si-mp-01 manual de seguridad de la información copnia.pdf

7/25/2019 SI-mp-01 Manual de seguridad de la Informacin COPNIA.pdf

1/59

MANUAL DE SEGURIDAD DELA INFORMACIN DEL

COPNIA


2/59

MANUAL DE SEGURIDAD DE LA INFORMACIN

SI-mp-01Vigente a part

Octubre 2013a. Actualizac

Pg.2/59

TABLA DE CONTENIDO

INTRODUCCIN .................................................................................................... 4

1. CONTEXTO DE LA ENTIDAD .......................................................................... 5

1.1. CONOCIMIENTO DE LA ENTIDAD Y SU CONTEXTO................................. 5

1.1.1. MISIN ...................................................................................................... 5

1.1.2. VISIN ....................................................................................................... 5

1.1.3. PRINCIPIOS............................................................................................... 5

2. ALCANCE DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA

INFORMACIN....................................................................................................... 6

3. NORMATIVIDAD............................................................................................... 6

4. DEFINICIONES................................................................................................ 6

5. POLTICA INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIN............ 8

5.1. ORIENTACIN DE LA DIRECCIN PARA LA GESTIN DE SEGURIDAD

DE LA INFORMACIN............................................................................................ 9

5.2. OTRAS CONSIDERACIONES DE LA POLTICA DE SEGURIDAD DE LA

INFORMACIN..................................................................................................... 10

5.3. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIN.......................... 10

5.4. POLTICAS ESPECFICAS DE SEGURIDAD DE LA INFORMACIN....... 11

5.4.1. POLTICA DE USO DE DISPOSITIVOS MVILES................................. 11

5.4.2. POLTICA DE TELETRABAJO................................................................. 14

5.4.3. POLTICA DE CONTROL DE ACCESO A LA INFORMACIN................ 18

5.4.4. POLTICAS DE LLAVES CRIPTOGRFICAS.......................................... 24


3/59




Pg.3/59

5.4.5. POLTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA.................... 27

5.4.6. POLTICA DE GESTIN DE CAMBIOS................................................... 30

5.4.7. POLTICA DE GENERACIN Y RESTAURACIN DE COPIAS DE

RESPALDO........................................................................................................... 33

5.4.8. POLTICA DE TRANSFERENCIA DE INFORMACIN............................ 35

5.4.9. POLTICA DE DESARROLLO SEGURO DE SOFTWARE...................... 39

5.4.10. POLTICA DE SEGURIDAD DE LA INFORMACIN PARA

RELACIONES CON PROVEEDORES.................................................................. 41

5.4.11. POLTICA DE PROTECCIN DE DATOS PERSONALES................... 44

5.4.12. POLTICA DE USO DE INTERNET...................................................... 47

5.4.13. POLTICA DE USO DE CORREO ELECTRNICO.............................. 50

5.4.14. POLTICA DE ACCESO Y REDES SOCIALES..................................... 53

5.4.15. POLTICA ACTUALIZACIN DE HARDWARE.................................... 55

5.4.16. POLTICA DE GESTION DE MEDIOS REMOVIBLES......................... 57

6. ANEXOS......................................................................................................... 58

7. CONTROL DE CAMBIOS............................................................................... 59


4/59




Pg.4/59

INTRODUCCIN

El Manual Seguridad de la Informacin, tiene como fin primordial brindar lasherramientas apropiadas para dar cumplimiento a los principios integridad,disponibilidad y confiabilidad de la informacin, por medio de las polticas deseguridad de la informacin, en donde se describen las responsabilidades de losusuarios, custodios y propietarios de la informacin, al igual que objetivos deproteccin que permitan reducir el impacto en caso tal que ocurra un incidente deseguridad de la informacin.

La implementacin del presente manual tiene como fin minimizar lasvulnerabilidades y amenazas accidentales o intencionales que puedan facilitar ladivulgacin, modificacin, destruccin o uso ilcito o indebido de los activos deinformacin, y al mismo tiempo, son lineamientos de uso para las reasresponsables de los servicios, activos y sistemas de la Entidad.

Dentro del presente documento, se describe las polticas especficas de seguridadque debern conocer y cumplir por todos los funcionarios y terceras partes delCOPNIA que accedan a los activos de la informacin y sistemas de procesamientode informacin. Las mismas se encuentran principalmente orientadas a: 1)Generar controles para proteger los activos de informacin donde se procesa,opera, almacena o transmite informacin sensible, 2) Generar conciencia en losusuarios frente al uso responsable de los dispositivos tecnolgicos, servicios yactivos de informacin, y 3) Realizar una gestin adecuada que permita minimizarlos riesgos ante una eventual prdida de informacin.


5/59




Pg.5/59

1. CONTEXTO DE LA ENTIDAD

1.1. CONOCIMIENTO DE LA ENTIDAD Y SU CONTEXTO

1.1.1. MISINEl COPNIA, es una autoridad pblica encargada de la inspeccin, control yvigilancia del ejercicio de la ingeniera, sus profesiones afines y auxiliares, a travsde la expedicin del Registro Profesional respectivo y que acta como tribunal detica de acuerdo con los parmetros establecidos en la ley, para proteger a la

sociedad del riesgo que conlleva el eventual mal ejercicio de las profesionesencomendadas.

1.1.2. VISINSer reconocido en Colombia como entidad pblica modelo y lder en los procesosde inspeccin, control y vigilancia de los profesionales de la ingeniera,profesionales afines y auxiliares mejorando da a da la calidad del servicio a lasdiferentes partes interesadas.

1.1.3. PRINCIPIOS

Adicional a los principios que rigen la funcin pblica, definidos en la ConstitucinPoltica y legislacin aplicable, el COPNIA se identifica con los siguientesprincipios:

Debido proceso

Igualdad

Imparcialidad

Buena fe

Moralidad

Participacin Responsabilidad,

Transparencia

Publicidad

Coordinacin Eficacia

Economa


6/59




Pg.6/59

Celeridad

2. ALCANCE DEL SISTEMA DE GESTIN DE SEGURIDAD DE LAINFORMACIN

El Consejo Profesional Nacional de Ingeniera - COPNIA a travs de su Sistemade Gestin de Seguridad de la Informacin (SGSI) dicta el cumplimiento dedisposiciones que tienen con objeto gestionar adecuadamente la seguridad de lainformacin, la gestin de activos, la gestin de riesgos y Continuidad del

negocio1, por tal motivo debern ser conocida y cumplida por todo el personal(funcionarios, colaboradores y terceros) que accedan a la informacin de laentidad, sistemas de informacin e instalaciones fsicas del COPNIA, tanto en suSede Nacional y en los Seccionales.

El SGSI se encuentra basado en el marco de lo establecido en la normatividadColombiana vigente, Norma Tcnica Colombiana ISO 27001:2013 y la misininstitucional del COPNIA.

3. NORMATIVIDAD

El Sistema de Gestin de Seguridad de la Informacin del COPNIA, se encuentraalineado al cumplimiento de la Normatividad Legal Vigente Colombiana, la cual seencuentra descrita en el Normograma Institucional.

4. DEFINICIONES

SGSI: Sistema de Gestin de Seguridad de la Informacin

Es parte del sistema gerencial general, basado en un enfoque de riesgo

comercial; para establecer, implementar, operar, monitorear, revisar,mantener y mejorar la seguridad de la informacin.

1 ISO 22301 -Continuidad del Negocio: capacidad de la entidad para continuar la entrega deproductos o servicios en los niveles predefinidos aceptables despus de ocurrido un incidente.


7/59




Pg.7/59

Oficial de seguridad

Responsable de Seguridad de la Informacin o delegado: Es responsabledel diseo, desarrollo, implantacin, mantenimiento y verificacin delcorrecto funcionamiento del Modelo de Seguridad de la Informacin en lneacon los requerimientos de la entidad.

Seguridad Informtica

Procesos, actividades, mecanismos que consideran las caractersticas ycondiciones de sistemas de procesamiento de datos y su almacenamiento,para garantizar su confidencialidad, integridad y disponibilidad.

Seguridad de la informacin

Son todos los controles tcnicos y metodolgicos que permiten mitigar losriesgos a los que se expone la informacin.

Confidencialidad

La propiedad que esa informacin est disponible y no sea divulgada apersonas o procesos no autorizados.

Integridad

La propiedad de salvaguardar la exactitud e integridad de los activos.

Disponibilidad

La propiedad de estar disponible y utilizable cuando lo requiera una entidadautorizada.

Activo

Cualquier cosa que tenga valor para la organizacin.


8/59




Pg.8/59

Amenaza

Es la posibilidad de ocurrencia de cualquier tipo de evento o accin quepuede producir dao (material o inmaterial) sobre los elementos (activos,recursos) de un sistema.

Vulnerabilidad

Son la capacidad, las condiciones y caractersticas del sistema mismo(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas,con el resultado de sufrir algn dao.

Activos de informacin

Es todo aquello que las entidades consideran importante o de alta validezpara la misma ya que puede contener importante informacin como lopuede ser Bases de Datos con usuarios, contraseas, nmeros de cuentas,etc.

