Está en la página 1de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA INFORMACIN

INSTITUTO COLOMBIANO DE CRDITO EDUCATIVO Y ESTUDIOS TCNICOS EN


EL EXTERIOR

Octubre 2014

Cdigo:
Versin: 3
Fecha:
Pgina: 2 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Contenido
1.

INTRODUCCION.................................................................................................................................... 7

2.

OBJETIVO.............................................................................................................................................. 7

3.

ALCANCE .............................................................................................................................................. 7

4.

DEFINICIONES....................................................................................................................................... 8

5.

POLTICA GLOBAL DE SEGURIDAD DE LA INFORMACIN ..................................................................11

6.

COMPROMISO DE LA DIRECCION ......................................................................................................12

7.

SANCIONES PARA LAS VIOLACIONES A LAS POLTICAS DE SEGURIDAD DE LA INFORMACIN .........12

8.

POLTICAS DE LA ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN ....................................13

8.1.

POLTICA DE ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE LA INFORMACION......................13

8.1.1. Normas que rigen para la estructura organizacional de seguridad de la informacin ......................13
8.2.

POLITICA PARA USO DE DISPOSITIVOS MOVILES...............................................................................15

8.2.1. Normas para uso de dispositivos mviles ..........................................................................................15


8.3.

POLITICA PARA USO DE CONEXIONES REMOTAS ..............................................................................17

8.3.1. Normas para uso de conexiones remotas .........................................................................................17


9.

POLTICAS DE SEGURIDAD DEL PERSONAL ........................................................................................18

9.1.

POLTICA RELACIONADA CON LA VINCULACIN DE FUNCIONARIOS ................................................18

9.1.1. Normas relacionadas con la vinculacin de funcionarios ..................................................................18


9.2.

POLTICA APLICABLE DURANTE LA VINCULACION DE FUNCIONARIOS Y PERSONAL PROVISTO POR


TERCEROS ...........................................................................................................................................19

9.2.1. Normas aplicables durante la vinculacin de funcionarios y personal provisto por terceros...........19

Cdigo:
Versin: 3
Fecha:
Pgina: 3 de 73

9.3.

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

POLTICA DE DESVINCULACIN, LICENCIAS, VACACIONES O CAMBIO DE LABORES DE LOS


FUNCIONARIOS Y PERSONAL PROVISTO POR TERCEROS ..................................................................20

9.3.1. Normas para la desvinculacin, licencias, vacaciones o cambios de labores de los funcionarios y
personal provisto por terceros ..........................................................................................................20
10.

POLTICAS DE GESTIN DE ACTIVOS DE INFORMACIN ...................................................................21

10.1.

POLTICA DE RESPONSABILIDAD POR LOS ACTIVOS ..........................................................................21

10.1.1. Normas de responsabilidad por los activos .......................................................................................22


10.2.

POLTICA DE CLASIFICACIN Y MANEJO DE LA INFORMACIN .........................................................24

10.2.1. Normas para la clasificacin y manejo de la informacin .................................................................24


10.3.

POLITICA PARA USO DE TOKENS DE SEGURIDAD ..............................................................................26

10.3.1. Normas para uso de tokens de seguridad .........................................................................................27


10.4.

POLTICA DE USO DE PERIFERICOS Y MEDIOS DE ALMACENAMIENTO .............................................29

10.4.1. Normas uso de perifricos y medios de almacenamiento ................................................................29


11.

POLTICAS DE CONTROL DE ACCESO ..................................................................................................30

11.1.

POLTICA DE ACCESO A REDES Y RECURSOS DE RED .........................................................................30

11.1.1. Normas de acceso a redes y recursos de red ....................................................................................30


11.2.

POLTICA DE ADMINISTRACIN DE ACCESO DE USUARIOS ...............................................................31

11.2.1. Normas de administracin de acceso de usuarios ...........................................................................31


11.3.

POLTICA DE RESPONSABILIDADES DE ACCESO DE LOS USUARIOS ...................................................33

11.3.1. Normas de responsabilidades de acceso de los usuarios ..................................................................33


11.4.

POLTICA DE USO DE ALTOS PRIVILEGIOS Y UTILITARIOS DE ADMINISTRACION...............................33

11.4.1. Normas de uso de altos privilegios y utilitarios de administracin ...................................................33


11.5.

POLTICA DE CONTROL DE ACCESO A SISTEMAS Y APLICATIVOS ......................................................35

Cdigo:
Versin: 3
Fecha:
Pgina: 4 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

11.5.1. Normas de control de acceso a sistemas y aplicativos ......................................................................35


12.

POLTICAS DE CRIPTOGRAFIA.............................................................................................................37

12.1.

POLTICA DE CONTROLES CRIPTOGRAFICOS ......................................................................................37

12.1.1. Normas de controles criptogrficos...................................................................................................37


13.

POLTICAS DE SEGURIDAD FISICA Y MEDIOAMBIENTAL ....................................................................38

13.1.

POLTICA DE AREAS SEGURAS ............................................................................................................38

13.1.1. Normas de reas seguras ...................................................................................................................38


13.2.

POLTICA DE SEGURIDAD PARA LOS EQUIPOS INSTITUCIONALES .....................................................41

13.2.1. Normas de seguridad para los equipos institucionales .....................................................................41


14.

POLITICAS DE SEGURIDAD EN LAS OPERACIONES .............................................................................44

14.1.

POLTICA DE ASIGNACIN DE RESPONSABILIDADES OPERATIVAS ....................................................44

14.1.1. Normas de asignacin de responsabilidades operativas ...................................................................45


14.2.

POLTICA DE PROTECCIN FRENTE A SOFTWARE MALICIOSO ..........................................................45

14.2.1. Normas de proteccin frente a software malicioso ..........................................................................46


14.3.

POLTICA DE COPIAS DE RESPALDO DE LA INFORMACIN ................................................................47

14.3.1. Normas de copias de respaldo de la informacin .............................................................................47


14.4.

POLTICA DE REGISTRO DE EVENTOS Y MONITOREO DE LOS RECURSOS TECNOLGICOS Y LOS


SISTEMAS DE INFORMACIN .............................................................................................................48

14.4.1. Normas de registro de eventos y monitoreo de los recursos tecnolgicos y los sistemas de
informacin ........................................................................................................................................48
14.5.

POLITICA DE CONTROL AL SOFTWARE OPERATIVO ...........................................................................50

14.5.1. Normas de control al software operativo ..........................................................................................50


14.6.

POLTICA DE GESTIN DE VULNERABILIDADES..................................................................................50

Cdigo:
Versin: 3
Fecha:
Pgina: 5 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

14.6.1. Normas para la gestin de vulnerabilidades .....................................................................................51


15.

POLTICAS DE SEGURIDAD EN LAS COMUNICACIONES......................................................................51

15.1.

POLTICA DE GESTION Y ASEGURAMIENTO DE LAS REDES DE DATOS ..............................................51

15.1.1. Normas de gestin y aseguramiento de las redes de datos ..............................................................52


15.2.

POLTICA DE USO DEL CORREO ELECTRONICO ..................................................................................53

15.2.1. Normas de uso del correo electrnico...............................................................................................53


15.3.

POLTICA DE USO ADECUADO DE INTERNET .....................................................................................54

15.3.1. Normas de uso adecuado de internet ...............................................................................................54


15.4.

POLTICA DE INTERCAMBIO DE INFORMACIN .................................................................................56

15.4.1. Normas de intercambio de informacin ............................................................................................56


16.

POLTICAS DE ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN .59

16.1.

POLTICA PARA EL ESTABLECIMIENTO DE REQUISITOS DE SEGURIDAD ............................................59

16.1.1. Normas para el establecimiento de requisitos de seguridad ............................................................59


16.2.

POLTICA DE DESARROLLO SEGURO, REALIZACION DE PRUEBAS Y SOPORTE DE LOS SISTEMAS .....60

16.2.1. Normas de desarrollo seguro, realizacin de pruebas y soporte de los sistemas .............................61
16.3.

POLTICA PARA LA PROTECCION DE LOS DATOS DE PRUEBA ............................................................64

16.3.1. Normas para la proteccin de los datos de prueba ...........................................................................64


17.

POLTICAS QUE RIGEN DE LA RELACION CON TERCERAS PARTES .....................................................64

17.1.

POLTICA DE INCLUSION DE CONDICIONES DE SEGURIDAD EN LA RELACIN CON TERCERAS PARTES


...........................................................................................................................................................64

17.1.1. Normas de inclusin de condiciones de seguridad en la relacin con terceras partes .....................64
17.2.

POLTICA DE GESTION DE LA PRESTACION DE SERVICIOS DE TERCERAS PARTES..............................66

17.2.1. Normas de gestin de la prestacin de servicios de terceras partes ................................................66

Cdigo:
Versin: 3
Fecha:
Pgina: 6 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

18.

POLTICAS DE GESTIN DE INCIDENTES DE SEGURIDAD ...................................................................67

18.1.

POLTICA PARA EL REPORTE Y TRATAMIENTO DE INCIDENTES DE SEGURIDAD ................................67

18.1.1. Normas para el reporte y tratamiento de incidentes de seguridad ..................................................67


19.

POLTICAS DE INCLUSION DE SEGURIDAD DE LA INFORMACION EN LA GESTIN DE LA


CONTINUIDAD DEL NEGOCIO ............................................................................................................68

19.1.

POLTICA DE CONTINUIDAD, CONTINGENCIA, RECUPERACIN Y RETORNO A LA NORMALIDAD CON


CONSIDERACIONES DE SEGURIDAD DE LA INFORMACION ...............................................................68

19.1.1. Normas de continuidad, contingencia, recuperacin y retorno a la normalidad con consideraciones


de seguridad de la informacin .........................................................................................................69
19.2.

POLTICA DE REDUNDANCIA ..............................................................................................................70

19.2.1. Normas de redundancia.....................................................................................................................70


20.

POLTICAS DE CUMPLIMIENTO ..........................................................................................................70

20.1.

POLTICA DE CUMPLIMIENTO CON REQUISITOS LEGALES Y CONTRACTUALES .................................70

20.1.1. Normas de cumplimiento con requisitos legales y contractuales .....................................................71


20.2.

POLTICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES ..................................................71

20.2.1. Normas de privacidad y proteccin de datos personales ..................................................................72

Cdigo:
Versin: 3
Fecha:
Pgina: 7 de 73

1.

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

INTRODUCCION

El Instituto Colombiano de Crdito Educativo y Estudios Tcnicos en el Exterior ICETEX


identifica la informacin como un componente indispensable en la conduccin y
consecucin de los objetivos definidos por la estrategia de la entidad, razn por la cual es
necesario que el instituto establezca un marco en el cual se asegure que la informacin es
protegida de una manera adecuada independientemente de la forma en la que sta sea
manejada, procesada, transportada o almacenada.
Este documento describe las polticas y normas de seguridad de la informacin definidas
por el ICETEX. Para la elaboracin del mismo, se toman como base las leyes y dems
regulaciones aplicables, el captulo dcimo segundo del ttulo primero de la Circular Bsica
Jurdica de la Superintendencia Financiera de Colombia, la norma ISO 27001:2013 y las
recomendaciones del estndar ISO 27002:2013.
Las polticas incluidas en este manual se constituyen como parte fundamental del sistema
de gestin de seguridad de la informacin del ICETEX y se convierten en la base para la
implantacin de los controles, procedimientos y estndares definidos.
La seguridad de la informacin es una prioridad para el ICETEX y por tanto es
responsabilidad de todos velar por que no se realicen actividades que contradigan la
esencia y el espritu de cada una de estas polticas.

2.

OBJETIVO
El objetivo de este documento es establecer las polticas en seguridad de la informacin del
ICETEX, con el fin de regular la gestin de la seguridad de la informacin al interior de la
entidad.

3.

ALCANCE
Las polticas de seguridad de la informacin cubren todos los aspectos administrativos y de
control que deben ser cumplidos por los directivos, funcionarios y terceros que laboren o
tengan relacin con el ICETEX, para conseguir un adecuado nivel de proteccin de las
caractersticas de seguridad y calidad de la informacin relacionada.

Cdigo:
Versin: 3
Fecha:
Pgina: 8 de 73

4.

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

DEFINICIONES
Activo de informacin: cualquier componente (humano, tecnolgico, software,
documental o de infraestructura) que soporta uno o ms procesos de negocios del instituto
y, en consecuencia, debe ser protegido.
Acuerdo de Confidencialidad: es u documento en los que los funcionarios del ICETEX o
los provistos por terceras partes manifiestan su voluntad de mantener la confidencialidad de
la informacin del instituto, comprometindose a no divulgar, usar o explotar la informacin
confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro de la
misma.
Anlisis de riesgos de seguridad de la informacin: proceso sistemtico de
identificacin de fuentes, estimacin de impactos y probabilidades y comparacin de dichas
variables contra criterios de evaluacin para determinar las consecuencias potenciales de
prdida de confidencialidad, integridad y disponibilidad de la informacin.
Autenticacin: es el procedimiento de comprobacin de la identidad de un usuario o
recurso tecnolgico al tratar de acceder a un recurso de procesamiento o sistema de
informacin.
Capacity Planning: es el proceso para determinar la capacidad de los recursos de la
plataforma tecnolgica que necesita la entidad para satisfacer las necesidades de
procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado.
Centros de cableado: son habitaciones donde se debern instalar los dispositivos de
comunicacin y la mayora de los cables. Al igual que los centros de cmputo, los centros
de cableado deben cumplir requisitos de acceso fsico, materiales de paredes, pisos y
techos, suministro de alimentacin elctrica y condiciones de temperatura y humedad.
Centro de cmputo: es una zona especfica para el almacenamiento de mltiples
computadores para un fin especfico, los cuales se encuentran conectados entre s a travs
de una red de datos. El centro de cmputo debe cumplir ciertos estndares con el fin de
garantizar los controles de acceso fsico, los materiales de paredes, pisos y techos, el
suministro de alimentacin elctrica y las condiciones medioambientales adecuadas.
Cifrado: es la transformacin de los datos mediante el uso de la criptografa para producir
datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una tcnica muy
til para prevenir la fuga de informacin, el monitoreo no autorizado e incluso el acceso no
autorizado a los repositorios de informacin.
Confidencialidad: es la garanta de que la informacin no est disponible o divulgada a
personas, entidades o procesos no autorizados.

