operativo,
limitándose a la necesidad del trabajo neto de cada persona.
● Utilizar sistemas de autenticación, y autorización independientes para los diferentes ambientes,
utilizando perfiles de acceso a los sistemas, acceso de acuerdo a las responsabilidades contractuales
de cada persona o tercero.
● Definir propietarios de información.
● En los casos donde no se pueda mantener separados los distintos ambientes en forma física, se
implementarán controles para fortalecer la separación de funciones.
7.7.4. Gestión de instalaciones externas
En el caso de tercerizar la administración de las instalaciones de procesamiento, se acordaran controles con
el proveedor del servicio y se incluirán en el contrato. Identificando aplicaciones sensibles que convenga
retener en la Universidad, consultar con los usuarios de las aplicaciones específicas, garantizar la
Comentado [U6]: En ese caso, deben incluirse en las funciones
de dicho comité, las cuales deben estar descritas en la resolución de
creación del SGSI
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 32 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
continuidad de las operaciones, definir las funciones, procedimientos de comunicación y manejo de
incidentes.
7.7.5. Planificación y aprobación de sistemas
La Oficina de sistemas efectuará cada vez que sea requerido por las demás oficinas de la Universidad, o
podrá tomar iniciativa propia para efectuar el monitoreo de las necesidades de capacidad de los sistemas de
operación y proyectar las futuras demandas, a fin de garantizar un procesamiento y almacenamiento
adecuado, teniendo en cuenta las tendencias actuales y futuras, la plataforma tecnológica existente, las
limitaciones de presupuesto y la vida útil de los activos de información.
Adicionalmente la Oficina de sistemas y el comité de seguridad de la información seguirán criterios de
aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones.
7.7.6. Protección contra software malicioso
El comité de seguridad de la información definirá controles de detección y prevención para la protección
contra software malicioso. Los controles mínimos deben ser:
● Prohibir la instalación y/o el uso de software no autorizado
● Crear documentos para evitar riesgos relacionados con la obtención de archivos y software.
● Instalar, actualizar y ejecutar periódicamente software de detección y reparación de virus informáticos.
● Mantener los sistemas con actualizaciones de seguridad disponibles, verificar las actualizaciones.
● Diseñar y socializar una cultura de verificar antes de su uso, la presencia de virus en archivos de
medios electrónicos de origen incierto, o archivos recibidos por red o internet.
● Cultura de prevención de virus y mecanismos a realizar ante su materialización.
7.8. Mantenimiento
7.8.1. Backups y resguardo de información
Cada una de las dependencias de la Universidad definirá los requerimientos para resguardar la información
que maneja de acuerdo a la criticidad y presupuesto disponible, pueden apoyarse en la Oficina de sistemas.
Se crearán documentos para el respaldo y resguardo de información, control de copias de seguridad,
pruebas periódicas de restauración,
7.8.2. Registro de actividades del personal operativo y fallas
Se llevará el registro de las actividades realizadas en los sistemas, como mínimo errores del sistema y
medidas correctivas aplicadas, intentos de acceso a sistemas, ejecución de operaciones críticas y cambios
a información crítica. Se verificará el cumplimiento de los documentos o procesos para comunicar las fallas
de procesamiento de información o los sistemas de comunicación de tal manera que sirvan para tomar
medidas correctivas, realizar revisión y seguimiento de estas.
7.9. Administración de la red
El comité de seguridad informática definirá controles para garantizar la seguridad de los datos y los servicios
contra el acceso no autorizado adoptando las siguientes acciones:
● Documentar la administración de servidores
● Establecer controles especiales para garantizar la confidencialidad, integridad y disponibilidad de la
información.
● Implementar controles para mantener la disponibilidad de servicios de red y equipos conectados.
● Realizar actividades de supervisión y auditoría para garantizar que los controles se aplican en la toda la
infraestructura tecnológica.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 33 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
7.9.1. Administración y seguridad de medios de almacenamiento
7.9.1.1 Administración de medios removibles
El comité de seguridad de la información gestionará para documentar e implementar los controles para la
administración de medios informáticos removibles como USB, discos externos, etc. Se debe documentar las
siguientes actividades: ● Almacenar en un ambiente seguro todos los medios removibles y acciones de protección de los
mismos.
7.9.1.2 Eliminación adecuada de medios de información
La oficina de Control del Archivo y Correspondencia definirá la metodología para la eliminación segura de
los medios de almacenamiento de información. Como mínimo se debe tener en cuenta los siguientes
elementos (documentos en papel, planos, discos magnéticos, memorias USB, Discos externos y fijos,
medios de almacenamientos en general y datos de prueba.)