5. POLTICA INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIN

El COPNIA para asegurar la informacin ha adoptado buenas prcticas quebuscan conservar la integridad, disponibilidad y confidencialidad de la informaciny de los sistemas de procesamiento de informacin esenciales para la operatividadde la Entidad.

Lo cual se logra mediante el liderazgo y compromiso de la Alta Direccin y con laparticipacin activa de todos los funcionarios, lo que permite una eficacia yeficiencia en el cumplimiento de los lineamientos y requisitos de seguridad, ascomo el desarrollo de estrategias de mejora continua, conciencia de seguridad en

los funcionarios durante el desarrollo de sus actividades y una respuesta oportunaante incidentes de seguridad.


9/59




Pg.9/59

5.1. ORIENTACIN DE LA DIRECCIN PARA LA GESTIN DE SEGURIDADDE LA INFORMACIN

El Sistema de Gestin de Seguridad de la Informacin del COPNIA, tiene comoobjetivo principal, establecer los lineamientos, procedimientos y buenas prcticaspara conservar la integridad, confidencialidad y disponibilidad de la informacin,caractersticas esenciales de Seguridad. Por tal motivo, el COPNIA, para laprestacin de sus servicios y conforme los requisitos y funciones determinados porel Estado y la satisfaccin de las partes interesadas (usuarios, entidades de

control, sociedad y terceras partes), busca por medio del liderazgo y compromisode la Alta Direccin y su equipo de trabajo, asegurar la mejora continua de laeficacia, eficiencia y efectividad del sistema de gestin de seguridad de lainformacin.

Para tal fin, la Alta Direccin deber apoyar los siguientes aspectos:

Asegurar que los objetivos de la seguridad de la informacin se encuentrenalineados con los objetivos del COPNIA.

Revisar y aprobar peridicamente la poltica de seguridad de la informacindel COPNIA.

Velar porque las acciones de seguridad de la informacin sean ejecutadasde acuerdo a las polticas y lineamientos establecidos. Las mismas sernmonitoreadas, reportadas y registradas en caso tal que exista una violacina las polticas y/o controles.

Proporcionar los recursos necesarios para el desarrollo e implementacinde iniciativas de seguridad de la informacin.

Conformar un Comit de Seguridad de la Informacin, que ser elresponsable del mantenimiento, revisin y mejora del Sistema de Gestinde Seguridad de la Informacin del COPNIA.


10/59




Pg.10/59

5.2. OTRAS CONSIDERACIONES DE LA POLTICA DE SEGURIDAD DE LAINFORMACIN

La Poltica de seguridad de la informacin, expresada en el presente manual,especifica las directrices que debern ser cumplidas por los funcionarios yterceras partes del Consejo Profesional Nacional de Ingeniera COPNIA conel fin de asegurar un adecuado nivel de integridad, disponibilidad,confidencialidad de la informacin.

Esta poltica es aprobada por la Alta Direccin del COPNIA mediante actoadministrativo, ser comunicada a todos los funcionarios y terceras partes parasu divulgacin y cumplimiento.

Con el fin dar continuidad, pertinencia y eficacia a las polticas descritas en elpresente manual, las mismas sern revisadas cada ao, o cuando seproduzcan cambios significativos o posibles aspectos que puedan influir deforma considerable en la misin de la Entidad conforme el procedimiento deverificacin de las polticas y procedimientos.

5.3. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIN

El objetivo principal de la seguridad de la informacin es mantener un ambienterazonablemente seguro alineado a la misin de la Entidad, que permita protegerlos activos de informacin que componen la estrategia del COPNIA, as como eluso adecuado de los recursos y gestin del riesgo, con el fin de preservar ladisponibilidad, integridad y confidencialidad de la informacin, y el aseguramientode la continuidad del negocio.

Como objetivos del SGSI se plantean los siguientes:

Cumplir con la poltica y principios de seguridad de la informacin, con el finde administrar adecuadamente los riesgos.

Asegurar la informacin y los sistemas de informacin sensible, contra ladivulgacin, modificacin, apropiacin y/o uso no autorizado quecomprometan los servicios de la Entidad.


11/59




Pg.11/59

Concienciar a los funcionarios de los beneficios frente a las buenasprcticas de seguridad de la informacin.

Garantizar la continuidad del Negocio, los servicios y recursos esenciales,frente a la ocurrencia de un incidente de seguridad de la informacin, quepueda afectar la operatividad del COPNIA.

Brindar elementos de trazabilidad de las actividades desarrolladas por elCOPNIA, dentro de los eventos que puedan comprometer la seguridad de

los activos de informacin o ante la presencia de un incidente de seguridadde la informacin.

5.4. POLTICAS ESPECFICAS DE SEGURIDAD DE LA INFORMACIN

5.4.1. POLTICA DE USO DE DISPOSITIVOS MVILES

ALCANCE

Garantizar la seguridad de la informacin cuando se utilizan dispositivos mviles.

OBJETIVO

Adoptar medidas de seguridad apropiadas para la proteccin de la informacincontra los riesgos introducidos por el uso de los dispositivos mviles.

DETALLE

Teniendo en cuenta los riesgos en el uso de dispositivos mviles (computadoresporttiles, tarjetas inteligentes, telfonos celulares, entre otros), el COPNIA

implementar mecanismos de proteccin fsica, claves de acceso, cifrado deinformacin, copias de respaldo, instalacin de antivirus y autenticacin en laconexin remota a la red de la Entidad. As mismo, se realizarn campaas desensibilizacin a los usuarios para concienciarlos y asesorarlos acerca de lasbuenas prcticas de seguridad, equipos desatendidos y aseguramiento de losdispositivos.


12/59




Pg.12/59

Condiciones obligatorias

Se deber tener especial cuidado al utilizar dispositivos mviles en lugarespblicos, salas de reuniones u otros entornos sin la debida proteccin porparte de la Entidad.

Se debern proteger fsica y lgicamente los dispositivos mviles paraevitar el hurto, acceso o la divulgacin no autorizada de la informacin,cifrar la informacin en caso de ser necesario y tener copias de respaldo.

se deber bloquear los servicios de conexin y servicios compartidoscuando no se estn usando.

Los dispositivos mviles del nivel directivo y sistemas, solamente podrnconectarse a la red interna del COPNIA, pero en caso de detectarse algunaactividad no autorizada, se restringir el uso del servicio.

Existir una red VLAN segmentada especial que los contratistas puedanacceder a internet y no a los datos de red de datos productiva de la entidad.La entidad deber realizar la segregacin de redes de comunicacin, paramantener la seguridad de la informacin.

Una vez los funcionarios hayan culminado su relacin laboral con laentidad, el rea de Sistemas con la informacin suministrada del rea deTalento humano denegar el acceso a la informacin o sistemas deinformacin accedidos desde los dispositivos mviles.

En caso tal se presente el extravi o hurto de un dispositivo mvil quecontengan informacin crtica o sensible de la entidad, el funcionario ser elresponsable de reportar de forma inmediata al Responsable de Seguridadde la Informacin, quien identificar conforme la informacin contenida, lasmedidas de seguridad adecuadas para la proteccin de lainformacin. Adicionalmente deber seguir el procedimiento establecido enel caso de siniestros y reclamaciones ante la compaa de seguros descritoen el manual de manejo de bienes AB-mb-01.


13/59




Pg.13/59

USOS NO AUTORIZADOS

Los dispositivos mviles que manejen o administren informacinconfidencial o crtica de la entidad, no se podrn conectar a una red pblica,y debern ser transportados y usados con cautela para evitar el dao omanipulacin no autorizada de la informacin, as mismo, ser necesarioevitar dejar el equipo desatendido.

No se debern realizar instalaciones de aplicaciones de dudosa

procedencia que puedan afectar la confidencialidad, integridad y/odisponibilidad de la informacin almacenada o transmitida por el dispositivo.

Est prohibido almacenar y transferir informacin sensible de la Entidad endispositivos mviles personales de los usuarios, y aquellos dispositivos quesean de propiedad de la entidad debern garantizar la debida proteccin dela informacin contenida en ellos.

RESPONSABILIDADES

Todos los funcionarios, colaboradores y terceros que tengan acceso a la

informacin por medio de dispositivos mviles debern cumplir la presentepoltica.

El rea de Sistemas, deber adoptar las medidas y mecanismos deseguridad adecuados para proteger la seguridad almacenada y transmitidaen los dispositivos mviles de la Entidad.

El Responsable de Seguridad de la Informacin o delegado en coordinacincon el rea de Talento Humano debern realizar capacitaciones peridicas

a todo el personal del COPNIA para el uso adecuado de los dispositivosmviles.


14/59




Pg.14/59

PROCEDIMIENTOS POR DOMINIO

Procedimiento de Clasificacin y etiquetado de Informacin.

Procedimiento de creacin, modificacin, cancelacin de cuentas deUsuario y privilegios.

Procedimiento de autorizacin de instalacin de Software. Procedimiento Mantenimiento de Equipos.

CONTROLES POR DOMINIO

Antes de realizar actividades que involucren el uso de dispositivos mviles,se deber identificar los requisitos mnimos de seguridad, la sensibilidad dela informacin y las vulnerabilidades y amenazas existentes.