Cdigo:
Versin: 3
Fecha:
Pgina: 9 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye


policas, procedimientos, guas, estructuras organizacionales y buenas prcticas, que
pueden ser de carcter administrativo, tecnolgico, fsico o legal.
Criptografa: es la disciplina que agrupa a los principios, medios y mtodos para la
transformacin de datos con el fin de ocultar el contenido de su informacin, establecer su
autenticidad, prevenir su modificacin no detectada, prevenir su repudio, y/o prevenir su
uso no autorizado.
Custodio del activo de informacin: es la unidad organizacional o proceso, designado
por los propietarios, encargado de mantener las medidas de proteccin establecidas sobre
los activos de informacin confiados.
Derechos de Autor: es un conjunto de normas y principios que regulan los derechos
morales y patrimoniales que la ley concede a los autores por el solo hecho de la creacin
de una obra literaria, artstica o cientfica, tanto publicada o que todava no se haya
publicado.
Disponibilidad: es la garanta de que los usuarios autorizados tienen acceso a la
informacin y a los activos asociados cuando lo requieren.
Equipo de cmputo: dispositivo electrnico capaz de recibir un conjunto de instrucciones y
ejecutarlas realizando clculos sobre los datos numricos, o bien compilando y
correlacionando otros tipos de informacin.
Guas de clasificacin de la informacin: directrices para catalogar la informacin de la
entidad y hacer una distincin entre la informacin que es crtica y aquella que lo es menos
o no lo es y, de acuerdo con esto, establecer diferencias entre las medidas de seguridad a
aplicar para preservar los criterios de confidencialidad, integridad y disponibilidad de la
informacin
Hacking tico: es el conjunto de actividades para ingresar a las redes de datos y voz de la
institucin con el objeto de lograr un alto grado de penetracin en los sistemas, de forma
controlada, sin ninguna intensin maliciosa, ni delictiva y sin generar daos en los sistemas
o redes, con el propsito de mostrar el nivel efectivo de riesgo a lo cual est expuesta la
informacin, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.
Incidente de Seguridad: es un evento adverso, confirmado o bajo sospecha, que haya
vulnerado la seguridad de la informacin o que intente vulnerarla, sin importar la
informacin afectada, la plataforma tecnolgica, la frecuencia, las consecuencia, el nmero
de veces ocurrido o el origen (interno o externo).
Integridad: es la proteccin de la exactitud y estado completo de los activos.
Inventario de activos de informacin: es una lista ordenada y documentada de los

Cdigo:
Versin: 3
Fecha:
Pgina: 10 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

activos de informacin pertenecientes al instituto.


Licencia de software: es un contrato en donde se especifican todas las normas y
clusulas que rigen el uso de un determinado producto de software, teniendo en cuenta
aspectos como: alcances de uso, instalacin, reproduccin y copia de estos productos.
Medio removible: es cualquier componente extrable de hardware que sea usado para el
almacenamiento de informacin; los medios removibles incluyen cintas, discos duros
removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.
Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades
de informacin y autorizaciones idnticas sobre los recursos tecnolgicos o los sistemas de
informacin a los cuales se les concede acceso de acuerdo con las funciones realizadas.
Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro
de l.
Propiedad intelectual: es el reconocimiento de un derecho particular en favor de un autor
u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es
aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de
proteccin, incluyendo las invenciones cientficas y tecnolgicas, las producciones literarias
o artsticas, las marcas y los identificadores, los dibujos y modelos industriales y las
indicaciones geogrficas.
Propietario de la informacin: es la unidad organizacional o proceso donde se crean los
activos de informacin.
Recursos tecnolgicos: son aquellos componentes de hardware y software tales como:
servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos porttiles,
dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos,
entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias
para el buen funcionamiento y la optimizacin del trabajo al interior del ICETEX.
Registros de Auditora: son archivos donde son registrados los eventos que se han
identificado en los sistemas de informacin, recursos tecnolgicos y redes de datos del
instituto. Dichos eventos pueden ser, entre otros, identificacin de usuarios, eventos y
acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos,
cambios a la configuracin, uso de utilidades y fallas de los sistemas.
Responsable por el activo de informacin: es la persona o grupo de personas,
designadas por los propietarios, encargados de velar por la confidencialidad, la integridad y
disponibilidad de los activos de informacin y decidir la forma de usar, identificar, clasificar y
proteger dichos activos a su cargo.
SGSI: Sistema de Gestin de Seguridad de la Informacin.

Cdigo:
Versin: 3
Fecha:
Pgina: 11 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Sistema de informacin: es un conjunto organizado de datos, operaciones y


transacciones que interactan para el almacenamiento y procesamiento de la informacin
que, a su vez, requiere la interaccin de uno o ms activos de informacin para efectuar
sus tareas. Un sistema de informacin es todo componente de software ya sea de origen
interno, es decir desarrollado por el ICETEX o de origen externo ya sea adquirido por la
entidad como un producto estndar de mercado o desarrollado para las necesidades de
sta.
Sistemas de control ambiental: son sistemas que utilizan la climatizacin, un proceso de
tratamiento del aire que permite modificar ciertas caractersticas del mismo,
fundamentalmente humedad y temperatura y, de manera adicional, tambin permite
controlar su pureza y su movimiento.
Software malicioso: es una variedad de software o programas de cdigos hostiles e
intrusivos que tienen como objeto infiltrarse o daar los recursos tecnolgicos, sistemas
operativos, redes de datos o sistemas de informacin.
Terceros: todas las personas, jurdicas o naturales, como proveedores, contratistas o
consultores, que provean servicios o productos a la entidad.
Vulnerabilidades: son las debilidades, hoyos de seguridad o flaquezas inherentes a los
activos de informacin que pueden ser explotadas por factores externos y no controlables
por el instituto (amenazas), las cuales se constituyen en fuentes de riesgo.

5.

POLTICA GLOBAL DE SEGURIDAD DE LA INFORMACIN


En ICETEX la informacin es un activo fundamental para la prestacin de sus servicios y la
toma de decisiones eficientes, razn por la cual existe un compromiso expreso de
proteccin de sus propiedades ms significativas como parte de una estrategia orientada a
la continuidad del negocio, la administracin de riesgos y la consolidacin de una cultura de
seguridad.
Consciente de las necesidades actuales, ICETEX implementa un modelo de gestin de
seguridad de la informacin como la herramienta que permite identificar y minimizar los
riesgos a los cuales se expone la informacin, ayuda a la reduccin de costos operativos y
financieros, establece una cultura de seguridad y garantiza el cumplimiento de los
requerimientos legales, contractuales, regulatorios y de negocio vigentes.
Los funcionarios, personal externo, proveedores y todos aquellos que tengan
responsabilidades sobre las fuentes, repositorios y recursos de procesamiento de la
informacin del ICETEX, deben adoptar los lineamientos contenidos en el presente
documento y en los documentos relacionados con l, con el fin de mantener la
confidencialidad, la integridad y asegurar la disponibilidad de la informacin.

Cdigo:
Versin: 3
Fecha:
Pgina: 12 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Poltica Global de Seguridad de la Informacin del ICETEX se encuentra soportada por


polticas, normas y procedimientos especficos los cuales guiarn el manejo adecuado de la
informacin del instituto. Adicionalmente, se establecern polticas especficas de seguridad
de la informacin las cuales se fundamentan en los dominios y objetivos de control del
Anexo A de la norma internacional ISO 27001:2013.
El Comit de Seguridad tendr la potestad de modificar la Poltica Global o las Polticas
Especficas de Seguridad de la Informacin de acuerdo con las necesidades de revisin
establecidas peridicamente o a la aplicabilidad de las mismas.

6.

COMPROMISO DE LA DIRECCION
La Junta Directiva de ICETEX aprueba esta Poltica de Seguridad de la Informacin como
muestra de su compromiso y apoyo en el diseo e implementacin de polticas eficientes
que garanticen la seguridad de la informacin de la entidad.
La Junta Directiva y la Alta Direccin de la entidad demuestran su compromiso a travs de:
La revisin y aprobacin de las Polticas de Seguridad de la Informacin contenidas en
este documento.
La promocin activa de una cultura de seguridad.
Facilitar la divulgacin de este manual a todos los funcionarios de la entidad.
El aseguramiento de los recursos adecuados para implementar y mantener las polticas
de seguridad de la informacin.
La verificacin del cumplimiento de las polticas aqu mencionadas.

7.

SANCIONES PARA LAS VIOLACIONES A LAS POLTICAS DE SEGURIDAD


DE LA INFORMACIN
Las Polticas de Seguridad de la Informacin pretenden instituir y afianzar la cultura de
seguridad de la informacin entre los funcionarios, personal externo y proveedores del
ICETEX. Por tal razn, es necesario que las violaciones a las Polticas Seguridad de la
Informacin sean clasificadas, con el objetivo de aplicar medidas correctivas conforme con
los niveles de clasificacin definidos y mitigar posibles afectaciones contra la seguridad de
la informacin. Las medidas correctivas pueden considerar desde acciones administrativas,
hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si as lo
ameritan.

Cdigo:
Versin: 3
Fecha:
Pgina: 13 de 73

8.

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

POLTICAS DE LA ORGANIZACIN DE LA SEGURIDAD DE LA


INFORMACIN

8.1. POLTICA DE ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE LA


INFORMACION
El ICETEX establecer un esquema de seguridad de la informacin en donde existan roles
y responsabilidades definidos que consideren actividades de administracin, operacin y
gestin de la seguridad de la informacin.

8.1.1. Normas que rigen para la estructura organizacional de seguridad de la


informacin
Normas dirigidas a: ALTA DIRECCION
La Alta Direccin del ICETEX debe definir y establecer los roles y responsabilidades
relacionados con la seguridad de la informacin en niveles directivo y operativo.
La Alta Direccin debe definir y establecer el procedimiento de contacto con las
autoridades en caso de ser requerido, as como los responsables para establecer dicho
contacto.
La Alta Direccin debe revisar y aprobar las Polticas de Seguridad de la Informacin
contenidas en este documento.
La Alta Direccin debe promover activamente una cultura de seguridad de la informacin
en el instituto.
La Alta Direccin debe facilitar la divulgacin de las Polticas de Seguridad de la
Informacin a todos los funcionarios de la entidad y al personal provisto por terceras
partes.
Normas dirigidas a: ALTA DIRECCION Y SECRETARIA GENERAL
La Alta Direccin y la Secretaria General del ICETEX, deben asignar los recursos, la
infraestructura fsica y el personal necesario para la gestin de la seguridad de la
informacin del instituto.
Normas dirigidas a: COMIT DE SEGURIDAD DE LA INFORMACION

Cdigo:
Versin: 3
Fecha:
Pgina: 14 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

El Comit de Seguridad de la Informacin debe actualizar y presentar ante la Junta


Directiva las Polticas de Seguridad de la Informacin, la metodologa para el anlisis de
riesgos de seguridad y la metodologa para la clasificacin de la informacin, segn lo
considere pertinente.
El Comit de Seguridad de la Informacin debe analizar los incidentes de seguridad que
le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo
estime necesario.
El Comit de Seguridad de la Informacin debe verificar el cumplimiento de las polticas
de seguridad de la informacin aqu mencionadas.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe liderar la generacin de lineamientos para gestionar la
seguridad de la informacin del ICETEX y el establecimiento de controles tcnicos,
fsicos y administrativos derivados de anlisis de riesgos de seguridad.
La Oficina de Riesgos debe validar y monitorear de manera peridica la implantacin de
los controles de seguridad establecidos.
Normas dirigidas a: OFICINA DE CONTROL INTERNO
La Oficina de Control Interno debe planear y ejecutar las auditoras internas al Sistema
de Gestin de Seguridad de la Informacin del ICETEX a fin de determinar si las
polticas, procesos, procedimientos y controles establecidos estn conformes con los
requerimientos institucionales, requerimientos de seguridad y regulaciones aplicables.
La Oficina de Control Interno debe ejecutar revisiones totales o parciales de los procesos
o reas que hacen parte del alcance del Sistema de Gestin de Seguridad de la
Informacin, con el fin de verificar la eficacia de las acciones correctivas cuando sean
identificadas no conformidades.
La Oficina de Control Interno debe informar a las reas responsables los hallazgos de
las auditoras.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe asignar las funciones, roles y responsabilidades, a sus
funcionarios para la operacin y administracin de la plataforma tecnolgica del instituto.
Dichas funciones, roles y responsabilidades deben encontrarse documentadas y
apropiadamente segregadas.

Cdigo:
Versin: 3
Fecha:
Pgina: 15 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Normas dirigidas a: TODOS LOS USUARIOS


Los funcionarios y personal provisto por terceras partes que realicen labores en o para el
ICETEX, tienen la responsabilidad de cumplir con las polticas, normas, procedimientos y
estndares referentes a la seguridad de la informacin.
8.2. POLITICA PARA USO DE DISPOSITIVOS MOVILES
El ICETEX proveer las condiciones para el manejo de los dispositivos mviles (telfonos,
inteligentes y tabletas, entre otros) institucionales Y personales que hagan uso de servicios
del instituto. As mismo, velar porque los funcionarios hagan un uso responsable de los
servicios y equipos proporcionados por la entidad.

8.2.1. Normas para uso de dispositivos mviles


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe investigar y probar las opciones de proteccin de los
dispositivos mviles institucionales y personales que hagan uso de los servicios
provistos por el instituto.
La Direccin de Tecnologa debe establecer las configuraciones aceptables para los
dispositivos mviles institucionales o personales que hagan uso de los servicios
provistos por el ICETEX.
La Direccin de Tecnologa debe establecer un mtodo de bloqueo (por ejemplo,
contraseas, biomtricos, patrones, reconocimiento de voz) para los dispositivos mviles
institucionales que sern entregados a los usuarios. Se debe configurar estos
dispositivos para que pasado un tiempo de inactividad pasen automticamente a modo
de suspensin y, en consecuencia, se active el bloqueo de la pantalla el cual requerir el
mtodo de desbloqueo configurado.
La Direccin de Tecnologa debe activar la opcin de cifrado de la memoria de
almacenamiento de los dispositivos mviles institucionales haciendo imposible la copia o
extraccin de datos si no se conoce el mtodo de desbloqueo.
La Direccin de Tecnologa debe configurar la opcin de borrado remoto de informacin
en los dispositivos mviles institucionales, con el fin de eliminar los datos de dichos
dispositivos y restaurarlos a los valores de fbrica, de forma remota, evitando as
divulgacin no autorizada de informacin en caso de prdida o hurto.