7.9.1.3 Intercambio de información y software
Acuerdos de intercambio de información y software Cuando se realicen acuerdos de intercambio de información y software, se especificará el grado de
sensibilidad de la información y las consideraciones de seguridad de la misma, se deben tener en cuenta los
siguientes aspectos: ● Responsabilidad en la gestión, control y notificaciones de transmisiones (envíos y recepciones).
● Controles especiales que se requieran para garantizar la seguridad.
● Documentos de notificación de emisión, transmisión.
● Parámetros normativos para el empaquetado de la información y requerimientos específicos.
● Responsabilidad y obligaciones en caso de pérdida o mal uso de la información.
● Términos y condiciones de la licencia bajo la cual se suministra el software.
● Información sobre la propiedad de la información y concesiones de buen uso.
8.9.1.4 Seguridad del gobierno electrónico
El comité de seguridad de la información, los líderes de cada una de las oficinas para lo cual pueden
solicitar apoyo de la Oficina de Sistemas se verificarán como los siguientes aspectos:
● Autenticación: Nivel de confianza recíproca sobre la identidad del usuario y la institución.
● Autorización: niveles de autorización adecuada para establecer disposiciones y emitir datos o
documentos claves.
● Procesos de oferta y contratación pública: requerimientos de confidencialidad, integridad y
disponibilidad, prueba de envío y no repudio.
● Trámites en línea: confidencialidad, integridad y disponibilidad de datos suministrados con respecto a
trámites en línea, confirmación de recepción.
● Verificación: grado de verificación adecuado de la información.
● Cierre de la transacción: iteración más adecuada para evitar fraudes.
● Protección a la duplicación: asegurar que una transacción sólo se realice una vez, a menos que se
requiera lo contrario.
● No repudio: manera de evitar que una entidad que haya enviado o recibido información alegue que no la
envió o recibió.
7.9.1.5 Seguridad del correo electrónico
Se creará el documento de la política de seguridad del correo electrónico y se implementarán controles para
reducir los riesgos de incidentes de seguridad en el correo electrónico, contemplando lo siguiente:
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 34 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
● Los correos institucionales para las oficinas se crearán con el nombre de la oficina solicitante.
● Los correos institucionales para funcionarios de carrera administrativa, Contratistas y Docentes crearán
con la primera letra del primer nombre seguido del primer apellido.
● Los correos institucionales de los Estudiantes se crearán primer nombre punto y primer apellido; al
encontrarse ya en uso se creará primer nombre punto primer apellido punto segundo apellido.
● La vulnerabilidad de los mensajes en cuanto a acceso o modificación no autorizada.
● Intercepción de los mensajes en el medio de transmisión.
● Vulnerabilidades a errores, ejemplo dirección incorrecta.
● Posible recepción de código malicioso
● Las consideraciones legales como la necesidad de contar con prueba de envió, origen, entrega y
aceptación.
7.10. Desarrollo y mantenimiento de sistemas de información
Orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde la
etapa de diseño, desarrollo, implementación, mantenimiento y evaluación; se consideran estas etapas
como puntos críticos para la seguridad de la información, por lo tanto durante el análisis y diseño de los
procesos a desarrollar se deben identificar, documentar y aprobar los requerimientos de seguridad que se
deben incorporar durante las etapas de desarrollo e implementación, diseñando controles de validación de
datos de entrada, procesamiento interno y salida de datos. Los objetivos principales en cuanto a desarrollo y
mantenimiento de sistemas de información son: ● Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de sistemas.
● Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los
aplicativos y la infraestructura necesaria.
● Definir claramente los métodos de protección de información crítica o sensible de la Universidad.
● Dentro de los procesos contractuales con terceros se incorporarán aspectos relacionados con el
licenciamiento, calidad del software, seguridad de la información en los contratos,
Para incorporar la seguridad a los sistemas de información propios o desarrollados por terceros y mejoras
necesarias se especificarán los siguientes parámetros: ● Análisis y requerimientos de seguridad
● Seguridad en los sistemas de aplicación
● Validación de datos de entrada
● Controles de procesamiento interno
● Autenticación de mensajes
● Validación de datos de salida
● Controles criptográficos, cifrado y firma digital de ser necesario
● Servicios de no repudio
● Seguridad de los archivos del sistema
● Protección de los datos en ambientes de prueba
● Control de cambios en datos operativos
● Control de acceso a los programas fuentes
● Seguridad y gestión en todos los procesos de desarrollo y soporte
Requerimientos para desarrollo externo de Software:
En el caso de tercerización en el desarrollo de software se establecerán los siguientes aspectos:
1. Acuerdos de licencias, propiedad de código fuente y derechos conferidos de propiedad intelectual.
2. Requerimientos contractuales con respecto a la calidad del código y la existencia de garantías.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 35 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
3. Documentos de certificación de calidad y precisión del trabajo llevado a cabo por el proveedor, que
incluya auditorías, revisión de código malicioso, verificación del cumplimiento de los requisitos de
seguridad del software establecido.