Para la transmisin de informacin de la Entidad haciendo uso dedispositivos mviles, se deber establecer canales de comunicacin segurapara preservar la integridad y confidencialidad de la informacin.

Capacitar peridicamente al personal de la Entidad en buenas prcticas de

seguridad en el uso de dispositivos mviles.

5.4.2. POLTICA DE TELETRABAJO

ALCANCE

Garantizar la seguridad de la informacin en las actividades correspondientes alteletrabajo.

OBJETIVO

Establecer medidas de seguridad adecuadas para proteger la informacin contralos riesgos identificados antes, durante y despus de las actividadescorrespondientes al teletrabajo.


15/59




Pg.15/59

DETALLE

El Consejo Profesional Nacional de Ingeniera, slo autorizar las actividades deteletrabajo una vez se establezcan los controles de seguridad apropiados, y queestos a su vez cumplan con las polticas de seguridad de la informacin de laEntidad.

El lugar en el cual se llevarn a cabo actividades de teletrabajo, deber contar conuna proteccin adecuada contra hurto de equipo y/o informacin, divulgacin noautorizada de informacin, acceso remoto no autorizado a los sistemas internos dela entidad o el mal uso de los medios y servicios.

Condiciones Obligatorias

Se prever que la seguridad fsica de las instalaciones en donde se lleven acabo las actividades de teletrabajo, resguarde adecuadamente los equiposy documentos requeridos para llevar a cabo las actividades laborales, ascomo los mecanismos de seguridad identificados para conservar laintegridad, disponibilidad y confidencialidad de la informacin.

Antes de llevar a cabo actividades de teletrabajo, se realizar un anlisis deriesgos relacionados al acceso no autorizado, redes domsticas, a lainformacin o de los recursos por parte de otras personas que comparten elmismo espacio (terceras partes), con el fin de buscar los mecanismosadecuados de proteccin, requisitos y restricciones en la configuracin delos servicios por parte de la Entidad.

Los equipos utilizados para el teletrabajo, debern contar como mnimo conla proteccin de antivirus, requisitos de barreras firewall como parte de la

solucin de seguridad incluida en el antivirus y dems solucionesrequeridas para salvaguardar adecuadamente la informacin de la Entidad.

Se definirn con antelacin entre la Entidad y el Funcionario, el trabajo arealizar, la informacin a acceder, as como el horario, acuerdos deconfidencialidad de la informacin, sistemas y servicios de la entidad, paralos cuales el trabajador tendr acceso.


16/59




Pg.16/59

La Entidad deber disponer de soporte y mantenimiento tcnico, para evitarque terceros no autorizados accedan a la informacin.

En lo posible, la Entidad firmarn plizas de seguros, para mitigar losriesgos existentes por prdida o dao de los equipos suministrados a losfuncionarios que ejecutan labores de teletrabajo.

En caso de presentarse un incidente de seguridad, se deber llevar a cabo

el Procedimiento de Recuperacin en caso de interrupcin del servicio, conel fin de salvaguardar la informacin y permitir la continuidad del negocio.

El rea de Sistemas realizar auditoras y monitoreos peridico deseguridad a los equipos, redes y servicios utilizados durante el desarrollo delas actividades de teletrabajo, con el fin de identificar posiblesvulnerabilidades o amenazas existentes.

Se revocarn los derechos de acceso a la informacin, sistemas de

procesamiento de informacin y servicios, as mismo, se realizar ladevolucin de los equipos y/o dispositivos al finalizar la relacin laboral ocambio de roles o responsabilidades al interior de la Entidad.

Cada funcionario tienen la obligacin de informar al rea de Sistemascuando se registre o detecte alguna conexin con su usuario, que no hayasido realizada por el funcionario.

RESPONSABILIDADES

Todos los funcionarios, colaboradores y terceros que tengan acceso a lainformacin y sistemas de informacin en el desarrollo de actividadescorrespondientes al teletrabajo debern cumplir la presente poltica.

El Responsable de seguridad de la informacin o delegadoen coordinacincon el rea de Talento Humano debern realizar capacitaciones peridicasa todo el personal del COPNIA para el uso adecuado de los recursos


17/59




Pg.17/59

tecnolgicos y las responsabilidades de los funcionarios frente a laseguridad de la informacin.

El Uso adecuado de los mecanismos de identificacin y autenticacin de lossistemas de informacin, generando contraseas con un nivel de seguridadadecuado, as como el cambio constante de la misma.

SEGUIMIENTO Y CONTROL (MONITOREO)

Se implementarn sistemas de monitoreo que permita identificar violacionesen la autenticacin de los usuarios, monitoreando los logs de conexinremota para establecer intentos de conexiones fallidas de usuarios.

Se implementarn mecanismos de autocontrol que permitan a los usuariosidentificar cuando su cuenta fue utilizada (ltimos accesos) evitando as eluso de cuentas no autorizadas, con el fin de garantizar la confidencialidadde la informacin.

Se deber monitorear el acceso y/o modificacin no autorizada a la

informacin o sistemas de informacin de la Entidad.


Procedimiento de Recuperacin en caso de interrupcin del servicio.

Procedimiento de Clasificacin y Etiquetado de Informacin.

Procedimiento de creacin, modificacin y cancelacin de cuentas deUsuario y privilegios.

Procedimiento de autorizacin de instalacin de Software.


Se deber emplear mtodos apropiados de autenticacin para controlar elacceso de usuarios remotos a la informacin y sistemas de informacin dela Entidad.


18/59




Pg.18/59

Se establecern canales de comunicacin seguros para los funcionarios dela Entidad autorizados y bloquear otros canales de comunicacin, parapreservar la integridad y confidencialidad de la informacin.

Se deber contar con mecanismos de seguridad (firewall, antivirus, etc.),que prevengan el acceso o modificacin no autorizada a la informacin osistemas de informacin de la Entidad.

Se realizar capacitacin peridica al personal de la Entidad en buenas

prcticas de seguridad en el Teletrabajo, con el apoyo del rea de TalentoHumano.

ESTNDARES DE REFERENCIA

OHSAS 18001:2007 - Sistema de Gestin en Seguridad y Salud ocupacional,enfocada al teletrabajo en las organizaciones

5.4.3. POLTICA DE CONTROL DE ACCESO A LA INFORMACIN

ALCANCE

Controlar el acceso de la informacin y restringirla slo al personal autorizadoconforme el perfil de acceso.

OBJETIVO

Generar mecanismos para controlar el acceso a la informacin, medios deprocesamiento y sistemas de informacin alineados a la misin de la Entidad.

DETALLE

Esta poltica tiene como fin controlar el acceso a los sistemas de informacin delCOPNIA, teniendo en cuenta mecanismos de proteccin para la red, datos y lainformacin, as como la implementacin de permetros de seguridad para laproteccin de reas con instalaciones de procesamiento de informacin,suministro de energa elctrica, aire acondicionado, y cualquier otra reaconsiderada crtica para la operatividad de la Entidad.


19/59




Pg.19/59

El emplazamiento y la fortaleza de cada barrera estarn definidas por elResponsable o encargado de seguridad de la Informacin con el asesoramientodel Responsable de Seguridad fsica, de acuerdo al resultado de la evaluacin deriesgos efectuada.

El control de acceso a la informacin deber estar previsto para controlar elacceso tanto lgico como fsico y se debern considerar en conjunto.


Los funcionarios y contratistas del COPNIA son responsables de lainformacin que manejan y debern cumplir los lineamientos establecidos porla Entidad, con el fin de evitar prdidas, accesos no autorizados, exposiciny utilizacin indebida de la informacin. As mismo no debern suministrarinformacin de la Entidad a ningn ente o persona externa sin la debidaautorizacin.

Todo funcionario que utilice la informacin y los sistemas de informacin delCOPNIA, tiene la responsabilidad de velar por la integridad, confidencialidad y

disponibilidad de la informacin, especialmente si dicha informacin estclasificada como confidencial y/o crtica.

Todos los funcionarios y contratistas que laboran para el COPNIA tendrnacceso slo a la informacin necesaria para el desarrollo de sus labores.El rea de sistemas del COPNIA y los responsables de la informacin y lossistemas de informacin debern autorizar slo el acceso de acuerdo con elnivel de autorizacin asignado.

Las claves de acceso compartidas asignadas a los funcionarios de los

sistemas de informacin de la Entidad tendrn nicamente carcter deconsulta, estas no permiten modificacin de la informacin, se modificarnperidicamente o cuando se requiera y exclusivamente se utilizarn parala gestin de la Entidad.

Todos los accesos y claves de usuario para el uso de los sistemas deinformacin del COPNIA, debern ser desactivados o cambiados despus


20/59




Pg.20/59

de que un funcionario, supernumerario o proveedor cese de prestar susservicios al COPNIA, dicha informacin ser emitida por el rea de TalentoHumano al rea de Sistemas, una vez el funcionario culmine sus actividadeslaborales.

Los responsables de los sistemas de informacin, mediante los registros delos sistemas realizarn seguimiento de los accesos y cambios realizados porlos usuarios, con el objeto de minimizar el riesgo de prdida, integridad oconfidencialidad de la informacin.