Cdigo:
Versin: 3
Fecha:
Pgina: 16 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa debe contar con una solucin de copias de seguridad para la
informacin contenida en los dispositivos mviles institucionales de ICETEX; dichas
copias deben acogerse a la Poltica de Copias de Respaldo de la Informacin.
La Direccin de Tecnologa debe instalar un software de antivirus tanto en los
dispositivos mviles institucionales. como en los personales que hagan uso de los
servicios provistos por el instituto
La Direccin de Tecnologa debe activar los cdigos de seguridad de la tarjeta SIM para
los dispositivos mviles institucionales antes de asignarlos a los usuarios y almacenar
estos cdigos en un lugar seguro.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios deben evitar usar los dispositivos mviles institucionales en lugares que no
les ofrezcan las garantas de seguridad fsica necesarias para evitar prdida o robo de
estos.
Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos
mviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con
ellos al momento de su entrega.
Los usuarios deben evitar la instalacin de programas desde fuentes desconocidas; se
deben instalar aplicaciones nicamente desde los repositorios oficiales de los
dispositivos mviles institucionales.
Los usuarios deben, cada vez que el sistema de sus dispositivos mviles institucionales
notifique de una actualizacin disponible, aceptar y aplicar la nueva versin.
Los usuarios deben evitar hacer uso de redes inalmbricas de uso pblico, as como
deben desactivar las redes inalmbricas como WIFI, Bluetooth, o infrarrojos en los
dispositivos mviles institucionales asignados.
Los usuarios deben evitar conectar los dispositivos mviles institucionales asignados por
puerto USB a cualquier computador pblico, de hoteles o cafs internet, entre otros.
Los usuarios no deben almacenar videos, fotografas o informacin personal en los
dispositivos mviles institucionales asignados.

Cdigo:
Versin: 3
Fecha:
Pgina: 17 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

8.3. POLITICA PARA USO DE CONEXIONES REMOTAS


El ICETEX establecer las circunstancias y requisitos para el establecimiento de
conexiones remotas a la plataforma tecnolgica del instituto; as mismo, suministrar las
herramientas y controles necesarios para que dichas conexiones se realicen de manera
segura.

8.3.1. Normas para uso de conexiones remotas


Normas dirigidas a: OFICINA DE RIESGOS Y DIRECCION DE TECNOLOGIA
La Oficina de Riesgos, de manera conjunta con la Direccin de Tecnologa, deben
analizar y aprobar los mtodos de conexin remota a la plataforma tecnolgica del
ICETEX.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe implantar los mtodos y controles de seguridad para
establecer conexiones remotas hacia la plataforma tecnolgica del ICETEX.
La Direccin de Tecnologa debe restringir las conexiones remotas a los recursos de la
plataforma tecnolgica; nicamente se deben permitir estos accesos a personal
autorizado y por periodos de tiempo establecidos, de acuerdo con las labores
desempeadas.
La Direccin de Tecnologa debe verificar la efectividad de los controles aplicados sobre
las conexiones remotas a los recursos de la plataforma tecnolgica del ICETEX de
manera permanente.
Normas dirigidas a: OFICINA DE CONTROL INTERNO
La Oficina de Control Interno debe, dentro de su autonoma, realizar auditoras sobre los
controles implantados para las conexiones remotas a la plataforma tecnolgica del
ICETEX.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios que realizan conexin remota deben contar con las aprobaciones
requeridas para establecer dicha conexin a los dispositivos de la plataforma tecnolgica
del ICETEX y deben acatar las condiciones de uso establecidas para dichas conexiones.

Cdigo:
Versin: 3
Fecha:
Pgina: 18 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los usuarios nicamente deben establecer conexiones remotas en computadores


previamente identificados y, bajo ninguna circunstancia, en computadores pblico, de
hoteles o cafs internet, entre otros.

9.

POLTICAS DE SEGURIDAD DEL PERSONAL

9.1. POLTICA RELACIONADA CON LA VINCULACIN DE FUNCIONARIOS


El ICETEX reconoce la importancia que tiene el factor humano para el cumplimiento de sus
objetivos misionales y, con el inters de contar con el personal mejor calificado, garantizar
que la vinculacin de nuevos funcionarios se realizara siguiendo un proceso formal de
seleccin, acorde con la legislacin vigente, el cual estar orientado a las funciones y roles
que deben desempear los funcionarios en sus cargos.

9.1.1. Normas relacionadas con la vinculacin de funcionarios


Normas dirigidas a: SECRETARIA GENERAL - GRUPO DE TALENTO HUMANO
El Grupo de Talento Humano debe realizar las verificaciones necesarias para confirmar
la veracidad de la informacin suministrada por el personal candidato a ocupar un cargo
en ICETEX, antes de su vinculacin definitiva.
El Grupo de Talento Humano debe certificar que los funcionarios del instituto firmen un
Acuerdo y/o Clusula de Confidencialidad y un documento de Aceptacin de Polticas de
Seguridad de la Informacin; estos documentos deben ser anexados a los dems
documentos relacionados con la ocupacin del cargo.
Normas dirigidas a: SUPERVISORES
DIRECTORES Y JEFES DE OFICINA

DE

CONTRATO,

VICEPRESIDENTES,

Cada Supervisor de Contrato, Vicepresidente, Director y Jefe de Oficina debe verificar la


existencia de Acuerdos y/o Clusulas de Confidencialidad y de la documentacin de
Aceptacin de Polticas para el personal provisto por terceras partes, antes de otorgar
acceso a la informacin del ICETEX.
Normas dirigidas a: PERSONAL PROVISTOS POR TERCERAS PARTES
El personal provisto por terceras partes que realicen labores en o para el ICETEX, deben
firmar un Acuerdo y/o Clusula de Confidencialidad y un documento de Aceptacin de
Polticas de Seguridad de la Informacin, antes de que se les otorgue acceso a las
instalaciones y a la plataforma tecnolgica.

Cdigo:
Versin: 3
Fecha:
Pgina: 19 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

El personal provisto por terceras partes, deben garantizar el cumplimiento de los


Acuerdos y/o Clusulas de Confidencialidad y aceptacin de las Polticas de Seguridad
de la Informacin del instituto.

9.2. POLTICA APLICABLE DURANTE LA VINCULACION DE FUNCIONARIOS Y


PERSONAL PROVISTO POR TERCEROS
El ICETEX en su inters por proteger su informacin y los recursos de procesamiento de la
misma demostrar el compromiso de la Alta Direccin en este esfuerzo, promoviendo que
el personal cuente con el nivel deseado de conciencia en seguridad de la informacin para
la correcta gestin de los activos de informacin y ejecutando el proceso disciplinario
necesario cuando se incumplan las Polticas de seguridad de la informacin del instituto.
Todos los funcionarios del ICETEX deben ser cuidadosos de no divulgar informacin
confidencial en lugares pblicos, en conversaciones o situaciones que pongan en riesgos la
seguridad y el buen nombre de la entidad.

9.2.1. Normas aplicables durante la vinculacin de funcionarios y personal


provisto por terceros
Normas dirigidas a: ALTA DIRECCION
La Alta Direccin debe demostrar su compromiso con la seguridad de la informacin por
medio de su aprobacin de las polticas, normas y dems lineamientos que desee
establecer el instituto.
La Alta Direccin debe promover la importancia de la seguridad de la informacin entre
los funcionarios del ICETEX y el personal provisto por terceras partes, as como motivar
el entendimiento, la toma de conciencia y el cumplimiento de las polticas, normas,
procedimientos y estndares para la seguridad de la informacin establecidos.
La Alta Direccin debe definir y establecer el proceso disciplinario o incluir en el proceso
disciplinario existente el instituto, el tratamiento de las faltas de cumplimiento a las
polticas de seguridad o los incidentes de seguridad que lo ameriten.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe disear y ejecutar de manera permanente un programa de
concienciacin en seguridad de la informacin, con el objetivo de apoyar la proteccin
adecuada de la informacin y de los recursos de procesamiento la misma.

Cdigo:
Versin: 3
Fecha:
Pgina: 20 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Oficina de Riesgos debe capacitar y entrenar a los funcionarios del ICETEX en el


programa de concienciacin en seguridad de la informacin para evitar posibles riesgos
de seguridad.
Normas dirigidas a: SECRETARIA GENERAL
La Secretaria General debe aplicar el proceso disciplinario del instituto cuando se
identifiquen violaciones o incumplimientos a las polticas de seguridad de la informacin.
Normas dirigidas a: SECRETARIA GENERAL - GRUPO DE TALENTO HUMANO
El Grupo de Talento Humano debe convocar a los funcionarios a las charlas y eventos
programados como parte del programa de concienciacin en seguridad de la
informacin, proveer los recursos para la ejecucin de las capacitaciones y controlar la
asistencia a dichas charlas y eventos, aplicando las sanciones pertinentes por la falta de
asistencia no justificada.
Normas dirigidas a: TODOS LOS USUARIOS
Los funcionarios y personal provisto por terceras partes que por sus funciones hagan
uso de la informacin del ICETEX, deben dar cumplimiento a las polticas, normas y
procedimientos de seguridad de la informacin, as como asistir a las capacitaciones que
sean referentes a la seguridad de la informacin.

9.3. POLTICA DE DESVINCULACIN, LICENCIAS, VACACIONES O CAMBIO


DE LABORES DE LOS FUNCIONARIOS Y PERSONAL PROVISTO POR
TERCEROS
El ICETEX asegurar que sus funcionarios y el personal provisto por terceros sern
desvinculados o reasignados para la ejecucin de nuevas labores de una forma ordenada,
controlada y segura.

9.3.1. Normas para la desvinculacin, licencias, vacaciones o cambios de


labores de los funcionarios y personal provisto por terceros
Normas dirigidas a: SECRETARIA GENERAL - GRUPO DE TALENTO HUMANO

Cdigo:
Versin: 3
Fecha:
Pgina: 21 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

El Grupo de Talento Humano debe realizar el proceso de desvinculacin, licencias,


vacaciones o cambio de labores de los funcionarios del instituto llevando a cabo los
procedimientos y ejecutando los controles establecidos para tal fin.
Normas dirigidas a: SUPERVISORES
DIRECTORES Y JEFES DE OFICINA

DE

CONTRATO,

VICEPRESIDENTES,

Cada Supervisor de Contrato, Vicepresidente, Director y Jefe de Oficina debe monitorear


y reportar de manera inmediata la desvinculacin o cambio de labores de los
funcionarios o personal provistos por terceras partes a la Oficina de Riesgos.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe verificar los reportes de desvinculacin o cambio de labores
y posteriormente debe solicitar la modificacin o inhabilitacin de usuarios a la Direccin
de Tecnologa.

10. POLTICAS DE GESTIN DE ACTIVOS DE INFORMACIN


10.1. POLTICA DE RESPONSABILIDAD POR LOS ACTIVOS
El ICETEX como propietario de la informacin fsica as como de la informacin generada,
procesada, almacenada y transmitida con su plataforma tecnolgica, otorgar
responsabilidad a las reas sobre sus activos de informacin, asegurando el cumplimiento
de las directrices que regulen el uso adecuado de la misma.
La informacin, archivos fsicos, los sistemas, los servicios y los equipos (ej. estaciones de
trabajo, equipos porttiles, impresoras, redes, Internet, correo electrnico, herramientas de
acceso remoto, aplicaciones, telfonos y fases, entre otros) propiedad del ICETEX, son
activos de la institucin y se proporcionan a los funcionarios y terceros autorizados, para
cumplir con los propsitos del negocio.
Toda la informacin sensible del ICETEX, as como los activos donde sta se almacena y
se procesa deben ser asignados a un responsable, inventariados y posteriormente
clasificados, de acuerdo con los requerimientos y los criterios que dicte la Oficina de
Riesgos. Los propietarios de los activos de informacin deben llevar a cabo el
levantamiento y la actualizacin permanente del inventario de activos de informacin al
interior de sus procesos o reas.

Cdigo:
Versin: 3
Fecha:
Pgina: 22 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

10.1.1. Normas de responsabilidad por los activos


Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACIN
Las Vicepresidencias, Direcciones y Oficinas Asesoras del ICETEX, deben actuar como
propietarias de la informacin fsica y electrnica de la entidad, ejerciendo as la facultad
de aprobar o revocar el acceso a su informacin con los perfiles adecuados para tal fin.
Los propietarios de los activos de informacin deben generar un inventario de dichos
activos para las reas o procesos que lideran, acogiendo las indicaciones de las guas
de clasificacin de la informacin; as mismo, deben mantener actualizado el inventario
de sus activos de informacin.
Los propietarios de los activos de informacin deben monitorear peridicamente la
validez de los usuarios y sus perfiles de acceso a la informacin.
Los propietarios de los activos de informacin deben ser conscientes que los recursos
de procesamiento de informacin del instituto, se encuentran sujetos a auditoras por
parte de la Oficina de Control Interno y a revisiones de cumplimiento por parte de la
Oficina de Riesgos.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa es la propietaria de los activos de informacin
correspondientes a la plataforma tecnolgica del ICETEX y, en consecuencia, debe
asegurar su apropiada operacin y administracin.
La Direccin de Tecnologa en conjunto con el Comit de Control de Cambios, son
quienes deben autorizar la instalacin, cambio o eliminacin de componentes de la
plataforma tecnolgica del ICETEX.
La Direccin de Tecnologa debe establecer una configuracin adecuada para los
recursos tecnolgicos, con el fin de preservar la seguridad de la informacin y hacer un
uso adecuado de ellos.
La Direccin de Tecnologa es responsable de preparar las estaciones de trabajo fijas
y/o porttiles de los funcionarios y de hacer entrega de las mismas.

Cdigo:
Versin: 3
Fecha:
Pgina: 23 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa es responsable de recibir los equipos de trabajo fijo y/o


porttil para su reasignacin o disposicin final, y generar copias de seguridad de la
informacin de los funcionarios que se retiran o cambian de labores, cuando les es
formalmente solicitado.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe realizar un anlisis de riesgos de seguridad de manera
peridica, sobre los procesos del ICETEX.
La Oficina de Riesgos debe definir las condiciones de uso y proteccin de los activos de
informacin, tanto los tecnolgicos como aquellos que no lo son.
La Oficina de Riesgos debe realizar revisiones peridicas de los recursos de la
plataforma tecnolgica y los sistemas de informacin del instituto.
Normas dirigidas a: VICEPRESIDENTES, DIRECTORES Y JEFES DE OFICINA
Los Vicepresidentes, Directores y Jefes de Oficina, o quien ellos designen, deben
autorizar a sus funcionarios el uso de los recursos tecnolgicos, previamente preparados
por la Direccin de Tecnologa.
Los Vicepresidentes, Directores y Jefes de Oficina, o quien ellos designen, deben recibir
los recursos tecnolgicos asignados a sus colaboradores cuando estos se retiran del
instituto o son trasladados de rea.
Normas dirigidas a: TODOS LOS USUARIOS
Los recursos tecnolgicos del ICETEX, deben ser utilizados de forma tica y en
cumplimiento de las leyes y reglamentos vigentes, con el fin de evitar daos o prdidas
sobre la operacin o la imagen del instituto.
Los recursos tecnolgicos del ICETEX provistos a funcionarios y personal suministrado
por terceras partes, son proporcionados con el nico fin de llevar a cabo las labores del
instituto; por consiguiente, no deben ser utilizados para fines personales o ajenos a este.
Los funcionarios no deben utilizar sus equipos de cmputo y dispositivos mviles
personales para desempear las actividades laborales.
Los funcionarios no deben utilizar software no autorizado o de su propiedad en la
plataforma tecnolgica del ICETEX.