4. Acuerdos de custodia de los códigos fuentes de software.
5. Distinción entre funciones de ambientes de prueba, desarrollo y producción.
7.11. Disponibilidad del servicio de información
Está orientado a contrarrestar las interrupciones y proteger los procesos críticos de la materialización de
riesgos, este objetivo de control involucra a toda la Universidad, se debe establecer y mantener actualizado
el plan de contingencia como herramienta básica para garantizar las actividades dentro de los plazos
requeridos en la ejecución del cumplimiento misional de la Institución. El plan debe adoptarse como parte
integral de todos los procesos administrativos y de gestión, debiendo incluir controles orientados a
identificar y reducir riesgos, atenuar el impacto de eventuales interrupciones y reanudar en el menor
tiempo posible las actividades comprometidas.
7.11.1. Objetivo del plan de contingencia
El objetivo general del Plan de contingencia es proporcionar a la Alta dirección de la Universidad de los
Llanos un Plan de Contingencia Informático, que contenga los procedimientos e instructivos necesarios para
poder continuar con las operaciones, procesos y servicios informáticos críticos, en caso de que se llegara a
presentar algún siniestro. Así como minimizar el impacto que dichos daños pudieran causar. los objetivos
específicos a considerar son:
● Reanudar con la mayor brevedad posible las funciones más críticas de la Universidad, en aras a
minimizar el impacto sobre los estudiantes y la ciudadanía en general. Garantizando la correcta
recuperación de los sistemas y procesos.
● Identificar y evaluar los riesgos así como los costos de los procedimientos de contingencia requeridos
cuando se presenta una interrupción de las operaciones, de forma que sólo se inviertan los recursos
necesarios.
● Optimizar los esfuerzos y recursos necesarios para atender cualquier contingencia de manera oportuna
y eficiente, definiendo las personas responsables de las actividades a desarrollar antes y durante la
emergencia.
7.11.2. Plan de acción para garantizar la continuidad del negocio
● Realizar un levantamiento de los activos informáticos con los que cuenta la Universidad de los Llanos.
Teniendo en cuenta la política de Activos de información del Sistema de Gestión de Seguridad de la
Información.
● Determinar cuál es la información crítica que se tiene que resguardar, determinando los servicios de
cómputo, telecomunicaciones, Internet, etc., que son requeridos para que los usuarios estén en
posibilidad de llevar a cabo sus actividades normales.
● Identificar amenazas posibles.
● Identificar los tipos de siniestros a los cuales está propenso cada uno de los procesos críticos, tales
como falla eléctrica prolongada, incendio, terremoto, etc.
● Identificar el conjunto de amenazas que pudieran afectar a los procesos informáticos, ya sea por causa
accidental o intencional.
● Revisar la seguridad, controles físicos y ambientales existentes, evaluando si son adecuados respecto a
las amenazas posibles.
● Se debe estar preparado para cualquier percance, verificando que dentro de la Oficina de Sistemas de
Información se cuente con los elementos necesarios para salvaguardar sus activos.
● Identificar los servicios fundamentales de la Oficina de Sistemas de la Universidad de los Llanos.
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 36 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
● Definir roles y responsabilidades al interior de la Universidad, identificar entidades de apoyo dado el
caso de ocurrir incidentes.
7.12. Cumplimiento
Su objetivo es impedir infracciones y violaciones de las leyes del derecho civil y penal de las obl igaciones
establecidas por leyes, estatutos, normas, reglamentos, contratos y requisitos de seguridad de la
Universidad. Todo con el fin de asegurar la implementación de las medidas de seguridad comprendidas en
estos lineamientos de operación en seguridad informática, la Universidad de los Llanos identificará los
recursos técnicos, administrativos y financieros por disposiciones legales y contractuales necesarios para su
implementación. Dichos recursos y actividades necesarias para su implementación se realizarán de manera
gradual de acuerdo a las limitaciones de recursos con que cuenta la Institución.