El acceso a la informacin y los sistemas de informacin deber serconsistente con el procedimiento de clasificacin y etiquetado de lainformacin, y as mismo, el acceso estar otorgado con respecto al rol yresponsabilidad de cada uno de los funcionarios dentro de la entidad,basndose en la premisa "En general, todo est prohibido, a menos que estexpresamente permitido".

Los funcionarios del COPNIA, terceras personas y contratistas que tenganacceso a la informacin debern firmar un acuerdo de confidencialidad de lainformacin, en donde se establezcan las obligaciones y responsabilidadescontractuales relacionadas con la proteccin del acceso a los datos o losservicios y sistemas de informacin.

Se establecern requisitos para la autorizacin formal de las solicitudes deacceso, as como para la revisin peridica de los controles de acceso y elretiro de los derechos de acceso a los usuarios, conforme el procedimiento decreacin, modificacin y cancelacin de cuentas de usuario y privilegios.

Se debern atender los requerimientos establecidos de los lineamientos deGobierno en Lnea, respecto a la publicacin de informacin de la entidad ensu pgina web.

Cuando se identifique la necesidad de trabajar con partes externas y senecesite acceso a la informacin y/o sistemas de informacin, se deber


21/59




Pg.21/59

realizar una evaluacin de riesgos para determinar las implicaciones deseguridad y los requisitos de control.

Los visitantes de las oficinas del COPNIA debern ser escoltados por unfuncionario quien autoriz el ingreso durante el tiempo de permanencia en laEntidad. Todos los visitantes sin excepcin, debern ser escoltadosincluyendo clientes, proveedores, antiguos empleados, miembros de la familiadel funcionario, etc.

Los centros de cmputo o reas consideradas crticas, debern tener accesorestringido y por tal motivo, cualquier persona que requiera ingresar al readeber registrar el motivo de ingreso y estar acompaada permanentementede un funcionario del COPNIA.

En las instalaciones de la entidad debern existir elementos de control deincendio, inundacin, alarmas, circuito cerrado de televisin, y de igual formadebern estar demarcados como zona restringida.

La oficinas deben contar con los mecanismos de control de acceso tales comovigilancia privada, identificacin de visitantes, con guardia 7x24x365, yredundancia de recursos y alta disponibilidad N+1 para las sedes con ms de4 funcionarios de la entidad.

Los equipos de cmputo (Computadores, servidores, impresoras, equipos decomunicacin, entre otros) no debern moverse o reubicarse sin laaprobacin previa del Profesional de Gestin Administrativa o elResponsable de los inventarios.

RESPONSABILIDADES Todos los funcionarios, colaboradores y terceros que tengan acceso a la

informacin y sistemas de informacin debern cumplir la presente poltica.

El Responsable de Seguridad de la Informacin o delegado en coordinacincon el rea de Talento Humano deber realizar capacitaciones peridicas atodo el personal del COPNIA para el uso adecuado de los recursos


22/59




Pg.22/59

tecnolgicos y las responsabilidades de los funcionarios frente a la seguridadde la informacin.

Los usuarios son responsables por el cumplimiento de buenas prcticas deseguridad en la seleccin y el uso de contraseas.

Los funcionarios se comprometen a NO utilizar la red regulada de energa(tomacorrientes naranja o UPS) para conectar equipos elctricos diferentesa su computador o dems equipos autorizados por los administradores de la

red.

Todos los funcionarios y/o contratistas sern responsables de proteger lainformacin a la cual accedan y procesen, para evitar su prdida, alteracin,destruccin o uso indebido.


Procedimiento de clasificado y etiquetado de la informacin.

procedimiento de creacin, modificacin y cancelacin de cuentas de usuario

y privilegios.


Controles Fsicos:

Las reas crticas se protegern mediante el empleo de controles de acceso fsicodeterminados por el Responsable de Seguridad junto con el Responsable del reade Sistemas, a fin de permitir el acceso slo al personal autorizado. Estoscontroles tendrn, por lo menos, las siguientes caractersticas:

Supervisar o inspeccionar a los visitantes a reas crticas y registrar la fecha yhora de ingreso y egreso. Slo se permitir el acceso para propsitosespecficos y autorizados.


23/59




Pg.23/59

Controlar y limitar el acceso a la informacin y sistemas de informacin,exclusivamente a las personas autorizadas, utilizando controles deautenticacin y monitoreo de los registros de acceso.

El COPNIA implementar el uso de identificacin visible para los funcionariosy se concienciar al personal acerca de comunicar la presencia dedesconocidos no escoltados o cualquier persona que no exhiba unaidentificacin visible.

Se revisar y actualizar peridicamente la lista de funcionarios autorizadospara acceder a las reas crticas, los cuales sern generadas y firmadas por elResponsable del rea.

Control de Acceso Lgico

Los usuarios slo tendrn acceso a los servicios para cuyo uso estnespecficamente autorizados conforme el procedimiento de creacin,modificacin y cancelacin de usuario y privilegios.

El rea de Sistemas del COPNIA, velar por la proteccin del acceso lgico yfsico a los puertos de configuracin y diagnstico de los equipos de red ydems que sean considerados como crticos.

Se implementarn controles de enrutamiento en las redes con el fin deasegurar que las conexiones entre computadores y los flujos deinformacin, correspondan los lineamientos definidos por la entidad.

Todos los usuarios tendrn un identificador nico (ID del usuario) para

su uso personal, y se elegirn tcnicas o mecanismos apropiados deautenticacin para comprobar la identidad del usuario.

Se restringirn los tiempos de conexin en la informacin y/o sistemas deinformacin conforme su clasificacin.


24/59




Pg.24/59

Todos los sistemas automticos que operen y administren informacinsensible, valiosa o crtica para la Entidad como son los aplicativos enproduccin, sistemas operativos, sistemas de bases de datos ytelecomunicaciones deben generar un libro con la bitcora de auditora de latareas principales (adicin, modificacin, borrado). El libro de bitcora deauditora debe proporcionar suficiente informacin para apoyar el monitoreo,control y auditoras.


ISO 30300: Informacin y documentacin. Sistemas de gestin para losdocumentos.

5.4.4. POLTICAS DE LLAVES CRIPTOGRFICAS

ALCANCE

Proteger la confidencialidad, autenticidad o integridad de la informacin sensibledel COPNIA a travs de controles criptogrficos

OBJETIVO

Establecer los controles criptogrficos para generar una adecuada proteccin de lainformacin sensible o confidencial del COPNIA.

DETALLE


Es responsabilidad del rea de Sistemas definir los algoritmos de cifrado ms

apropiados para ser utilizados, con base en el anlisis de riesgos y considerandolos criterios de confidencialidad, integridad, autenticidad y no repudio, as comolas tecnologas de cifrado disponibles y costos relacionados. El uso deherramientas de cifrado, slo ser autorizado por el Responsable de Seguridadde la Informacin y/o persona delegada.

La informacin que contenga contraseas de usuario o claves para el control deacceso a los sistemas de informacin catalogados como sensibles no podrn ser
http://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdf


25/59




Pg.25/59

almacenadas en texto plano y debern ser cifradas conforme los controlesestablecidos.

Dentro de los controles identificados con respecto al uso de las llavescriptogrficas, los funcionarios del COPNIA debern tener presente:

Se permite el uso de certificados digitales como mecanismo de seguridad,autenticacin e identidad electrnica, para la firma electrnica de losdocumentos transmitidos o en los accesos al sistema de gestin documentalde la entidad. Esto se regir de acuerdo con los lineamientos establecidos enla Ley 527 de 1999 y sus decretos reglamentarios y complementarios.

El Responsable de Seguridad de la Informacin y/o la persona delegada, serla persona encargada de la activacin, recepcin y la distribucin de las llavescriptogrficas a los usuarios autorizados y velar por que la llave encuentreactiva en el periodo de tiempo previsto.

Los responsables de las llaves criptogrficas debern almacenar las llaves deforma segura y se comprometern a restringir el acceso slo a los usuariosautorizados. De igual forma, una copia de las llaves deber ser almacenadaen sitio seguro por el Responsable de Seguridad de la Informacin o personadelegada para su recuperacin en caso tal que se extrave la misma.

El cambio o actualizacin de las llaves, ser solicitado por el funcionarioresponsable, dicha solicitud ser autorizada y tramitada por el Responsable deSeguridad de la Informacin o persona delegada, quien ser el encargado derealizar las actividades correspondientes.

Las llaves sern revocadas por el Responsable de Seguridad de laInformacin o persona delegada cuando las mismas se han puesto en peligroo cuando el funcionario culmine su relacin laboral con el COPNIA

Las personas que lleven a cabo procesos de cifrado y descifrado deinformacin, en lo posible, debern utilizar equipos que no estn conectadosa redes pblicas o externas o tengan servicios de Internet.


26/59




Pg.26/59

Todos los textos de los documentos que se han cifrado y descifrado, en casoque se requieran debern ser almacenados y tratados con las medidas deseguridad conforme al grado de clasificacin de la informacin. De igual forma,para su proceso de eliminacin se deber usar un mtodo de borrado seguro.