Cdigo:
Versin: 3
Fecha:
Pgina: 24 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Todas las estaciones de trabajo, dispositivos mviles y dems recursos tecnolgicos son
asignados a un responsable, por lo cual es su compromiso hacer uso adecuado y
eficiente de dichos recursos.
En el momento de desvinculacin o cambio de labores, los funcionarios deben realizar la
entrega de su puesto de trabajo al Vicepresidente, Director o Jefe de Oficina o quien
este delegue; as mismo, deben encontrarse a paz y salvo con la entrega de los recursos
tecnolgicos y otros activos de informacin suministrados en el momento de su
vinculacin.

10.2. POLTICA DE CLASIFICACIN Y MANEJO DE LA INFORMACIN


El ICETEX definir los niveles ms adecuados para clasificar su informacin de acuerdo
con su sensibilidad, y generar una gua de Clasificacin de la Informacin para que los
propietarios de la misma la cataloguen y determinen los controles requeridos para su
proteccin.
Toda la informacin del ICETEX debe ser identificada, clasificada y documentada de
acuerdo con las guas de Clasificacin de la Informacin establecidas por el Comit de
Seguridad de la Informacin.
Una vez clasificada la informacin, el ICETEX proporcionar los recursos necesarios para
la aplicacin de controles en busca de preservar la confidencialidad, integridad y
disponibilidad de la misma, con el fin de promover el uso adecuado por parte de los
funcionarios del instituto y personal provisto por terceras partes que se encuentre
autorizado y requiera de ella para la ejecucin de sus actividades.

10.2.1. Normas para la clasificacin y manejo de la informacin


Normas dirigidas a: COMIT DE SEGURIDAD DE LA INFORMACION
El Comit de Seguridad de la Informacin debe recomendar los niveles de clasificacin
de la informacin propuestos por la Oficina de Riesgos y la gua de clasificacin de la
Informacin del ICETEX para que sean aprobados por la Junta Directiva.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe definir los niveles de clasificacin de la informacin para el
ICETEX y, posteriormente generar la gua de clasificacin de la Informacin.

Cdigo:
Versin: 3
Fecha:
Pgina: 25 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Oficina de Riesgos debe socializar y divulgar la gua de clasificacin de la


Informacin a los funcionarios del instituto.
La Oficina de Riesgos debe monitorear con una periodicidad establecida la aplicacin de
la gua de clasificacin de la Informacin.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe proveer los mtodos de cifrado de la informacin, as
como debe administrar el software o herramienta utilizado para tal fin.
La Direccin de Tecnologa debe efectuar la eliminacin segura de la informacin, a
travs de los mecanismos necesarios en la plataforma tecnolgica, ya sea cuando son
dados de baja o cambian de usuario.
Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS
La Direccin de Tecnologa junto con la Oficina de Riesgo deben definir los mtodos de
cifrado de la informacin de la Entidad de acuerdo al nivel de clasificacin de los activo.
Normas dirigidas a: SECRETARIA GENERAL COORDINACION DE ARCHIVO
La Coordinacin de Archivo debe utilizar los medios de los cuales est dotada para
destruir o desechar correctamente la documentacin fsica, con el fin de evitar la
reconstruccin de la misma, acogindose a procedimiento establecido para tal fin.
La Coordinacin de Archivo debe realizar la destruccin de informacin cuando se ha
cumplido su ciclo de almacenamiento.
La Coordinacin de Archivo debe administrar el contrato de almacenamiento y resguardo
de las cintas de backup, otros medios de almacenamiento y documentos fsicos del
ICETEX con el proveedor del servicio.
La Coordinacin de Archivo debe verificar el cumplimiento de los Acuerdos de Niveles
de Servicio y Acuerdos de intercambio con el proveedor de custodia externo de los
medios de almacenamiento y documentos del instituto.
Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACIN

Cdigo:
Versin: 3
Fecha:
Pgina: 26 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los propietarios de los activos de informacin deben clasificar su informacin de


acuerdo con la guas de clasificacin de la Informacin establecida.
Los propietarios de los activos de informacin son responsables de monitorear
peridicamente la clasificacin de sus activos de informacin y de ser necesario realizar
su re-clasificacin.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios deben acatar los lineamientos gua de clasificacin de la Informacin para
el acceso, divulgacin, almacenamiento, copia, transmisin, etiquetado y eliminacin de
la informacin contenida en los recursos tecnolgicos, as como de la informacin fsica
instituto.
La informacin fsica y digital del ICETEX debe tener un periodo de almacenamiento que
puede ser dictaminado por requerimientos legales o misionales; este perodo debe ser
indicado en las tablas de retencin documental y cuando se cumpla el periodo de
expiracin, toda la informacin debe ser eliminada adecuadamente.
Los usuarios deben tener en cuenta estas consideraciones cuando impriman, escaneen,
saquen copias y enves faxes: verificar las reas adyacentes a impresoras, escneres,
fotocopiadoras y mquinas de fax para asegurarse que no quedaron documentos
relacionados o adicionales; asimismo, recoger de las impresoras, escneres,
fotocopiadoras y mquinas de fax, inmediatamente los documentos confidenciales para
evitar su divulgacin no autorizada.
Tanto los funcionarios como el personal provisto por terceras partes deben asegurarse
que en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren
libres de documentos y medios de almacenamiento, utilizados para el desempeo de
sus labores; estos deben contar con las protecciones de seguridad necesarias de
acuerdo con su nivel de clasificacin.
La informacin que se encuentra en documentos fsicos debe ser protegida, a travs de
controles de acceso fsico y las condiciones adecuadas de almacenamiento y resguardo.

10.3. POLITICA PARA USO DE TOKENS DE SEGURIDAD


El ICETEX proveer las condiciones de manejo de los tokens de seguridad para los
procesos que los utilizan y velar porque los funcionarios hagan un uso responsable de

Cdigo:
Versin: 3
Fecha:
Pgina: 27 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

estos.

10.3.1. Normas para uso de tokens de seguridad


Normas dirigidas a: AREAS USUARIAS DE TOKENS DE SEGURIDAD
Cada rea usuaria de tokens de seguridad debe asignar un funcionario administrador de
los mismos con la potestad para autorizar las solicitudes de acceso.
Normas dirigidas a: ADMINISTRADORES DE LOS TOKENS DE SEGURIDAD
Los Administradores de los tokens de seguridad deben procesar las solicitudes de
dichos tokens segn los requerimientos de cada entidad proveedora de stos y adjuntar
la documentacin necesaria.
Los Administradores de los tokens deben recibirlos y realizar la activacin necesaria en
los respectivos portales o sitios de uso para poder realizar operaciones por medio de
ellos.
Los Administradores de los tokens deben crear los usuarios y perfiles en cada portal o
sitio de uso, segn las actividades a realizar por cada funcionario creado.
Los Administradores de los tokens deben entregar a los funcionarios designados los
usuarios y seriales de los dispositivos que le son asignados para su uso, formalizando la
entrega por medio de acta y tula (o sobre) de seguridad para custodia de los mismos.
Los Administradores de los tokens deben dar avisos a las entidades emisoras en caso
de robo o prdida de estos con el fin de efectuar el bloqueo respectivo y la reposicin de
los mismos.
Los Administradores de los tokens deben realizar el cambio de estos, cuando se
presente mal funcionamiento, caducidad, cambio de funciones o cambio del titular,
reportando a la entidad emisora y devolviendo los dispositivos asignados.
Normas dirigidas a: USUARIOS DE TOKENS DE SEGURIDAD

Cdigo:
Versin: 3
Fecha:
Pgina: 28 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los usuarios que requieren utilizar los tokens de seguridad deben contar con una cuenta
de usuario en los portales o sitios de uso de los mismos; dichos tokens harn parte del
inventario fsico de cada usuario a quien se haya asignado.
Los usuarios deben devolver el token asignado en estado operativo al Administrador de
los tokens cuando el vnculo laboral con el ICETEX se d por terminado o haya cambio
de cargo, para obtener el paz y salvo, el cual ser requerido para legalizar la finalizacin
del vnculo con el instituto.
Cada usuario de los portales o sitios de uso de los tokens debe tener su propio
dispositivo, el cual es exclusivo, personal e intransferible, al igual que la cuenta de
usuario y la contrasea de acceso.
El almacenamiento de los tokens debe efectuarse bajo estrictas medidas de seguridad,
en la tula o sobre asignado para cada token, dentro de caja fuerte o escritorios con llave
al interior de las reas usuarias, de tal forma que se mantengan fuera del alcance de
terceros no autorizados.
Los usuarios deben notificar al Administrador de los tokens en caso de robo, prdida,
mal funcionamiento o caducidad para que este a su vez, se comunique con las
entidades emisoras de dichos tokens.
Los usuarios no deben permitir que terceras personas observen la clave que genera el
token, as como no deben aceptar ayuda de terceros para la utilizacin del token.
Los usuarios deben responder por las transacciones electrnicas que se efecten con la
cuenta de usuario, clave y el token asignado, en el desarrollo de las actividades como
funcionarios del ICETEX. En caso de que suceda algn evento irregular con los tokens
los usuarios deben asumir la responsabilidad administrativa, disciplinaria y econmica.
Los usuarios deben mantener los tokens asignados en un lugar seco y no introducirlos
en agua u otros lquidos.
Los usuarios deben evitar exponer los tokens a campos magnticos y a temperaturas
extremas.
Los usuarios deben evitar que los tokens sean golpeados o sometidos a esfuerzo fsico.

Cdigo:
Versin: 3
Fecha:
Pgina: 29 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los usuarios no deben abrir los tokens, retirar la batera o placa de circuitos, ya que
ocasionar su mal funcionamiento.
Los usuarios no deben usar los tokens fuera de las instalaciones del ICETEX para evitar
prdida o robo de estos.

10.4. POLTICA DE USO DE PERIFERICOS Y MEDIOS DE ALMACENAMIENTO


El uso de perifricos y medios de almacenamiento en los recursos de la plataforma
tecnolgica del ICETEX ser reglamentado por la Direccin de Tecnologa, junto con la
Oficina de Riesgos, considerando las labores realizadas por los funcionarios y su necesidad
de uso.
10.4.1.

Normas uso de perifricos y medios de almacenamiento

Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS


La Direccin de Tecnologa y la Oficina de Riesgos deben establecer las condiciones de
uso de perifricos y medios de almacenamiento en la plataforma tecnolgica del
ICETEX.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe implantar los controles que regulen el uso de
perifricos y medios de almacenamiento en la plataforma tecnolgica del instituto, de
acuerdo con los lineamientos y condiciones establecidas.
La Direccin de Tecnologa debe generar y aplicar lineamientos para la disposicin
segura de los medios de almacenamiento del instituto, ya sea cuando son dados de baja
o re-asignados a un nuevo usuario.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe autorizar el uso de perifricos o medios de almacenamiento
en la plataforma tecnolgica del instituto de acuerdo con el perfil del cargo del
funcionario solicitante.
Normas dirigidas a: TODOS LOS USUARIOS

Cdigo:
Versin: 3
Fecha:
Pgina: 30 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los funcionarios y el personal provisto por terceras partes deben acoger las condiciones
de uso de los perifricos y medios de almacenamiento establecidos por la Direccin de
Tecnologa.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben
modificar la configuracin de perifricos y medios de almacenamiento establecidos por la
Direccin de Tecnologa.
Los funcionarios y personal provisto por terceras partes son responsables por la custodio
de los medios de almacenamiento institucionales asignados.
Los funcionarios y personal provisto por terceras partes no deben utilizar medios de
almacenamiento personales en la plataforma tecnolgica del ICETEX.

11. POLTICAS DE CONTROL DE ACCESO


11.1. POLTICA DE ACCESO A REDES Y RECURSOS DE RED
La Direccin de Tecnologa del ICETEX, como responsables de las redes de datos y los
recursos de red del instituto, debe propender porque dichas redes sean debidamente
protegidos contra accesos no autorizados a travs de mecanismos de control de acceso
lgico.

11.1.1. Normas de acceso a redes y recursos de red


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe establecer un procedimiento de autorizacin y
controles para proteger el acceso a las redes de datos y los recursos de red del ICETEX.
La Direccin de Tecnologa debe asegurar que las redes inalmbricas del instituto
cuenten con mtodos de autenticacin que evite accesos no autorizados.
La Direccin de Tecnologa, en conjunto con la Oficina de Riesgos, debe establecer
controles para la identificacin y autenticacin de los usuarios provistos por terceras
partes en las redes o recursos de red del ICETEX, as como velar por la aceptacin de
las responsabilidades de dicho terceros. Adems, se debe formalizar la aceptacin de
las Polticas de Seguridad de la Informacin por parte de estos.

Cdigo:
Versin: 3
Fecha:
Pgina: 31 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Normas dirigidas a: OFICINA DE RIESGOS


La Oficina de Riesgos debe autorizar la creacin o modificacin de las cuentas de
acceso a las redes o recursos de red del ICETEX.
La Oficina de Riesgos debe verificar peridicamente los controles de acceso para los
usuarios provistos por terceras partes, con el fin de revisar que dichos usuarios tengan
acceso permitido nicamente a aquellos recursos de red y servicios de la plataforma
tecnolgica para los que fueron autorizados.
Normas dirigidas a: TODOS LOS USUARIOS
Los funcionarios y personal provisto por terceras partes, antes de contar con acceso
lgico por primera vez a la red de datos del ICETEX, deben contar con el formato de
creacin de cuentas de usuario debidamente autorizado y el Acuerdo de
Confidencialidad firmado previamente.
Los equipos de cmputo de usuario final que se conecten o deseen conectarse a las
redes de datos del instituto deben cumplir con todos los requisitos o controles para
autenticarse en ellas y nicamente podrn realizar las tareas para las que fueron
autorizados.