7.12.1. Generalidades
El diseño, operación, uso y administración de las medidas de seguridad comprendidas para el
funcionamiento e implementación del Manual de seguridad de la información harán parte del sistema de
gestión de seguridad informática de la Universidad de los Llanos. Cabe aclarar que todos los
procedimientos, guías, manuales, instructivos, y demás herramientas que se aprueben de aquí en adelante
y que sean necesarias para la implementación de los controles de seguridad y actividades sugeridas que se
hacen en este manual; harán parte de este, en la medida que se vayan aprobando y actualizando dentro del
Sistema de Gestión de Calidad de la institución.
7.12.2. Objetivos de cumplimento de las políticas dentro del Sistema de Gestión de Seguridad Informática.
● Cumplir con las disposiciones normativas y contractuales a fin de evitar sanciones a la Universidad y/o
funcionarios o terceros relacionados.
● Garantizar que los sistemas de información cumplan con la política de seguridad de la información y
todos los lineamientos del Sistema de Gestión de Seguridad Informática (SGSI).
● Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la
adecuada aplicación de la política de seguridad adoptada por la Institución.
● Garantizar la existencia de controles que protejan todos los activos de información y tecnológicos con
que cuenta la institución.
● Implementar el Sistema de Gestión de Seguridad de la Información de manera gradual de acuerdo a la
disponibilidad de recursos.
7.12.3. Política de cumplimiento de requisitos legales
Identificación de legislación aplicable: Se definirá y documentará todos los requisitos normativos y
contractuales pertinentes para cada sistema de información. Del mismo modo se definirán y documentaran
los controles específicos, las responsabilidades y funciones individuales para cumplir con los requisitos de
las políticas de operación de seguridad de la información como de todo el SGSI.
Derechos de propiedad Intelectual: Se implementarán procedimientos adecuados para garantizar el
cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual,
los funcionarios únicamente podrán utilizar material autorizado por la dirección de sistemas de información
o directores de las dependencias, La Universidad de los Llanos solo contempla el uso y autorización de
materia producido por esta, o material autorizado o suministrado al mismo por su titular, conforme a los
términos y condiciones acordadas y lo dispuesto por las normas vigentes.
Prevención del uso inadecuado de los activos tecnológicos: Los recursos asignados deben ser
utilizados con el propósito adecuado según el tipo de vinculación con la Universidad de los Llanos, toda
utilización de estos con propósito no autorizado o ajeno al destino por el cual fueron provistos debe ser
UNIVERSIDAD DE LOS LLANOS CÓDIGO: MN-GRT-XX
VERSIÓN: 01 PÁGINA: 37 de 37
PROCESO GESTION DE TIC FECHA: DD/MM/AAAA
MANUAL DEL SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
VIGENCIA: AAAA
Al imprimir este documento se convierte en copia no controlada del SIG y su uso es responsabilidad directa del usuario
considerado como uso inadecuado. Todos los funcionarios y contratistas deben conocer el alcance preciso
del uso adecuado de los recursos informáticos y deben acatarlo.
7.12.4. Recolección de evidencia
Es necesario contar con evidencia para respaldar una acción contra una persona u organización, siempre
que responda a una medida disciplinaria interna. Revisiones del manual de seguridad de la información y políticas de operación del SGSI
● Cada líder de proceso o jefe de oficina, velará por la correcta implementación y cumplimiento de las
normas y procedimientos de seguridad establecidos que apliquen dentro de su área de responsabilidad.
● El comité de seguridad de la información realizará revisiones periódicas en todas las dependencias de la
Universidad a efectos de garantizar el cumplimiento de las políticas de seguridad, teniendo especial
cuidado con los sistemas de información, proveedores de sistemas, propietarios de información,
clasificación de activos y usuarios.
● En la medida de lo posible, se deben disponer de recursos y personal competente para realizar pruebas
de vulnerabilidades en los sistemas de información y activos tecnológicos, con el fin de verificar y
retroalimentar los controles establecidos y tomar decisiones para prevenir accesos no autorizados.
7.12.5. Sanciones previstas por incumplimientos en Seguridad
Se sancionará administrativamente a todo aquel que viole lo dispuesto en las políticas de seguridad de la
información conforme a lo dispuesto en las normas vigentes y en caso de ser necesario se remitirá a
organismos competentes. Las sanciones solo pueden imponerse mediante acto administrativo que así lo
disponga cumpliendo las formalidades impuestas por la constitución política de Colombia, leyes de
procedimiento administrativo y demás normas específicas aplicables.
Además de las sanciones administrativas o disciplinarias, el servidor público o tercero que no da debido
cumplimiento a sus obligaciones puede también incurrir en responsabilidad civil, penal o patrimonial cuando
ocasiona un daño que debe ser indemnizado según las normas vigentes.
8 Registro de Modificaciones
Fecha Cambio Nueva versión
DD/MM/AAAA Documento Nuevo 01