Para todas y cada una de las actividades pertenecientes a la administracin,gestin y eliminacin de las llaves criptogrficas, se deber mantener registrosde las actividades realizadas.

Los acuerdos o contratos de servicio con los proveedores de servicios decriptografa o autoridad de certificacin; debern establecer responsabilidades,confiabilidad de los servicios y tiempos de respuesta.

RESPONSABILIDADES

El Responsable de Seguridad de la Informacin o delegado, definirn lasfechas de activacin y desactivacin de las llaves, con el fin que slo seanutilizadas en el periodo de tiempo establecido y coordinar el proceso deeliminacin segura de las mismas.

Los usuarios de las llaves criptogrficas, debern ser responsables de velarpor la disponibilidad, integridad y confidencialidad de las claves y de lainformacin que se cifre o descifre con ellas.


Procedimiento de clasificacin y etiquetado de informacin.


Se definirn las fechas de activacin y desactivacin de las claves para queslo se puedan utilizar durante un perodo de tiempo limitado. El perodo detiempo se establecer conforme las circunstancias de uso y el resultado delanlisis de riesgos.


27/59




Pg.27/59

Las llaves criptogrficas debern ser emitidas por una autoridad decertificacin reconocida y se debern establecer controles y procedimientospara proporcionar el grado de confianza requerido.

Los contenidos de los acuerdos o contratos de nivel de servicio con losproveedores de servicios de criptografa; deber abarcar los temas deresponsabilidad, confiabilidad de los servicios y tiempos de respuesta.


ISO/IEC 11770- Information technology -- Security techniques -- Keymanagement

ISO/IEC 9796 -Information technology Security techniques Digital signatureschemes giving message recovery

ISO/IEC 14888 -Information technology Security techniques Digitalsignatures with appendix

5.4.5. POLTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA

ALCANCE

Preservar la seguridad de la informacin del COPNIA por medio de buenasprcticas en el manejo de documentos, medios de almacenamiento removibles ypantalla de los dispositivos de procesamiento de informacin.

OBJETIVO

Generar controles para que los funcionarios del COPNIA conserven el escritorio

limpio de documentos, medios de almacenamiento removibles y pantalla limpia ensus dispositivos de almacenamiento y procesamiento de informacin.


28/59




Pg.28/59

DETALLE


Para el aseguramiento de la informacin sensible de la Entidad, los funcionariosdebern adoptar buenas prcticas al momento de manejar y administrar lainformacin del COPNIA, teniendo en cuenta los niveles de clasificacin de lainformacin, los riesgos identificados. Para ello se deber tener en cuenta:

No debern permanecer a la vista documentos en papel, dispositivos

de almacenamiento (CDs, memorias USB, etc.) Sobre los escritorios uoficinas, con el fin de evitar riesgos de acceso no autorizado, prdida y daode la informacin durante el horario laboral y fuera del mismo.

La informacin sensible o crtica, tanto en medios fsicos como digitalesdeber ser guardada bajo llave cuando no est siendo utilizada,especialmente cuando la oficina se encuentre vaca.

Al momento de dejar desatendidas los equipos de cmputo o terminales

debern dejarse protegidas bloqueando la cuenta de usuario o mecanismosde autenticacin.

Los lugares en donde se encuentren ubicados los puntos de ingreso y salidade correo y mensajera, as como las mquinas de fax e impresoras, nodebern ser de fcil acceso al pblico, con el fin de evitar el hurto o prdidade informacin.

Los documentos que contienen informacin confidencial o sensible debernser retirados inmediatamente de la impresora, fotocopiadora o fax, por el

funcionario responsable.

Se limitar en lo posible, el uso de fotocopiadoras y tecnologas dereproduccin, con el fin de conservar la confidencialidad y evitar la prdida ofuga de informacin de la Entidad.


29/59




Pg.29/59

Los datos sensibles almacenados en los equipos o sistemas de informacin,debern encontrarse ubicados en rutas que no sean de fcil acceso.

RESPONSABILIDADES

Los funcionarios del COPNIA, sern los encargados de hacer buen uso de lainformacin tanto fsica como lgica, y de cumplir los lineamientos descritosen la presente poltica.

Los usuarios son responsables por el cumplimiento de buenas prcticasde seguridad en la seleccin y el uso de contraseas.


Procedimiento de clasificacin y etiquetado de informacin.


El rea de Sistemas, limitar el acceso de los dispositivos de impresin ofotocopiadoras, con el fin de impedir que una persona no autorizada duplique

informacin sensible o confidencial de la Entidad.

Los equipos sern configurados, para que se bloqueen despus de untiempo determinado de inactividad.

El Responsable de Seguridad de la Informacin o delegado en coordinacincon el rea de Talento Humano sern el encargado de capacitar a todos losfuncionarios del COPNIA en buenas prcticas de seguridad.

Los funcionarios del COPNIA que administren o manejen informacinsensible o confidencial de la Entidad, tendrn un lugar adecuado paraalmacenar la informacin bajo llave o con los mecanismos de seguridadestablecidos.


30/59




Pg.30/59



5.4.6. POLTICA DE GESTIN DE CAMBIOS

ALCANCE

Asegurar que los cambios en los medios y sistemas de procesamiento de la

informacin se encuentren acordes con las necesidades y requerimientos delCOPNIA.

OBJETIVO

Controlar los cambios en los medios y sistemas de procesamiento de lainformacin, por medio de mecanismos de seguridad adecuados.

DETALLE

Los cambios slo se debern realizar cuando existe una razn vlida para hacerlo,como un incremento en el riesgo para el sistema, sin embargo siempre se deberevaluar las posibles implicaciones debido al riesgo de introducir nuevasvulnerabilidades e inestabilidad en el sistema.

Todo requerimiento de mejora (Creacin y modificacin de programas,pantallas) o reporte de falla que afecte los sistemas de informacin delCOPNIA, deber ser solicitado por los usuarios del sistema y para suseguimiento el rea de Sistemas diligenciar el formato SI-fr-09o el formatoSI-fr-08segn sea el caso.

Cualquier tipo de cambio en la plataforma tecnolgica deber quedarformalmente documentado desde su solicitud hasta su implantacin en elformato SI-fr-09. Este mecanismo proveer herramientas para efectuarseguimiento y garantizar el cumplimiento de los procedimientos definidos.


31/59




Pg.31/59

Todo cambio a un recurso informtico de la plataforma tecnolgicarelacionado con modificacin de accesos, mantenimiento de software omodificacin de parmetros deber realizarse sin la alteracin de la seguridad.

El rea de Sistemas deber verificar que los cambios sean propuestos porusuarios autorizados y se encuentren alineados a la licencia de uso ynecesidades de la Entidad.

El Responsable de Seguridad de la informacin revisar las solicitudes de

cambio y realizar un anlisis de impacto, para garantizar que no se violen losrequerimientos de seguridad, al mismo tiempo velar por la implementacin demecanismos de control adecuados para el aseguramiento de la informacin yla continuidad de las operaciones.

El rea de Sistemas deber mantener un control de versiones para todas lasactualizaciones de software y los cambios realizados, con el fin de realizarrollback2en el caso que sea necesario.

El rea de Sistemas garantizar que la implementacin de los cambios selleve a cabo sin generar discontinuidad de las actividades operativas, laalteracin de los procesos y la operatividad de la entidad para el cumplimientode la misin institucional.

Los responsables de los cambios, debern Informar antes de laimplementacin de un cambio a las reas o usuarios que puedan verseafectados, con el fin de evitar indisposicin y falta de operatividad.

Una vez realizado un cambio, el responsable deber documentar las

actividades realizadas, la informacin relevante y los resultados obtenidosdespus de realizado el cambio.

2En tecnologas debase de datos,un Rollback es una operacin que devuelve a la base de datosa algn estado previo. Los Rollbacks son importantes para laintegridad de la base de datos, acausa de que significan que la base de datos puede ser restaurada a una copia limpia inclusodespus de que se han realizado operaciones errneas.
http://es.wikipedia.org/wiki/Base_de_datoshttp://es.wikipedia.org/wiki/Integridad_de_datoshttp://es.wikipedia.org/wiki/Integridad_de_datoshttp://es.wikipedia.org/wiki/Base_de_datos


32/59




Pg.32/59

RESPONSABILIDADES

Los funcionarios y usuarios autorizados debern velar porque los cambiosse encuentren alineado a las necesidades operativas y el cumplimiento dela misin de la Entidad.

El Responsable de Seguridad de la Informacin o persona delegada encoordinacin con el rea de Sistemas, sern los responsables de controlarlos cambios y prever el impacto que puedan ocasionar a la seguridad de la

informacin.

El funcionario encargado del cambio, deber documentar detalladamentelas actividades realizadas, as como los resultados obtenidos y losmecanismos de mitigacin del impacto en el caso que aplique.


Procedimiento para autorizacin de instalacin de Software

Procedimiento de control de cambios.

Procedimiento de Recuperacin en caso de interrupcin del servicio


La solicitud de cambios, slo ser realizada por usuarios autorizados.