11.2. POLTICA DE ADMINISTRACIN DE ACCESO DE USUARIOS


El ICETEX establecer privilegios para el control de acceso lgico de cada usuario o grupo
de usuarios a las redes de datos, los recursos tecnolgicos y los sistemas de informacin
del instituto. As mismo, velar porque los funcionarios y el personal provisto por terceras
partes tengan acceso nicamente a la informacin necesaria para el desarrollo de sus
labores y porque la asignacin de los derechos de acceso est regulada por normas y
procedimientos establecidos para tal fin.

11.2.1. Normas de administracin de acceso de usuarios


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe establecer un procedimiento formal para la
administracin de los usuarios en las redes de datos, los recursos tecnolgicos y
sistemas de informacin del instituto, que contemple la creacin, modificacin, bloqueo o
eliminacin de las cuentas de usuario.

Cdigo:
Versin: 3
Fecha:
Pgina: 32 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa, previa solicitud de los Jefes inmediatos de los solicitantes


de las cuentas de usuario y aprobacin tanto de los propietarios de los sistemas de
informacin como de la Oficina de Riesgos, debe crear, modificar, bloquear o eliminar
cuentas de usuarios sobre las redes de datos, los recursos tecnolgicos y los sistemas
de informacin administrados, acorde con el procedimiento establecido.
La Direccin de Tecnologa, en conjunto con la Oficina de Riesgos, debe definir
lineamientos para la configuracin de contraseas que aplicaran sobre la plataforma
tecnolgica, los servicios de red y los sistemas de informacin del ICETEX; dichos
lineamientos deben considerar aspectos como longitud, complejidad, cambio peridico,
control histrico, bloqueo por nmero de intentos fallidos en la autenticacin y cambio de
contrasea en el primer acceso, entre otros.
La Direccin de Tecnologa debe establecer un procedimiento que asegure la eliminacin,
reasignacin o bloqueo de los privilegios de acceso otorgados sobre los recursos
tecnolgicos, los servicios de red y los sistemas de informacin de manera oportuna,
cuando los funcionarios se desvinculan, toman licencias, vacaciones, son trasladados o
cambian de cargo.
La Direccin de Tecnologa debe asegurarse que los usuarios o perfiles de usuario que
tienen asignados por defecto los diferentes recursos de la plataforma tecnolgica sean
inhabilitados o eliminados.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe autorizar la creacin o modificacin de las cuentas de
acceso de los recursos tecnolgicos y sistemas de informacin del instituto.
Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACION
Es responsabilidad de los Propietarios de los activos de informacin, definir los perfiles
de usuario y autorizar, conjuntamente con la Oficina de Riesgos, las solicitudes de
acceso a dichos recursos de acuerdo con los perfiles establecidos.
Los propietarios de los activos de informacin deben verificar y ratificar peridicamente
todas las autorizaciones sobre sus recursos tecnolgicos y sistemas de informacin.
Normas dirigidas a: VICEPRESIDENTES, DIRECTORES Y JEFES DE OFICINA
Los Vicepresidentes, Directores y Jefes de Oficina deben solicitar la creacin,
modificacin, bloqueo y eliminacin de cuentas de usuario, para los funcionarios que
laboran en sus reas, acogindose al procedimiento establecidos para tal fin.

Cdigo:
Versin: 3
Fecha:
Pgina: 33 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

11.3. POLTICA DE RESPONSABILIDADES DE ACCESO DE LOS USUARIOS


Los usuarios de los recursos tecnolgicos y los sistemas de informacin del ICETEX
realizarn un uso adecuado y responsable de dichos recursos y sistemas, salvaguardando
la informacin a la cual les es permitido el acceso.

11.3.1.

Normas de responsabilidades de acceso de los usuarios

Normas dirigidas a: TODOS LOS USUARIOS


Los usuarios de la plataforma tecnolgica, los servicios de red y los sistemas de
informacin del ICETEX deben hacerse responsables de las acciones realizadas en los
mismos, as como del usuario y contrasea asignados para el acceso a estos.
Los funcionarios no deben compartir sus cuentas de usuario y contraseas con otros
funcionarios o con personal provisto por terceras partes.
Los funcionarios y personal provisto por terceras partes que posean acceso a la
plataforma tecnolgica, los servicios de red y los sistemas de informacin del instituto
deben acogerse a lineamientos para la configuracin de contraseas implantados por el
instituto.

11.4. POLTICA DE USO DE ALTOS PRIVILEGIOS Y UTILITARIOS DE


ADMINISTRACION
La Direccin de Tecnologa del ICETEX velar porque los recursos de la plataforma
tecnolgica y los servicios de red del instituto sean operados y administrados en
condiciones controladas y de seguridad, que permitan un monitoreo posterior de la
actividad de los usuarios administradores, poseedores de los ms altos privilegios sobre
dichos plataforma y servicios.

11.4.1. Normas de uso de altos privilegios y utilitarios de administracin


Normas dirigidas a: DIRECCION DE TECNOLOGIA, ADMINISTRADORES DE LOS
RECURSOS TECNOLOGICOS Y SERVICIOS DE RED
La Direccin de Tecnologa debe otorgar los privilegios para administracin de recursos
tecnolgicos, servicios de red y sistemas de informacin slo a aquellos funcionarios
designados para dichas funciones.

Cdigo:
Versin: 3
Fecha:
Pgina: 34 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa debe establecer cuentas personalizadas con altos privilegios


para cada uno de los administradores de los recursos tecnolgicos, servicios de red y
sistemas de informacin.
La Direccin de Tecnologa debe verificar que los administradores de los recursos
tecnolgicos y servicios de red no tengan acceso a sistemas de informacin en
produccin.
La Direccin de Tecnologa debe restringir las conexiones remotas a los recursos de la
plataforma tecnolgica; nicamente se deben permitir estos accesos a personal
autorizado, de acuerdo con las labores desempeadas.
La Direccin de Tecnologa debe asegurarse que los usuarios o perfiles de usuario que
traen por defecto los sistemas operativos, el firmware y las bases de datos sean
suspendidos o renombrados en sus autorizaciones y que las contraseas que traen por
defecto dichos usuarios o perfiles sean modificadas.
La Direccin de Tecnologa debe establecer los controles para que los usuarios finales
de los recursos tecnolgicos, los servicios de red y los sistemas de informacin no
tengan instalados en sus equipos de cmputo utilitarios que permitan accesos
privilegiados a dichos recursos, servicios o sistemas.
Los administradores de los recursos tecnolgicos y servicios de red, funcionarios de la
Direccin de Tecnologa, no deben hacer uso de los utilitarios que permiten acceso a los
sistemas operativos, firmware o conexin a las bases de datos para pasar por alto la
seguridad de los sistemas de informacin alojados sobre la plataforma tecnolgica del
ICETEX.
Los administradores de los recursos tecnolgicos deben deshabilitar las funcionalidades
o servicios no utilizados de los sistemas operativos, el firmware y las bases de datos. Se
debe configurar el conjunto mnimo requerido de funcionalidades, servicios y utilitarios.
La Direccin de Tecnologa debe generar y mantener actualizado un listado de las
cuentas administrativas de los recursos de la plataforma tecnolgica.
Normas dirigidas a: OFICINA DE RIESGOS

Cdigo:
Versin: 3
Fecha:
Pgina: 35 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Oficina de Riesgos debe validar que las polticas de contraseas establecidas sobre
la plataforma tecnolgica, los servicios de red y los sistemas de informacin son
aplicables a los usuarios administradores; as mismo, debe verificar que el cambio de
contrasea de los usuarios administradores acoja el procedimiento definido para tal fin.
La Oficina de Riesgos debe revisar peridicamente la actividad de los usuarios con altos
privilegios en los registros de auditoria de la plataforma tecnolgica y los sistemas de
informacin.

11.5. POLTICA DE CONTROL DE ACCESO A SISTEMAS Y APLICATIVOS


Las Vicepresidencias, Direcciones o Jefaturas de Oficina como propietarias de los sistemas
de informacin y aplicativos que apoyan los procesos y reas que lideran, velarn por la
asignacin, modificacin y revocacin de privilegios de accesos a sus sistemas o
aplicativos de manera controlada.
La Direccin de Tecnologa, como responsable de la administracin de dichos sistemas de
informacin y aplicativos, propender para que estos sean debidamente protegidos contra
accesos no autorizados a travs de mecanismos de control de acceso lgico. As mismo,
velar porque los desarrolladores, tanto internos como externos, acojan buenas prcticas
de desarrollo en los productos generados para controlar el acceso lgico y evitar accesos
no autorizados a los sistemas administrados.

11.5.1. Normas de control de acceso a sistemas y aplicativos


Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACION
Los propietarios de los activos de informacin deben autorizar los accesos a sus
sistemas de informacin o aplicativos, de acuerdo con los perfiles establecidos y las
necesidades de uso, acogiendo los procedimientos establecidos.
Los propietarios de los activos de informacin deben monitorear peridicamente los
perfiles definidos en los sistemas de informacin y los privilegios asignados a los
usuarios que acceden a ellos.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe establecer un procedimiento para la asignacin de
accesos a los sistemas y aplicativos del ICETEX.
La Direccin de Tecnologa debe establecer ambientes separados a nivel fsico y lgico
para desarrollo, pruebas y produccin, contando cada uno con su plataforma, servidores,

Cdigo:
Versin: 3
Fecha:
Pgina: 36 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

aplicaciones, dispositivos y versiones independientes de los otros ambientes, evitando


que las actividades de desarrollo y pruebas puedan poner en riesgo la integridad de la
informacin de produccin.
La Direccin de Tecnologa debe asegurar, mediante los controles necesarios, que los
usuarios utilicen diferentes perfiles para los ambientes de desarrollo, pruebas y
produccin, y as mismo que los mens muestren los mensajes de identificacin
apropiados para reducir los riesgos de error.
La Direccin de Tecnologa debe establecer el procedimiento y los controles de acceso a
los ambientes de produccin de los sistemas de informacin; as mismo, debe
asegurarse que los desarrolladores internos o externos, posean acceso limitado y
controlado a los datos y archivos que se encuentren en los ambientes de produccin.
La Direccin de Tecnologa debe proporcionar repositorios de archivos fuente de los
sistemas de informacin; estos deben contar con acceso controlado y restriccin de
privilegios, adems de un registro de acceso a dichos archivos.
Normas dirigidas a: DESARROLLADORES (INTERNOS Y EXTERNOS)
Los desarrolladores deben asegurar que los sistemas de informacin construidos
requieran autenticacin para todos los recursos y pginas, excepto aquellas
especficamente clasificadas como pblicas.
Los desarrolladores deben certificar la confiabilidad de los controles de autenticacin,
utilizando implementaciones centralizadas para dichos controles.
Los desarrolladores deben certificar que no se almacenen contraseas, cadenas de
conexin u otra informacin sensible en texto claro y que se implementen controles de
integridad de dichas contraseas.
Los desarrolladores deben establecer los controles de autenticacin de tal manera que
cuando fallen, lo hagan de una forma segura, evitando indicar especficamente cual fue
la falla durante el proceso de autenticacin y, en su lugar, generando mensajes
generales de falla.
Los desarrolladores deben asegurar que no se despliegan en la pantalla las contraseas
ingresadas, as como deben deshabilitar la funcionalidad de recordar campos de
contraseas.

Cdigo:
Versin: 3
Fecha:
Pgina: 37 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los desarrolladores deben certificar que se inhabilitan las cuentas luego de un nmero
establecido de intentos fallidos de ingreso a los sistemas desarrollados.
Los desarrolladores deben asegurar que si se utiliza la reasignacin de contraseas,
nicamente se enve un enlace o contraseas temporales a cuentas de correo
electrnico previamente registradas en los aplicativos, los cuales deben tener un periodo
de validez establecido; se deben forzar el cambio de las contraseas temporales
despus de su utilizacin.
Los desarrolladores deben certificar que el ltimo acceso (fallido o exitoso) sea
reportado al usuario en su siguiente acceso exitoso a los sistemas de informacin.
Los desarrolladores deben asegurar la re-autenticacin de los usuarios antes de la
realizacin de operaciones crticas en los aplicativos.
Los desarrolladores deben, a nivel de los aplicativos, restringir acceso a archivos u otros
recursos, a direcciones URL protegidas, a funciones protegidas, a servicios, a
informacin de las aplicaciones, a atributos y polticas utilizadas por los controles de
acceso y a la informacin relevante de la configuracin, solamente a usuarios
autorizados.
Los desarrolladores deben establecer que peridicamente se re-valide la autorizacin de
los usuarios en los aplicativos y se asegure que sus privilegios no han sido modificados.

12. POLTICAS DE CRIPTOGRAFIA


12.1. POLTICA DE CONTROLES CRIPTOGRAFICOS
El ICETEX velar porque la informacin del instituto, clasificada como reservada o
restringida, ser cifrada al momento de almacenarse y/o transmitirse por cualquier medio.

12.1.1. Normas de controles criptogrficos


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe almacenar y/o transmitir la informacin digital
clasificada como reservada o restringida bajo tcnicas de cifrado con el propsito de
proteger su confidencialidad e integridad.

Cdigo:
Versin: 3
Fecha:
Pgina: 38 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa debe verificar que todo sistema de informacin o aplicativo


que requiera realizar transmisin de informacin reservada o restringida, cuente con
mecanismos de cifrado de datos.
La Direccin de Tecnologa debe desarrollar y establecer un procedimiento para el
manejo y la administracin de llaves de cifrado.
La Direccin de Tecnologa, debe desarrollar y establecer estndares para la aplicacin
de controles criptogrficos.
Normas dirigidas a: DESARROLLADORES (INTERNOS O EXTERNOS)
Los desarrolladores deben cifrar la informacin reservada o restringida y certificar la
confiabilidad de los sistemas de almacenamiento de dicha informacin.
Los desarrolladores deben asegurarse que los controles criptogrficos de los sistemas
construidos cumplen con los estndares establecidos por la Direccin de Tecnologa.

13. POLTICAS DE SEGURIDAD FISICA Y MEDIOAMBIENTAL


13.1. POLTICA DE AREAS SEGURAS
El ICETEX proveer la implantacin y velar por la efectividad de los mecanismos de
seguridad fsica y control de acceso que aseguren el permetro de sus instalaciones en
todas sus sedes. As mismo, controlar las amenazas fsicas externas e internas y las
condiciones medioambientales de sus oficinas.
Todas las reas destinadas al procesamiento o almacenamiento de informacin sensible,
as como aquellas en las que se encuentren los equipos y dems infraestructura de soporte
a los sistemas de informacin y comunicaciones, se consideras reas de acceso
restringido.

13.1.1. Normas de reas seguras


Normas dirigidas a: DIRECCION DE TECNOLOGIA

Cdigo:
Versin: 3
Fecha:
Pgina: 39 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Las solicitudes de acceso al centro de cmputo o a los centros de cableado deben ser
aprobadas por funcionarios de la Direccin de Tecnologa autorizados; no obstante, los
visitantes siempre debern estar acompaados de un funcionario de dicha direccin
durante su visita al centro de cmputo o los centros de cableado.
La Direccin de Tecnologa debe registrar el ingreso de los visitantes al centro de
cmputo y a los centros de cableado que estn bajo su custodia, en una bitcora
ubicada en la entrada de estos lugares de forma visible.
La Direccin de Tecnologa debe descontinuar o modificar de manera inmediata los
privilegios de acceso fsico al centro de cmputo y los centros de cableado que estn
bajo su custodia, en los eventos de desvinculacin o cambio en las labores de un
funcionario autorizado.
La Direccin de Tecnologa debe proveer las condiciones fsicas y medioambientales
necesarias para certificar la proteccin y correcta operacin de los recursos de la
plataforma tecnolgica ubicados en el centro de cmputo; deben existir sistemas de
control ambiental de temperatura y humedad, sistemas de deteccin y extincin de
incendios, sistemas de descarga elctrica, sistemas de vigilancia y monitoreo y alarmas
en caso de detectarse condiciones ambientales inapropiadas. Estos sistemas se deben
monitorear de manera permanente.
La Direccin de Tecnologa debe velar porque los recursos de la plataforma tecnolgica
del ICETEX ubicados en el centro de cmputo se encuentran protegidos contra fallas o
interrupciones elctricas.
La Direccin de Tecnologa debe certificar que el centro de cmputo y los centros de
cableado que estn bajo su custodia, se encuentren separados de reas que tengan
lquidos inflamables o que corran riesgo de inundaciones e incendios.
La Direccin de Tecnologa debe asegurar que las labores de mantenimiento de redes
elctricas, de voz y de datos, sean realizadas por personal idneo y apropiadamente
autorizado e identificado; as mismo, se debe llevar control de la programacin de los
mantenimientos preventivos.
Normas dirigidas a: VICEPRESIDENTES, DIRECTORES Y JEFES DE OFICINA

Cdigo:
Versin: 3
Fecha:
Pgina: 40 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los Vicepresidentes, Directores y Jefes de Oficina que se encuentren en reas


restringidas deben velar mediante monitoreo por la efectividad de los controles de
acceso fsico y equipos de vigilancia implantados en su reas.
Los Vicepresidentes, Directores y Jefes de Oficina que se encuentren en reas
restringidas deben autorizar cualquier ingreso temporal a sus reas, evaluando la
pertinencia del ingreso; as mismo, deben delegar en personal del rea el registro y
supervisin de cada ingreso a sus reas.
Los Vicepresidentes, Directores y Jefes de Oficina deben velar porque las contraseas
de sistemas de alarma, cajas fuertes, llaves y otros mecanismos de seguridad de acceso
a sus reas solo sean utilizados por los funcionarios autorizados y, salvo situaciones de
emergencia u otro tipo de eventos que por su naturaleza lo requieran, estos no sean
transferidos a otros funcionarios del instituto.
Normas dirigidas a: SECRETARIA GENERAL GRUPO DE RECURSOS FISICOS
El Grupo de Recursos Fsicos debe proporcionar los recursos necesarios para ayudar a
proteger, regular y velar por el perfecto estado de los controles fsicos implantados en
las instalaciones del ICETEX.
El Grupo de Recursos Fsicos debe identificar mejoras a los mecanismos implantados y,
de ser necesario, la implementacin de nuevos mecanismos, con el fin de proveer la
seguridad fsica de las instalaciones del instituto.
El Grupo de Recursos Fsicos debe almacenar y custodiar los registros del sistema de
control de acceso a las instalaciones del ICETEX.
El Grupo de Recursos Fsicos debe certificar la efectividad de los mecanismos de
seguridad fsica y control de acceso al centro de cmputo, centros de cableado y dems
reas de procesamiento de informacin.
El Grupo de Recursos Fsicos debe controlar el ingreso de los visitantes a los centros de
cableado que estn bajo su custodia.
El Grupo de Recursos Fsicos debe cerciorarse de que los centros de cableado que
estn bajo su custodia, se encuentren separados de reas que tengan lquidos
inflamables o que corran riesgo de inundaciones e incendios.

Cdigo:
Versin: 3
Fecha:
Pgina: 41 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

El Grupo de Recursos Fsicos, con el acompaamiento de la Direccin de Tecnologa,


debe verificar que el cableado se encuentra protegido con el fin de disminuir las
intercepciones o daos.
Normas dirigidas a: TODOS LOS USUARIOS
Los ingresos y egresos de personal a las instalaciones del ICETEX deben ser
registrados; por consiguiente, los funcionarios y personal provisto por terceras partes
deben cumplir completamente con los controles fsicos implantados.
Los funcionarios deben portar el carn que los identifica como tales en un lugar visible
mientras se encuentren en las instalaciones del instituto; en caso de prdida del carn o
tarjeta de acceso a las instalaciones, deben reportarlo a la mayor brevedad posible.
Aquellos funcionarios o personal provisto por terceras partes para los que aplique, en
razn del servicio prestado, deben utilizar prendas distintivas que faciliten su
identificacin.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben intentar
ingresar a reas a las cuales no tengan autorizacin.

13.2. POLTICA DE SEGURIDAD PARA LOS EQUIPOS INSTITUCIONALES


El ICETEX para evitar la prdida, robo o exposicin al peligro de los recursos de la
plataforma tecnolgica del instituto que se encuentren dentro o fuera de sus instalaciones,
proveer los recursos que garanticen la mitigacin de riesgos sobre dicha plataforma
tecnolgica.

13.2.1. Normas de seguridad para los equipos institucionales


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe proveer los mecanismos y estrategias necesarios para
proteger la confidencialidad, integridad y disponibilidad de los recursos tecnolgicos,
dentro y fuera de las instalaciones del ICETEX.
La Direccin de Tecnologa debe realizar mantenimientos preventivos y correctivos de
los recursos de la plataforma tecnolgica del instituto.

Cdigo:
Versin: 3
Fecha:
Pgina: 42 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa, en conjunto con la Coordinacin de Recursos Fsicos debe


propender porque las reas de carga y descarga de equipos de cmputo se encuentren
aisladas del centro de cmputo y otras reas de procesamiento de informacin.
La Direccin de Tecnologa debe generar estndares de configuracin segura para los
equipos de cmputo de los funcionarios del instituto y configurar dichos equipos
acogiendo los estndares generados.
La Direccin de Tecnologa debe establecer las condiciones que deben cumplir los
equipos de cmputo de personal provisto por terceros, que requieran conectarse a la red
de datos del instituto y verificar el cumplimiento de dichas condiciones antes de
conceder a estos equipos acceso a los servicios de red.
La Direccin de Tecnologa debe aislar los equipos de reas sensibles, como la
Direccin de Tesorera para proteger su acceso de los dems funcionarios de la red de
la empresa.
La Direccin de Tecnologa debe generar y aplicar lineamientos para la disposicin
segura de los equipos de cmputo de los funcionarios del instituto, ya sea cuando son
dados de baja o cambian de usuario.
Normas dirigidas a: OFICINA DE CONTROL INTERNO

La Oficina de Control Interno tiene la responsabilidad de incluir dentro del plan anual de
auditoras la verificacin aleatoria a los equipos de cmputo de todas las dependencias y
puntos de atencin de la entidad.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe evaluar y analizar los informes de verificacin de equipos de
cmputo de las diferentes reas del instituto, en particular de las reas sensibles.
Normas dirigidas a: SECRETARIA GENERAL GRUPO DE RECURSOS FISICOS
El Grupo de Recursos Fsicos debe revisar los accesos fsicos en horas no hbiles a las
reas donde se procesa informacin.
El Grupo de Recursos Fsicos debe restringir el acceso fsico a los equipos de cmputo
de reas donde se procesa informacin sensible.

Cdigo:
Versin: 3
Fecha:
Pgina: 43 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

El Grupo de Recursos Fsicos debe velar porque la entrada y salida de estaciones de


trabajo, servidores, equipos porttiles y dems recursos tecnolgicos institucionales de
las instalaciones del ICETEX cuente con la autorizacin documentada y aprobada
previamente por el Coordinador de Recursos Fsicos.
El Grupo de Recursos Fsicos debe velar porque los equipos que se encuentran sujetos
a traslados fsicos fuera del instituto, posean plizas de seguro.
Normas dirigidas a: TODOS LOS USUARIOS
La Direccin de Tecnologa es la nica rea autorizada para realizar movimientos y
asignaciones de recursos tecnolgicos; por consiguiente, se encuentra prohibida la
disposicin que pueda hacer cualquier funcionario de los recursos tecnolgicos del
instituto.
Las estaciones de trabajo, dispositivos mviles y dems recursos tecnolgicos
asignados a los funcionarios y personal provisto por terceras partes deben acoger las
instrucciones tcnicas de proporcione la Direccin de Tecnologa.
Cuando se presente una falla o problema de hardware o software en una estacin de
trabajo u otro recurso tecnolgico propiedad del ICETEX el usuario responsable debe
informar a la Mesa de Ayuda en donde se atender o escalar al interior de la Direccin
de Tecnologa, con el fin de realizar una asistencia adecuada. El usuario no debe
intentar solucionar el problema.
La instalacin, reparacin o retiro de cualquier componente de hardware o software de
las estaciones de trabajo, dispositivos mviles y dems recursos tecnolgicos del
instituto, solo puede ser realizado por los funcionarios de la Direccin de Tecnologa, o
personal de terceras partes autorizado por dicha direccin.
Los funcionarios del instituto y el personal provisto por terceras partes deben bloquear
sus estaciones de trabajo en el momento de abandonar su puesto de trabajo.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben dejar
encendidas las estaciones de trabajo u otros recursos tecnolgicos en horas no
laborables.

Cdigo:
Versin: 3
Fecha:
Pgina: 44 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los equipos de cmputo, bajo ninguna circunstancia, deben ser dejados desatendidos
en lugares pblicos o a la vista, en el caso de que estn siendo transportados.
Los equipos de cmputo deben ser transportados con las medidas de seguridad
apropiadas, que garanticen su integridad fsica.
Los equipos porttiles siempre deben ser llevados como equipaje de mano y se debe
tener especial cuidado de no exponerlos a fuertes campos electromagnticos.
En caso de prdida o robo de un equipo de cmputo del ICETEX, se debe informar de
forma inmediata al lder del proceso para que se inicie el trmite interno y se debe poner
la denuncia ante la autoridad competente.
Los funcionarios del instituto y el personal provisto por terceras partes deben asegurar
que sus escritorios se encuentran libres de los documentos que son utilizados durante el
desarrollo de sus funciones al terminar la jornada laboral y, que estos sean almacenados
bajo las protecciones de seguridad necesarias.

14. POLITICAS DE SEGURIDAD EN LAS OPERACIONES


14.1. POLTICA DE ASIGNACIN DE RESPONSABILIDADES OPERATIVAS
La Direccin de Tecnologa, encargada de la operacin y administracin de los recursos
tecnolgicos que apoyan los procesos del ICETEX, asignar funciones especficas a sus
funcionarios, quienes deben efectuar la operacin y administracin de dichos recursos
tecnolgicos, manteniendo y actualizando la documentacin de los procesos operativos
para la ejecucin de las actividades. As mismo, velar por la eficiencia de los controles
implantados en los procesos operativos asociados a los recursos tecnolgicos con el objeto
de proteger la confidencialidad, la integridad y la disponibilidad de la informacin manejada
y asegurar que los cambios efectuados sobre los recursos tecnolgicos, sern
adecuadamente controlados y debidamente autorizados.
La Direccin de Tecnologa proveer la capacidad de procesamiento requerida en los
recursos tecnolgicos y sistemas de informacin del instituto, efectuando proyecciones de
crecimiento y provisiones en la plataforma tecnolgica con una periodicidad definida.

Cdigo:
Versin: 3
Fecha:
Pgina: 45 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

14.1.1. Normas de asignacin de responsabilidades operativas


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe efectuar, a travs de sus funcionarios, la
documentacin y actualizacin de los procedimientos relacionados con la operacin y
administracin de la plataforma tecnolgica del instituto.
La Direccin de Tecnologa debe proporcionar a sus funcionarios manuales de
configuracin y operacin de los sistemas operativos, firmware, servicios de red, bases
de datos y sistemas de informacin que conforman la plataforma tecnolgica del
ICETEX.
La Direccin de Tecnologa debe proveer los recursos necesarios para la implantacin
de controles que permitan la separacin de ambientes de desarrollo, pruebas y
produccin, teniendo en cuenta consideraciones como: controles para el intercambio de
informacin entre los ambientes de desarrollo y produccin, la inexistencia de
compiladores, editores o fuentes en los ambientes de produccin y un acceso diferente
para cada uno de los ambientes.
La Direccin de Tecnologa, a travs de sus funcionarios, debe realizar estudios sobre la
demanda y proyecciones de crecimiento de los recursos administrados (capacity
planning) de manera peridica, con el fin de asegurar el desempeo y capacidad de la
plataforma tecnolgica. Estos estudios y proyecciones deben considerar aspectos de
consumo de recursos de procesadores, memorias, discos, servicios de impresin,
anchos de banda, internet y trfico de las redes de datos, entre otros.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe emitir concepto y generar recomendaciones acerca de las
soluciones de seguridad seleccionadas para la plataforma tecnolgica del instituto.

14.2. POLTICA DE PROTECCIN FRENTE A SOFTWARE MALICIOSO


El ICETEX proporcionar los mecanismos necesarios que garanticen la proteccin de la
informacin y los recursos de la plataforma tecnolgica en donde se procesa y almacena,
adoptando los controles necesarios para evitar la divulgacin, modificacin o dao
permanente ocasionados por el contagio de software malicioso. Adems, proporcionar los
mecanismos para generar cultura de seguridad entre sus funcionarios y personal provisto
por terceras partes frente a los ataques de software malicioso.