Los cambios debern ejecutarse, una vez han sido identificados ycontrolados los riesgos de seguridad de la informacin, y de igual formaantes de ejecutarlos se debern encontrar autorizados por el responsable.

Los cambios sern documentados para realizar su respectivo seguimiento yauditora, y al mismo tiempo, se realizar un control de versiones para tenercomo contingencia un rollback en caso de ser necesario.


ITIL -Biblioteca de Infraestructura de Tecnologas de la Informacin


33/59




Pg.33/59

IEEE STD 1042 Guide to Software Configuration Management

5.4.7. POLTICA DE GENERACIN Y RESTAURACIN DE COPIAS DERESPALDO

ALCANCE

Mantener la integridad y disponibilidad de la informacin y los medios deprocesamiento de informacin crticos del COPNIA a travs de copias de respaldo.

OBJETIVO

Realizar copias de respaldo para preservar la disponibilidad de la informacin yrevisarlas regularmente para asegurar la restauracin de la informacin en casoque sea necesario.

DETALLE

La informacin que es soportada por la infraestructura de tecnologa informticadel COPNIA deber ser almacenada y respaldada de tal forma que se garantice su

disponibilidad.

El almacenamiento de la informacin se deber realizar interna y/o externamentea la Entidad, de acuerdo con su importancia.

La informacin de copias de respaldo, deber enviarse al rea de sistemas parasu custodia, consolidacin y archivo de acuerdo a la Tabla de RetencinDocumental, de tal forma que garantice que la informacin no sea de condicionesObligatorias manipulada por ninguna persona externa o interna durante sutransporte y custodia de la misma, estas copias de seguridad permitirn hacer

seguimiento de control en una auditora o en caso de requerirse recuperar lainformacin de los procesos.


34/59




Pg.34/59


Se deber identificar el nivel necesario de valor y criticidad de lainformacin de respaldo, as como la frecuencia en donde debernreflejarse los requisitos de seguridad de la informacin involucrada y laimportancia de la operacin continua de la Institucin.

Los respaldos se debern almacenar en un sitio lejano con proteccinfsica, lgica y ambiental, a una distancia suficiente para escapar a

cualquier dao causado por desastres. Los procedimientos de restauracin como los medios de respaldo, se

verificarn y probarn peridicamente para garantizar la disponibilidad de lainformacin en caso de contingencia o desastre.

Los funcionarios del rea de Sistemas sern los responsables de generarlas copias de respaldo de los servidores de red y Bases de Datos, o demsservicios identificados como crticos, en horas no laborables para la entidad.

La copia de respaldo deber tener el mismo tratamiento y manejo conformeel nivel de clasificacin de la informacin contenida.

Usos no autorizados

Cada funcionario del COPNIA ser el responsable de mantener lainformacin de su computador en las carpetas creadas por el rea desistemas para el almacenamiento en la nube, para garantizar ladisponibilidad y copias de seguridad de la informacin de la Entidad.

RESPONSABILIDADES

El Responsable de Seguridad de la Informacin y el rea de Sistemas,sern los encargados de custodiar adecuadamente los medios dealmacenamiento en donde se alojada la informacin de respaldo, as comode realizar las pruebas para asegurar la disponibilidad de la informacin encaso de una contingencia.


35/59




Pg.35/59

El dueo de la informacin es responsable de definir los periodos de retenciny la frecuencia con que se hacen las copias de respaldo, con el fin degarantizar la continuidad del negocio. Dicha informacin puede consultarse enla Tabla de Retencin Documental aprobada, adems se puede ver el anlisisy detalle de la definicin de RTO y RPO para las aplicaciones crticas en elInforme de Anlisis de Impacto en el Negocio (BIA Bus iness Impact

Analysis)

Los funcionarios de cada dependencia debern mantener depurada la

informacin de las carpetas compartidas, como buena prctica para laoptimizacin de recursos de la Entidad.


Procedimiento de clasificacin y etiquetado de Informacin.

Procedimiento de Copias de Respaldo.

Procedimiento de Recuperacin en caso de interrupcin del servicio.


Se encuentra implementado un procedimiento de copias de respaldo(BackUp) en el cual se establecen los pasos a llevar a cabo para laextraccin de las copias de respaldo, as como un registro en un formatodenominado Libro de control de BACKUPS formato SI-fr-06, en donde seregistran las actividades realizadas y el consecutivo de las copias.

5.4.8. POLTICA DE TRANSFERENCIA DE INFORMACIN

ALCANCE

Mantener la seguridad en el intercambio de informacin y sistemas de informacindentro de la entidad y con cualquier otra organizacin.


36/59




Pg.36/59

OBJETIVO

Proteger el intercambio de informacin a travs del uso de los medios decomunicacin y transferencia de informacin de la Entidad.

DETALLE

La informacin del COPNIA relacionada con la topologa de la red, eldireccionamiento interno, as como las configuraciones y dems datosrelacionados con las redes y sistemas de comunicacin de la entidad, deber ser

informacin confidencial y estar bajo la responsabilidad del rea de Sistemas.

Todo intercambio de informacin o interaccin entre sistemas de informacin conotras entidades, deber estar soportado con un contrato o acuerdo formalizado ycon el visto bueno del Responsable de Seguridad de la Informaciny el rea deSistemas.


El rea de Sistemas se encargar de implementar herramientas de

deteccin y proteccin para salvaguardar adecuadamente la informacin,garantizando as la confidencialidad, integridad y autenticidad de lainformacin.

Los usuarios sern responsables de no abandonar informacin sensible ocrtica en los equipos de impresin, facsmiles, entre otros medios dereproduccin.

Los funcionarios y terceras partes evitarn tener conversacionesconfidenciales en lugares pblicos, oficinas abiertas, lugares de reunin

social para evitar su escucha o interceptacin de la informacin noautorizada.

El COPNIA establecer acuerdos formales para el intercambio deinformacin y de sistemas de informacin con otras entidades. Estosacuerdos sern de obligatorio cumplimiento.


37/59




Pg.37/59

Cuando se requiera conectar la red o los sistemas de informacin delCOPNIA con la red o sistemas de otra entidad, esta solicitud deber serestudiada y avalada por el Responsable de Seguridad de la Informacin,incluyendo un anlisis de los posibles riesgos asociados y posteriormentedebe escalarse con el Comit de Seguridadpara su respectiva aprobacin,considerando siempre la necesidad de apoyar la misin del COPNIA.

Se debe proteger la informacin involucrada en transacciones en lnea, paraevitar la transmisin incompleta, rutas equivocadas, alteracin y

divulgacin.

Los acuerdos para el intercambio de informacin debern contener, comomnimo la siguiente informacin:

o Responsabilidades y procedimientos para controlar y notificar latransmisin y la recepcin de informacin,

o Procedimientos para garantizar la trazabilidad y no repudio,o Responsabilidades en caso de incidentes de seguridad de la informacin.o Polticas, procedimientos y normas para proteger la informacin y los

medios contenedores.

Los funcionarios que requieran transportar informacin confidencial a otrasentidades, debern hacer uso de transporte o servicios de mensajeraconfiables, que garanticen la confiabilidad de la informacin.

La informacin confidencial y sensible deber permanecer cuando seanecesario en espacios cerrados con llave, entrega en mano, embalaje consellos de seguridad, entre otros mecanismos de seguridad requeridos para

proteger la informacin.

La informacin que fsicamente deber ser movilizada, estar debidamenteidentificada, marcada y clasificada, conforme a lo establecido en losprocedimientos de clasificacin y etiquetado de informacin.


38/59




Pg.38/59

RESPONSABILIDADES

Todos los funcionarios, colaboradores y terceros que transmitaninformacin debern cumplir la presente poltica.

El Responsable de Seguridad de la Informacin o persona delegada encoordinacin con el rea de Sistemas, sern los responsables deimplementar todos los controles de seguridad identificados para proteger laintegridad, disponibilidad y confidencialidad de la informacin a ser

transferida.

El funcionario encargado de la transmisin de la informacin, velar porquese generen registros de las actividades realizadas, especialmente en loscasos de tratarse de informacin confidencial o crtica de la entidad.


Procedimiento de transferencia de informacin

Procedimiento de clasificacin y etiquetado de informacin


Se implementarn herramientas y dispositivos de seguridad que permitanproteger la integridad, disponibilidad y confidencialidad de la informacin enel momento de ser transferida.

La firma de los acuerdos de confidencialidad entre las partes, garantiza latotal reserva de la informacin, as como los alcances frente al tratamiento ydivulgacin de la informacin.

La contratacin de empresas de mensajera confiables, que garanticen totalreserva en el envo de informacin sensible o critica para la entidad.


ISO 30300: Informacin y documentacin. Sistemas de gestin para losdocumentos. Fundamentos y vocabulario.


39/59




Pg.39/59

5.4.9. POLTICA DE DESARROLLO SEGURO DE SOFTWARE

ALCANCE

Mantener la seguridad del software y sistemas de informacin desarrollados en elCOPNIA.