Cdigo:
Versin: 3
Fecha:
Pgina: 46 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

14.2.1. Normas de proteccin frente a software malicioso


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe proveer herramientas tales como antivirus,
antimalware, antispam, antispyware, entre otras, que reduzcan el riesgo de contagio de
software malicioso y respalden la seguridad de la informacin contenida y administrada
en la plataforma tecnolgica del ICETEX y los servicios que se ejecutan en la misma.
La Direccin de Tecnologa debe asegurar que el software de antivirus, antimalware,
antispam y antispyware cuente con las licencias de uso requeridas, certificando as su
autenticidad y la posibilidad de actualizacin peridica de las ltimas bases de datos de
firmas del proveedor del servicio.
La Direccin de Tecnologa debe certificar que la informacin almacenada en la
plataforma tecnolgica sea escaneada por el software de antivirus, incluyendo la
informacin que se encuentra contenida y es transmitida por el servicio de correo
electrnico.
La Direccin de Tecnologa, a travs de sus funcionarios, debe asegurarse que los
usuarios no puedan realizar cambios en la configuracin del software de antivirus,
antispyware, antispam, antimalware.
La Direccin de Tecnologa, a travs de sus funcionarios, debe certificar que el software
de antivirus, antispyware, antispam, antimalware, posea las ltimas actualizaciones y
parches de seguridad, para mitigar las vulnerabilidades de la plataforma tecnolgica.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios de recursos tecnolgicos no deben cambiar o eliminar la configuracin del
software de antivirus, antispyware, antimalware, antispam definida por la Direccin de
Tecnologa; por consiguiente, nicamente podrn realizar tareas de escaneo de virus en
diferentes medios.
Los usuarios de recursos tecnolgicos deben ejecutar el software de antivirus,
antispyware, antispam, antimalware sobre los archivos y/o documentos que son abiertos
o ejecutados por primera vez, especialmente los que se encuentran en medios de
almacenamiento externos o que provienen del correo electrnico.

Cdigo:
Versin: 3
Fecha:
Pgina: 47 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los usuarios deben asegurarse que los archivos adjuntos de los correos electrnicos
descargados de internet o copiados de cualquier medio de almacenamiento, provienen
de fuentes conocidas y seguras para evitar el contagio de virus informticos y/o
instalacin de software malicioso en los recursos tecnolgicos.
Los usuarios que sospechen o detecten alguna infeccin por software malicioso deben
notificar a la Mesa de Ayuda, para que a travs de ella, la Direccin de Tecnologa tome
las medidas de control correspondientes.

14.3. POLTICA DE COPIAS DE RESPALDO DE LA INFORMACIN


El ICETEX certificar la generacin de copias de respaldo y almacenamiento de su
informacin crtica, proporcionando los recursos necesarios y estableciendo los
procedimientos y mecanismos para la realizacin de estas actividades. Las reas
propietarias de la informacin, con el apoyo de la Direccin de Tecnologa, encargada de la
generacin de copias de respaldo, definirn la estrategia a seguir y los periodos de
retencin para el respaldo y almacenamiento de la informacin.
As mismo, el instituto velar porque los medios magnticos que contienen la informacin
crtica sean almacenados en una ubicacin diferente a las instalaciones donde se
encuentra dispuesta. El sitio externo donde se resguarden las copias de respaldo debe
contar con los controles de seguridad fsica y medioambiental apropiados.

14.3.1. Normas de copias de respaldo de la informacin


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa, a travs de sus funcionarios, debe generar y adoptar los
procedimientos para la generacin, restauracin, almacenamiento y tratamiento para las
copias de respaldo de la informacin, velando por su integridad y disponibilidad.
La Direccin de Tecnologa debe disponer de los recursos necesarios para permitir la
identificacin de los medios de almacenamiento, la informacin contenida en ellos y la
ubicacin fsica de los mismos para permitir un rpido y eficiente acceso a los medios
que contienen la informacin resguardada.
La Direccin de Tecnologa, a travs de sus funcionarios, debe llevar a cabo los
procedimientos para realizar pruebas de recuperacin a las copias de respaldo, para as
comprobar su integridad y posibilidad de uso en caso de ser necesario.

Cdigo:
Versin: 3
Fecha:
Pgina: 48 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa debe definir las condiciones de transporte o transmisin y


custodia de las copias de respaldo de la informacin que son almacenadas
externamente.
La Direccin de Tecnologa debe proporcionar apoyo para la definicin de las estrategias
de generacin, retencin y rotacin de las copias de respaldo de la los activos
informacin del instituto.
Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACIN
Los propietarios de los recursos tecnolgicos y sistemas de informacin deben definir,
en conjunto con la Direccin de Tecnologa, las estrategias para la generacin, retencin
y rotacin de las copias de respaldo de los activos de informacin.
Normas dirigidas a: TODOS LOS USUARIOS
Es responsabilidad de los usuarios de la plataforma tecnolgica del ICETEX identificar la
informacin crtica que debe ser respaldada y almacenarla de acuerdo con su nivel de
clasificacin.

14.4. POLTICA DE REGISTRO DE EVENTOS Y MONITOREO DE LOS


RECURSOS TECNOLGICOS Y LOS SISTEMAS DE INFORMACIN
El ICETEX realizar monitoreo permanente del uso que dan los funcionarios y el personal
provisto por terceras partes a los recursos de la plataforma tecnolgica y los sistemas de
informacin del instituto. Adems, velar por la custodia de los registros de auditoria
cumpliendo con los periodos de retencin establecidos para dichos registros.
La Direccin de Tecnologa y la Oficina de Riesgos definirn la realizacin de monitoreo de
los registros de auditoria sobre los aplicativos donde se opera los procesos misionales del
instituto. El Comit de revisin de logs mensualmente se reunir a analizar los resultados
del monitoreo efectuado.

14.4.1. Normas de registro de eventos y monitoreo de los recursos


tecnolgicos y los sistemas de informacin
Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS

Cdigo:
Versin: 3
Fecha:
Pgina: 49 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa, en conjunto con la Oficina de Riesgos, debe determinar los


eventos que generarn registros de auditora en los recursos tecnolgicos y los
sistemas de informacin del ICETEX.
La Direccin de Tecnologa y la Oficina de Riesgos, a travs del Comit de revisin de
logs, deben definir de manera mensual cules monitoreos se realizarn de los registros
de auditoria sobre los aplicativos donde se opera los procesos misionales del instituto.
As mismo, se deben reunir para analizar los resultados de cada monitoreo efectuado.
La Direccin de Tecnologa, a travs de sus funcionarios, debe habilitar los registros de
auditora y sistemas de monitoreo de la plataforma tecnolgica administrada, acorde con
los eventos a auditar establecidos.
La Direccin de Tecnologa debe certificar la integridad y disponibilidad de los registros
de auditoria generados en la plataforma tecnolgica y los sistemas de informacin del
ICETEX. Estos registros deben ser almacenados y solo deben ser accedidos por
personal autorizado.
Normas dirigidas a: OFICINA DE CONTROL INTERNO
La Oficina de Control Interno debe determinar los periodos de retencin de los registros
(logs) de auditoria de los recursos tecnolgicos y los sistemas de informacin del
instituto.
La Oficina de Control Interno debe revisar peridicamente los registros de auditoria de la
plataforma tecnolgica y los sistemas de informacin con el fin de identificar brechas de
seguridad y otras actividades propias del monitoreo.
Normas dirigidas a: DESARROLLADORES (INTERNOS Y EXTERNOS)
Los desarrolladores deben generar registros (logs) de auditora de las actividades
realizadas por los usuarios finales y administradores en los sistemas de informacin
desarrollados. Se deben utilizar controles de integridad sobre dichos registros.
Los desarrolladores deben registrar en los logs de auditora eventos como: fallas de
validacin, intentos de autenticacin fallidos y exitosos, fallas en los controles de acceso,
intento de evasin de controles, excepciones de los sistemas, funciones administrativas
y cambios de configuracin de seguridad, entre otros, de acuerdo con las directrices
establecidas por la Direccin de Tecnologa y la Oficina de Riesgos.

Cdigo:
Versin: 3
Fecha:
Pgina: 50 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los desarrolladores deben evitar almacenar datos innecesarios de los sistemas


construidos en los logs de auditoria que brinden informacin adicional a la estrictamente
requerida.

14.5. POLITICA DE CONTROL AL SOFTWARE OPERATIVO


El ICETEX, a travs de la Direccin de Tecnologa, designar responsables y establecer
procedimientos para controlar la instalacin de software operativo, se cerciorar de contar
con el soporte de los proveedores de dicho software y asegurar la funcionalidad de los
sistemas de informacin que operan sobre la plataforma tecnolgica cuando el software
operativo es actualizado.

14.5.1. Normas de control al software operativo


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe establecer responsabilidades y procedimientos para
controlar la instalacin del software operativo, que interacten con el procedimiento de
control de cambios existente en el instituto.
La Direccin de Tecnologa debe asegurarse que el software operativo instalado en la
plataforma tecnolgica del ICETEX cuenta con soporte de los proveedores.
La Direccin de Tecnologa debe conceder accesos temporales y controlados a los
proveedores para realizar las actualizaciones sobre el software operativo, as como
monitorear dichas actualizaciones.
La Direccin de Tecnologa debe validar los riesgos que genera la migracin hacia
nuevas versiones del software operativo. Se debe asegurar el correcto funcionamiento
de sistemas de informacin y herramientas de software que se ejecutan sobre la
plataforma tecnolgica cuando el software operativo es actualizado.
La Direccin de Tecnologa debe establecer las restricciones y limitaciones para la
instalacin de software operativo en los equipos de cmputo del instituto.

14.6. POLTICA DE GESTIN DE VULNERABILIDADES


El ICETEX, a travs de la Direccin de Tecnologa y la Oficina de Riesgos, revisar
peridicamente la aparicin de vulnerabilidades tcnicas sobre los recursos de la

Cdigo:
Versin: 3
Fecha:
Pgina: 51 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

plataforma tecnolgica por medio de la realizacin peridica de pruebas de


vulnerabilidades, con el objetivo de realizar la correccin sobre los hallazgos arrojados por
dichas pruebas. Estas dos reas conforman en Comit de vulnerabilidades encargado de
revisar, valorar y gestionar las vulnerabilidades tcnicas encontradas.

14.6.1. Normas para la gestin de vulnerabilidades


Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe adelantar los trmites correspondientes para la realizacin
de pruebas de vulnerabilidades y hacking tico con una periodicidad establecida, por un
ente independiente al rea objeto de las pruebas, con el fin de garantizar la objetividad
del desarrollo de las mismas.
La Oficina de Riesgos debe generar los lineamientos y recomendaciones para la
mitigacin de vulnerabilidades, resultado de las pruebas de vulnerabilidades y hacking
tico.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe revisar peridicamente la aparicin de nuevas
vulnerabilidades tcnicas y reportarlas a los administradores de la plataforma
tecnolgica y los desarrolladores de los sistemas de informacin, con el fin de prevenir la
exposicin al riesgo de estos.
La Direccin de Tecnologa, a travs de sus funcionarios, debe generar y ejecutar o
monitorear planes de accin para la mitigacin de las vulnerabilidades tcnicas
detectadas en la plataforma tecnolgica.
Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS
La Direccin de Tecnologa y la Oficina de Riesgos, a travs del Comit de
vulnerabilidades, deben revisar, valorar y gestionar las vulnerabilidades tcnicas
encontradas, apoyndose en herramientas tecnolgicas para su identificacin.

15. POLTICAS DE SEGURIDAD EN LAS COMUNICACIONES


15.1. POLTICA DE GESTION Y ASEGURAMIENTO DE LAS REDES DE DATOS
El ICETEX establecer, a travs de la Direccin de Tecnologa, los mecanismos de control
necesarios para proveer la disponibilidad de las redes de datos y de los servicios que

Cdigo:
Versin: 3
Fecha:
Pgina: 52 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

dependen de ellas; as mismo, velar por que se cuente con los mecanismos de seguridad
que protejan la integridad y la confidencialidad de la informacin que se transporta a travs
de dichas redes de datos.
De igual manera, propender por el aseguramiento de las redes de datos, el control del
trfico en dichas redes y la proteccin de la informacin reservada y restringida del instituto.

15.1.1. Normas de gestin y aseguramiento de las redes de datos


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe adoptar medidas para asegurar la disponibilidad de los
recursos y servicios de red del ICETEX.
La Direccin de Tecnologa debe implantar controles para minimizar los riesgos de
seguridad de la informacin transportada por medio de las redes de datos.
La Direccin de Tecnologa debe mantener las redes de datos segmentadas por
dominios, grupos de servicios, grupos de usuarios, ubicacin geogrfica o cualquier otra
tipificacin que se considere conveniente para el instituto.
La Direccin de Tecnologa debe identificar los mecanismos de seguridad y los niveles
de servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando
estos se contraten externamente.
La Direccin de Tecnologa debe establecer los estndares tcnicos de configuracin de
los dispositivos de seguridad y de red de la plataforma tecnolgica del instituto,
acogiendo buenas prcticas de configuracin segura.
La Direccin de Tecnologa, a travs de sus funcionarios, debe identificar, justificar y
documentar los servicios, protocolos y puertos permitidos por el instituto en sus redes de
datos e inhabilitar o eliminar el resto de los servicios, protocolos y puertos.
La Direccin de Tecnologa debe instalar proteccin entre las redes internas del ICETEX
y cualquier red externa, que este fuera de la capacidad de control y administracin del
instituto.
La Direccin de Tecnologa debe velar por la confidencialidad de la informacin del
direccionamiento y el enrutamiento de las redes de datos del ICETEX.

Cdigo:
Versin: 3
Fecha:
Pgina: 53 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

15.2. POLTICA DE USO DEL CORREO ELECTRONICO


El ICETEX, entendiendo la importancia del correo electrnico como herramienta para
facilitar la comunicacin entre funcionarios y terceras partes, proporcionar un servicio
idneo y seguro para la ejecucin de las actividades que requieran el uso del correo
electrnico, respetando siempre los principios de confidencialidad, integridad, disponibilidad
y autenticidad de quienes realizan las comunicaciones a travs de este medio.