OBJETIVO

Establecer y aplicar reglas para el desarrollo de software y de sistemas deinformacin, desarrollados al interior del COPNIA

DETALLE

Para el desarrollo del Software y de los sistemas de informacin seguro, esimportante que los responsables y personas involucradas dentro del procesotengan en cuenta lineamientos y buenas prcticas que permitan un adecuadomanejo de la informacin y la preservacin de un nivel de seguridad ptimo.


Se planear la metodologa a utilizar y el cronograma de etapas deldesarrollo del software o sistema de informacin, teniendo en cuenta losrequerimientos de la Entidad y las necesidades para el cumplimientomisional institucional del COPNIA.

Se deber generar por parte de los usuarios autorizados lasespecificaciones funcionales y no funcionales de los sistemas deinformacin, definiendo los requisitos sobre la calidad, seguridad yfuncionalidad del cdigo.

Una vez se haya realizado el desarrollo del cdigo, se deber validar lascondiciones y tipos de pruebas a realizar, con el fin de revisar lafuncionalidad y requerimientos descritos, entre ellos los de seguridad.


40/59




Pg.40/59

El rea de Sistemas y el Responsable de seguridad de la informacindebern validar los criterios de aceptacin, con sus respectivas pruebaspara detectar cdigos maliciosos o troyanos, puertas traseras, entre otros.

El COPNIA realizar los acuerdos sobre licencias, propiedad de los cdigosy derechos de propiedad intelectual con respecto al desarrollo de loscdigos fuentes y usabilidad contratados o desarrollados internamente.

Todo cambio que se realice, deber cumplir con la poltica de gestin de

cambios, y as mismo con el procedimiento de control de cambios.RESPONSABILIDADES

El rea de Sistemas al igual que el Responsable de Seguridad de laInformacin, sern los encargados de realizar la supervisin del desarrolloconforme a los parmetros planeados, requerimientos realizados, y criteriosde aceptacin.

Los usuarios del software o sistemas de informacin, debern realizar lassolicitudes de desarrollo o modificacin de manera formal al rea deSistemas.


Procedimiento de clasificacin y etiquetado de informacin

Procedimiento para autorizacin de instalacin de Software

Procedimiento de control de cambios


Se establecer unametodologa y cronograma de desarrollo, con el fin deconocer el alcance y requerimientos detallados.

El rea de Sistemas y el Responsable de Seguridad de la Informacin,realizarn la respectiva revisin de funcionamiento y documentacin delcdigo, as como los criterios de aceptacin, con el fin de evitar vulnerar laseguridad de la Entidad.


41/59




Pg.41/59

Se llevar a cabo un control de versiones por parte del desarrollador y laspruebas de funcionamiento necesarias, para asegurar el buenfuncionamiento del software o sistema de informacin.


ISO 9126 - estndar internacional para la evaluacin del Software, fueoriginalmente desarrollado en 1991 para proporcionar un esquema para laevaluacin de calidad del software

La norma ISO 8402 Gestin y garanta de Calidad, evaluar la calidad durante eldesarrollo de un software desde un punto de vista general

ISO / 12207-1995 - PROCESO DEL CICLO DE VIDA DEL SOFTWARE,Establece un proceso de ciclo de vida para el software que incluye procesos yactividades que se aplican desde la definicin de requisitos, pasando por laadquisicin y configuracin de los servicios del sistema, hasta la finalizacin de suuso.

Estndar ISO 9126 del IEEE y la Mantenibilidad, identificar los atributos claves

de calidad para el software: funcionabilidad, fiabilidad, usabilidad, eficiencia,Mantenibilidad y portabilidad.

Capability Maturity Model Integration (CMMI),sistema degestin organizacionalenfocado en la mejora continua del producto o servicio en todo su ciclo de vida,involucrandomarketing,compras,diseo,fabricacin y entrega.

5.4.10. POLTICA DE SEGURIDAD DE LA INFORMACIN PARARELACIONES CON PROVEEDORES

ALCANCE

Minimizar los riesgos asociados al acceso de los activos de informacin por partede los proveedores de la Entidad.
http://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtmlhttp://www.monografias.com/trabajos15/sistemas-control/sistemas-control.shtmlhttp://www.monografias.com/trabajos16/proyecto-inversion/proyecto-inversion.shtml#CICLOhttp://www.monografias.com/Administracion_y_Finanzas/Marketing/http://www.monografias.com/trabajos5/elciclo/elciclo.shtmlhttp://www.monografias.com/trabajos13/diseprod/diseprod.shtmlhttp://www.monografias.com/trabajos13/diseprod/diseprod.shtmlhttp://www.monografias.com/trabajos5/elciclo/elciclo.shtmlhttp://www.monografias.com/Administracion_y_Finanzas/Marketing/http://www.monografias.com/trabajos16/proyecto-inversion/proyecto-inversion.shtml#CICLOhttp://www.monografias.com/trabajos15/sistemas-control/sistemas-control.shtmlhttp://www.monografias.com/trabajos11/teosis/teosis.shtml


42/59




Pg.42/59

OBJETIVO

Asegurar que los controles de seguridad asociados al acceso de los proveedoresa los activos de informacin de la Entidad, se implementen, operen y mantengan.

DETALLE

Cuando exista la necesidad de otorgar acceso a terceras partes a informacin dela entidad, el Responsable de Seguridad de la Informacin o delegado y elPropietario de la Informacin, llevarn a cabo una evaluacin de riesgos para

identificar los requerimientos de controles especficos.


Para brindar el acceso a la informacin de la entidad por parte deproveedores, se deber tener en cuenta los siguientes parmetros:

o El tipo de acceso requerido (fsico/lgico y a qu recurso).o Los motivos para los cuales se solicita el acceso.o El valor de la informacin y su clasificacin.o Los controles empleados por la tercera parte.o La incidencia de este acceso en la seguridad de la informacin.o Los controles, requerimientos de seguridad y compromisos de

confidencialidad aplicables, restringiendo los permisos a otorgar.

En ningn caso se otorgar acceso a proveedores a las instalaciones deprocesamiento o reas crticas, hasta no haber implementado los controlesde seguridad y se haya firmado un contrato o acuerdo que defina lascondiciones de acceso.

El responsable de la informacin, realizar un monitoreo y revisin de losservicios de proveedores para asegurar que se cumplan los trminos ycondiciones acordados.

Dentro de los contratos o acuerdos celebrados con los proveedores querequieran acceder a la informacin de la entidad, se deber establecer el


43/59




Pg.43/59

cumplimiento de las polticas de seguridad, proteccin de activos,proteccin de datos, autorizacin de acceso, administracin de cambios oaquellas consideradas relevantes para garantizar un adecuadoaseguramiento de la informacin.

RESPONSABILIDADES

Todos los funcionarios, colaboradores y proveedores que tengan acceso ala informacin debern cumplir con la presente poltica.

El responsable de la informacin, deber velar por el cumplimiento de losservicios contratados, as como requerimientos de controles especficos delresultado de la valoracin de riesgos.

No se permitir el acceso a la informacin y sistemas de informacin de losproveedores antes de la firma del contrato o acuerdo que defina lascondiciones para la conexin o acceso, as mismo, posterior a laimplementacin de los controles identificados como necesarios para laproteccin de la informacin.


Procedimiento de transferencia de informacin

Procedimiento de etiquetado y clasificacin de informacin


Se implementarn los controles de seguridad identificados en el estudio deriesgos para asegurar la proteccin de la informacin.

Se firmar los acuerdos de confidencialidad entre las partes, que garantizala confidencialidad de la informacin, as como los alcances frente altratamiento y divulgacin de la informacin.


44/59




Pg.44/59

Se realizar monitoreo y revisin de los servicios para asegurar que secumplan los trminos y condiciones de seguridad, y el manejo apropiado dela informacin.



5.4.11. POLTICA DE PROTECCIN DE DATOS PERSONALES

ALCANCE

Establecer las medidas necesarias para garantizar la seguridad de los datos decarcter personal, evitando su posible adulteracin, prdida, consulta, uso oacceso no autorizado o fraudulento.

OBJETIVO

Garantizar la privacidad y proteccin adecuada de las bases de datos, los centros

de tratamiento de informacin, equipos, sistemas, programas y personas queintervengan en el tratamiento de datos personales por medio de mecanismos deseguridad.

DETALLE

Para el tratamiento de la informacin, es importante identificar las personas queintervienen durante el tratamiento de la misma. Dentro de las personasidentificadas se encuentra:

1) Responsable del Archivo: es responsable de que los datos personalessean tratados con la seguridad e integridad necesaria y sus funciones yobligaciones sern asumidas por las personas que se deleguen.

2) Responsable de Seguridad: el Responsable del Archivo delega elseguimiento de sus principales obligaciones y deberes como personaencargada de la verificacin del cumplimiento de las obligaciones deSeguridad.


45/59




Pg.45/59

3) Usuarios de los archivos: es el personal que habitualmente utiliza elsistema de informacin de acceso a los activos de informacin, como partede sus obligaciones laborales.

4) Titular: Persona natural cuyos datos personales sean objeto deTratamiento;


Los funcionarios debern acceder nicamente a los datos que se requieran

para el desarrollo de las funciones, guardando estricta reserva y nodivulgarlos ms all de lo estrictamente necesario.

Cualquier incidente ocurrido en el manejo de los datos de carcter personalser comunicado de acuerdo con lo indicado en el procedimiento deReporte y Gestin de incidentes de seguridad.

Los funcionarios del COPNIA no debern retirar de la entidad ninguna clasede datos sin autorizacin expresa del Responsable de Seguridad y delResponsable del Archivo.

Se debern borrar peridicamente los archivos que contengan datos decarcter personal y que no sean requeridos para el desarrollo de lasactividades dentro de la Entidad.

Los archivos que contengan datos de carcter personal, que vayan a serdesechados o reutilizados, debern proteger la informacin mediantemecanismos de destruccin ptimos que impidan la recuperacin de lainformacin.

Antes de generar archivos que contengan datos personales se debergestionar la autorizacin (evidenciable) de los titulares de los datos, endonde se establezca la finalidad y tipos de datos.


46/59




Pg.46/59

El Responsable de la informacin, ser el encargado de decidir sobre lafinalidad, contenido y uso de los datos personales, as como el tratamientofuera de las instalaciones.

El Responsable de la informacin en coordinacin con el Responsable deSeguridad, velar por la actualizacin constante de las listas de acceso alos sistemas de informacin que procesen o almacenen datos personales,estableciendo los mecanismos apropiados para garantizar la seguridad delos datos de carcter personal y evitar su alteracin, prdida, tratamiento o

acceso no autorizado.

El Responsable de la informacin, deber gestionar y resolver laspeticiones de acceso, rectificacin o cancelacin de los datos personalesrealizadas por los titulares. As como, comunicar a los titulares las variantesexistentes con respecto al procesamiento o almacenamiento de los datosde carcter personal.

El Responsable de Seguridad verificar que las medidas de seguridad fsicay lgica implementadas para proteger los datos de carcter personal seanacordes con las necesidades de la Entidad y los riesgos identificados.

RESPONSABILIDADES

Conocer y cumplir las polticas internas en materia de seguridad, yespecialmente la referente a proteccin de datos de carcter personal.

Utilizar los controles y medidas que se hayan establecido para protegertanto los datos de carcter personal como los propios sistemas de

informacin y sus componentes.

No intentar saltar los mecanismos y dispositivos de seguridad, evitarcualquier intento de acceso no autorizado a datos o recursos, informar deposibles debilidades en los controles.


47/59




Pg.47/59


Procedimiento de Reportes y Gestin de incidentes de seguridad

Procedimiento de Recoleccin y Administracin de Evidencia

Procedimiento de clasificacin y etiquetado de la Informacin


Los datos personales no se debern transmitir a terceros o entidades queno proporcionen niveles adecuados de proteccin de datos, y los cuales no

hayan sido autorizados para su tratamiento.

Se realizarn auditoras peridicas para verificar el cumplimiento de loscontroles de seguridad, as como el cumplimiento de la presente poltica.

La firma de los acuerdos de confidencialidad entre las partes, que garantizala total reserva de la informacin, as como los alcances frente altratamiento de los datos personales.

La actualizacin constante de las listas de acceso autorizado a los sistemasde informacin, implementacin de mecanismos apropiados para garantizarla seguridad de los datos de carcter personal y evitar su alteracin,prdida, tratamiento o acceso no autorizado



5.4.12. POLTICA DE USO DE INTERNET

ALCANCE

Proteger la informacin de la Entidad haciendo uso de buenas prcticas deseguridad en el uso del Internet.
http://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdfhttp://www.mcu.es/archivos/docs/Norma_UNE_ISO_30300_2011.pdf


48/59




Pg.48/59

OBJETIVO

Generar los mecanismos apropiados para el buen uso del servicio de internet porparte de los funcionarios del COPNIA, para la proteccin de la informacin de laEntidad.

DETALLE


Las nuevas amenazas cibernticas son uno de los principales riesgos deseguridad para los sistemas de informacin, por tal razn se debern tomar lassiguientes precauciones de seguridad sobre la utilizacin de Internet:

Todos los funcionarios del COPNIA, tendrn la obligacin a darcumplimiento a la Ley 679 de 2001, acatando las prohibiciones que le hansido impuestas. Por consiguiente se obligan a no utilizar los servicios,redes y sistemas del COPNIA que impliquen directa o indirectamente, bajaro consultar informacin de actividades sexuales y/o material pornogrfico.

El spam o correo basura son los mensajes no deseados que hacenreferencia a publicidad pudiendo adems contener virus; estos mensajesdebern eliminarse sin ser ledos para evitar el aumento de la cantidad delcorreo basura en el buzn as como la posibilidad de intrusin de virus en elsistema.

Se usar regularmente el antivirus para revisar la informacin procedentede internet y se verificar peridicamente su actualizacin, con lacolaboracin del rea de Sistemas, quienes prestarn apoyo para tal fin.

El rea de Sistemas activar las actualizaciones de los sistemas deinformacin de forma automtica, las cuales contribuyen con la proteccinde los equipos ante ataques de virus provenientes de Internet.


49/59




Pg.49/59

Usos no autorizados

No se utilizar canales de chat o grupos sociales como Facebook,Twiter, Youtube, Google+, etc, en horario laboral con fines personales sinprevia autorizacin del COPNIA.

No se descargar de Internet, ni se alojar en los discos duros de losequipos de cmputo informacin como msica, videos, ni software sinlicencia (a nombre del COPNIA).

No se descargar informacin de sitios web de los que no se tengareferencias de seriedad, o que no sean medianamente conocidos. Si sedescarga informacin, archivos, los mismos se debern revisar con elantivirus actualizado antes de realizar cualquier tipo de actividad.

No se podr realizar el intercambio de informacin de propiedad delCOPNIA y/o de sus funcionarios con terceros, a menos que exista unaautorizacin por parte del responsable del archivo o en su defecto elresponsable de seguridad de la informacin o contrato de por medio queautorice el intercambio de informacin.

RESPONSABILIDADES

Los funcionarios del COPNIA son responsables del uso adecuado de losrecursos y en ningn momento pueden realizar prcticas ilcitas o malintencionadas que atenten contra terceros o contra los lineamientos deseguridad de la informacin.

El Responsable de Seguridad de la Informacin y el rea de Sistemas,sern los encargados de velar por el cumplimiento de la presente poltica

haciendo uso de monitoreo del servicio e implementacin de losmecanismos de seguridad adecuados.

El Responsable de Seguridad de la Informacin en coordinacin con elrea de Talento Humano ser el encargado de capacitar a todos losfuncionarios del COPNIA en buenas prcticas de seguridad.


50/59




Pg.50/59


Procedimiento de actualizacin e instalacin de Software.

Procedimiento de Creacin, modificacin y cancelacin de usuarios yprivilegios.


Monitoreo permanente de tiempos de navegacin y pginas visitadas porparte de los funcionarios y/o terceros.

Se contar con las herramientas adecuadas para controlar el acceso ynavegacin de Internet.

Eliminacin peridica de las cookies y archivos temporales almacenados enlos navegadores de los funcionarios del COPNIA.

5.4.13. POLTICA DE USO DE CORREO ELECTRNICO

ALCANCE

Asegurar la integridad, disponibilidad y confidencialidad de la informacincontenida o emitida del correo electrnico institucional de los funcionarios delCOPNIA.

OBJETIVO

Generar los controles necesarios para preservar la disponibilidad, integridad ydisponibilidad de la informacin de la entidad transmitida, recibida y/o almacenadaen el correo electrnico.

DETALLE


El usuario y contrasea del correo electrnico de cada funcionario delCOPNIA es personal e intransferible, por lo tanto el uso y manejo esresponsabilidad absoluta del funcionario.


51/59




Pg.51/59

La informacin emitida y transmitida por el correo electrnico de cadafuncionario es responsabilidad nica y exclusiva del usuario.

En el caso de que a cualquier usuario le llegue una comunicacin o correoelectrnico sospechoso, de alguien desconocido o spam, deber reportarlode inmediato, sin abrirlo, al correo electrnico de soporte del COPNIA.

El COPNIA se reserva el derecho a auditar y vigilar los correos electrnicosinstitucionales para garantizar que sea utilizada slo para propsitos

laborales. Estas auditoras se realizarn peridicamente, al azar o cuandoexista una investigacin sobre una situacin en particular.

En caso que un usuario olvide su contrasea deber notificarlo al rea desoporte para su recuperacin o cambio.

El servicio de correo electrnico slo estar vigente mientras losfuncionarios tengan relacin laboral con el COPNIA, una vez culmine larelacin el rea de Sistemas eliminar los accesos despus de recibido elcomunicado del rea de Talento Humano.

Usos no autorizados

Se prohbe el envo por fuera de la Entidad de informacin confidencial pormedio del correo electrnico sin autorizacin o el consentimiento delremitente original.

No se utilizar la cuenta de correo electrnico suministrada por elCOPNIA, para asuntos personales.

Se prohbe el envo de mensajes de correo electrnico en donde sedivulgue, comente o exprese hechos, opiniones o asuntos internos delCOPNIA que puedan afectar la reputacin, seguridad e imagen de laEntidad.


52/59


si-mp-01 manual de seguridad de la información copnia.pdf

Documents