15.2.1. Normas de uso del correo electrnico


Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS
La Direccin de Tecnologa debe generar y divulgar un procedimiento para la
administracin de cuentas de correo electrnico.
La Direccin de Tecnologa debe disear y divulgar las directrices tcnicas para el uso
de los servicios de correo electrnico.
La Direccin de Tecnologa debe proveer un ambiente seguro y controlado para el
funcionamiento de la plataforma de correo electrnico.
La Direccin de Tecnologa debe establecer procedimientos e implantar controles que
permitan detectar y proteger la plataforma de correo electrnico contra cdigo malicioso
que pudiera ser transmitido a travs de los mensajes.
La Direccin de Tecnologa, con el apoyo de la Oficina de Riesgos, debe generar
campaas para concientizar tanto a los funcionarios internos, como al personal provisto
por terceras partes, respecto a las precauciones que deben adoptar en el intercambio de
informacin sensible por medio del correo electrnico.
Normas dirigidas a: TODOS LOS USUARIOS
La cuenta de correo electrnico asignada es de carcter individual; por consiguiente,
ningn funcionario del instituto o provisto por un tercero, bajo ninguna circunstancia debe
utilizar una cuenta de correo que no sea la suya.
Los mensajes y la informacin contenida en los correos electrnicos deben ser
relacionados con el desarrollo de las labores y funciones de cada usuario en apoyo al
objetivo misional del ICETEX. El correo institucional no debe ser utilizado para
actividades personales.

Cdigo:
Versin: 3
Fecha:
Pgina: 54 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los mensajes y la informacin contenida en los buzones de correo son propiedad del
ICETEX y cada usuario, como responsable de su buzn, debe mantener solamente los
mensajes relacionados con el desarrollo de sus funciones.
Los usuarios de correo electrnico institucional tienen prohibido el envi de cadenas de
mensajes de cualquier tipo, ya sea comercial, poltico, religioso, material audiovisual,
contenido discriminatorio, pornografa y dems condiciones que degraden la condicin
humana y resulten ofensivas para los funcionarios del instituto y el personal provisto por
terceras partes.
No es permitido el envo de archivos que contengan extensiones ejecutables, bajo
ninguna circunstancia.
Todos los mensajes enviados deben respetar el estndar de formato e imagen
corporativa definidos por el ICETEX y deben conservar en todos los casos el mensaje
legal corporativo de confidencialidad.

15.3. POLTICA DE USO ADECUADO DE INTERNET


El ICETEX consciente de la importancia de Internet como una herramienta para el
desempeo de labores, proporcionar los recursos necesarios para asegurar su
disponibilidad a los usuarios que as lo requieran para el desarrollo de sus actividades
diarias en el instituto.

15.3.1. Normas de uso adecuado de internet


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe proporcionar los recursos necesarios para la
implementacin, administracin y mantenimiento requeridos para la prestacin segura
del servicio de Internet, bajo las restricciones de los perfiles de acceso establecidos.
La Direccin de Tecnologa debe disear e implementar mecanismos que permitan la
continuidad o restablecimiento del servicio de Internet en caso de contingencia interna.

Cdigo:
Versin: 3
Fecha:
Pgina: 55 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa debe monitorear continuamente el canal o canales del


servicio de Internet.
La Direccin de Tecnologa debe establecer procedimientos e implementar controles
para evitar la descarga de software no autorizado, evitar cdigo malicioso proveniente de
Internet y evitar el acceso a sitios catalogados como restringidos.
La Direccin de Tecnologa debe generar registros de la navegacin y los accesos de
los usuarios a Internet, as como establecer e implantar procedimientos de monitoreo
sobre la utilizacin del servicio de Internet.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe generar campaas para concientizar tanto a los funcionarios
internos, como al personal provisto por terceras partes, respecto a las precauciones que
deben tener en cuenta cuando utilicen el servicio de Internet.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios del servicio de Internet del ICETEX deben hacer uso del mismo en relacin
con las actividades laborales que as lo requieran.
Los usuarios del servicio de Internet deben evitar la descarga de software desde
internet, as como su instalacin en las estaciones de trabajo o dispositivos mviles
asignados para el desempeo de sus labores.
No est permitido el acceso a pginas relacionadas con pornografa, drogas, alcohol,
webproxys, hacking y/o cualquier otra pgina que vaya en contra de la tica moral, las
leyes vigentes o polticas establecidas en este documento.
Los usuarios del servicio de internet tienen prohibido el acceso y el uso de servicios
interactivos o mensajera instantnea como Facebook, Kazaa, MSN, Yahoo, Sype,
Net2phome y otros similares, que tengan como objetivo crear comunidades para
intercambiar informacin, o bien para fines diferentes a las actividades propias del
negocio del ICETEX.
No est permitido la descarga, uso, intercambio y/o instalacin de juegos, msica,
pelculas, protectores y fondos de pantalla, software de libre distribucin, informacin y/o

Cdigo:
Versin: 3
Fecha:
Pgina: 56 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o
que contengan archivos ejecutables y/o herramientas que atenten contra la integridad,
disponibilidad y/o confidencialidad de la infraestructura tecnolgica (hacking), entre
otros. La descarga, uso, intercambio y/o instalacin de informacin audiovisual (videos e
imgenes) utilizando sitios pblicos en Internet debe ser autorizada por el jefe respectivo
y la Direccin de Tecnologa, o a quienes ellos deleguen de forma explcita para esta
funcin, asociando los procedimientos y controles necesarios para el monitoreo y
aseguramiento del buen uso del recurso.
No est permitido el intercambio no autorizado de informacin de propiedad del ICETEX,
de sus clientes y/o de sus funcionarios, con terceros.

15.4. POLTICA DE INTERCAMBIO DE INFORMACIN


El ICETEX asegurar la proteccin de la informacin en el momento de ser transferida o
intercambiada con otras entidades y establecer los procedimientos y controles necesarios
para el intercambio de informacin; as mismo, se establecern Acuerdos de
Confidencialidad y/o de Intercambio de Informacin con las terceras partes con quienes se
realice dicho intercambio. El instituto propender por el uso de tecnologas informticas y
de telecomunicaciones para llevar a cabo el intercambio de informacin; sin embargo,
establecer directrices para el intercambio de informacin en medio fsico.

15.4.1. Normas de intercambio de informacin


Normas dirigidas a: SECRETARIA GENERAL GRUPO DE CONTRATACION
El Grupo de Contratacin, en acompaamiento con la Oficina de Riesgos, debe definir
los modelos de Acuerdos de Confidencialidad y/o de Intercambio de Informacin entre el
instituto y tercera partes incluyendo los compromisos adquiridos y las penalidades civiles
o penales por el incumplimiento de dichos acuerdos. Entre los aspectos a considerar se
debe incluir la prohibicin de divulgar la informacin entregada por el ICETEX a los
terceros con quienes se establecen estos acuerdos y la destruccin de dicha informacin
una vez cumpla su cometido.
El Grupo de Contratacin debe establecer en los contratos que se establezcan con
terceras partes, los Acuerdos de Confidencialidad o Acuerdos de intercambio dejando
explcitas las responsabilidades y obligaciones legales asignadas a dichos terceros por
la divulgacin no autorizada de informacin de beneficiarios del instituto que les ha sido
entregada en razn del cumplimiento de los objetivos misionales del ICETEX.
Normas dirigidas a: OFICINA DE RIESGOS

Cdigo:
Versin: 3
Fecha:
Pgina: 57 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Oficina de Riesgos debe definir y establecer el procedimiento de intercambio de


informacin con los diferentes terceros que, hacen parte de la operacin del ICETEX,
reciben o envan informacin de los beneficiarios del instituto, que contemple la
utilizacin de medios de transmisin confiables y la adopcin de controles, con el fin de
proteger la confidencialidad e integridad de la misma.
La Oficina de Riesgos debe velar porque el intercambio de informacin del ICETEX con
entidades externas se realice en cumplimiento de las Polticas de seguridad para el
intercambio de informacin aqu descritas, los Acuerdos de Intercambio de Informacin y
el procedimiento definido para dicho intercambio de informacin.
La Oficina de Riesgos debe autorizar el establecimiento del vnculo de transmisin de
informacin con terceras partes, para que posteriormente las reas funcionales realicen
las actividades de transmisin requeridas en cada caso.
Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACION
Los propietarios de los activos de informacin deben velar porque la informacin del
ICETEX o de sus beneficiarios sea protegida de divulgacin no autorizada por parte de
los terceros a quienes se entrega esta informacin, verificando el cumplimiento de las
clausulas relacionadas en los contratos, Acuerdos de confidencialidad o Acuerdos de
intercambio establecidos.
Los propietarios de los activos de informacin deben asegurar que los datos requeridos
de los beneficiarios slo puedan ser entregada a terceros, previo consentimiento de los
titulares de los mismos, salvo en los casos que lo disponga una ley o sea una solicitud
de los entes de control.
Los propietarios de los activos de informacin, o a quien ellos deleguen, deben verificar
que el intercambio de informacin con terceros deje registro del tipo de informacin
intercambiada, el emisor y receptor de la misma y la fecha de entrega/recepcin.
Los propietarios de los activos de informacin deben autorizar los requerimientos de
solicitud/envo de informacin del ICETEX por/a terceras partes, salvo que se trate de
solicitudes de entes de control o de cumplimiento de la legislacin vigente.
Los propietarios de los activos de informacin deben asegurarse que el Intercambio de
informacin (digital) solamente se realice si se encuentra autorizada y dando
cumplimiento a las Polticas de administracin de redes, de acceso lgico y de
proteccin de datos personales del ICETEX as como del procedimiento de intercambio
de informacin.

Cdigo:
Versin: 3
Fecha:
Pgina: 58 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los propietarios de los activos de informacin deben verificar la destruccin de la


informacin suministrada a los terceros, realizada por ellos una vez esta ha cumplido el
cometido por el cual fue enviada.
Normas
dirigidas
a:
CORRESPONDENCIA

SECRETARIA

GENERAL

COORDINACION

DE

La Coordinacin de Correspondencia debe acoger el procedimiento para el intercambio,


de informacin (medios de almacenamiento y documentos) con terceras partes y la
adopcin de controles a fin de proteger la informacin sensible contra divulgacin,
prdida o modificaciones.
La Coordinacin de Correspondencia debe certificar que todo envi de informacin fsica
a terceros (documento o medio magntico) utilice nicamente los servicios de transporte
o servicios de mensajera autorizados por el ICETEX, y que estos permitan ejecutar
rastreo de las entregas.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe ofrecer servicios o herramientas de intercambio de
informacin seguros, as como adoptar controles como el cifrado de informacin, que
permitan el cumplimiento del procedimiento para el intercambio de informacin (digital o
medio magntico), con el fin de proteger dicha informacin contra divulgacin o
modificaciones no autorizadas.
Normas dirigidas a: TERCEROS CON QUIENES SE INTERCAMBIA INFORMACION DEL
ICETEX
Los terceros con quienes se intercambia informacin del ICETEX deben darle manejo
adecuado a la informacin recibida, en cumplimiento de las Polticas de seguridad del
instituto, de las condiciones contractuales establecidas y del Procedimiento de
intercambio de informacin.
Los terceros con quienes se intercambia informacin del instituto deben destruir de
manera segura la informacin suministrada, una vez esta cumpla con la funcin para la
cual fue enviada y demostrar la realizacin de las actividades de destruccin.
Normas dirigidas a: TODOS LOS USUARIOS:
Los usuarios no deben utilizar el correo electrnico como medio para enviar o recibir
informacin sensible del instituto o de sus beneficiarios.

Cdigo:
Versin: 3
Fecha:
Pgina: 59 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

No est permitido el intercambio de informacin sensible del instituto por va telefnica.

16. POLTICAS DE ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE


SISTEMAS DE INFORMACIN
16.1. POLTICA PARA
SEGURIDAD

EL

ESTABLECIMIENTO

DE

REQUISITOS

DE

El ICETEX asegurar que el software adquirido y desarrollado tanto al interior del instituto,
como por terceras partes, cumplir con los requisitos de seguridad y calidad establecidos
por l. Las reas propietarias de sistemas de informacin, la Direccin de Tecnologa y la
Oficina de Riesgos incluirn requisitos de seguridad en la definicin de requerimientos y,
posteriormente se asegurarn que estos se encuentren generados a cabalidad durante las
pruebas realizadas sobre los desarrollos del software construido.

16.1.1. Normas para el establecimiento de requisitos de seguridad


Normas dirigidas a: PROPIETARIOS DE LOS SISTEMAS DE
DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS

INFORMACIN,

Todos los sistemas de informacin o desarrollos de software deben tener un rea


propietaria dentro del instituto formalmente asignada.
La Direccin de Tecnologa debe establecer metodologas para el desarrollo de
software, que incluyan la definicin de requerimientos de seguridad y las buenas
prcticas de desarrollo seguro, con el fin de proporcionar a los desarrolladores una
visin clara de lo que se espera.
Las reas propietarias de los sistemas de informacin, en acompaamiento con la
Direccin de Tecnologa y la Oficina de Riesgos deben establecer las especificaciones
de adquisicin o desarrollo de sistemas de informacin, considerando requerimientos de
seguridad de la informacin.
Las reas propietarias de los sistemas de informacin deben definir qu informacin
sensible puede ser eliminada de sus sistemas y solicitar que estos soporten la
eliminacin de dicha informacin, como es el caso de los datos personales o financieros,
cuando estos ya no son requeridos.

Cdigo:
Versin: 3
Fecha:
Pgina: 60 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Oficina de Riesgos debe liderar la definicin de requerimientos de seguridad de los


sistemas de informacin, teniendo en cuenta aspectos como la estandarizacin de
herramientas de desarrollo, controles de autenticacin, controles de acceso y
arquitectura de aplicaciones, entre otros.
Normas dirigidas a: DESARROLLADORES (INTERNOS O EXTERNOS)
Los desarrolladores deben documentar los requerimientos establecidos y definir la
arquitectura de software ms conveniente para cada sistema de informacin que se
quiera desarrollar, de acuerdo con los requerimientos de seguridad y los controles
deseados.
Los desarrolladores deben certificar que todo sistema de informacin adquirido o
desarrollado utilice herramientas de desarrollo licenciadas y reconocidas en el mercado.
Los desarrolladores deben deshabilitar las funcionalidades de completar
automticamente en formularios de solicitud de datos que requieran informacin
sensible.
Los desarrolladores deben establecer el tiempo de duracin de las sesiones activas de
las aplicaciones, terminndolas una vez se cumpla este tiempo.
Los desarrolladores deben asegurar que no se permitan conexiones recurrentes a los
sistemas de informacin construidos con el mismo usuario.
Los desarrolladores deben utilizar usar los protocolos sugeridos por la Direccin de
Tecnologa y la Oficina de Riesgos en los aplicativos desarrollados.
Los desarrolladores deben certificar la transmisin de informacin relacionada con pagos
o transacciones en lnea a los operadores encargados, por medio de canales seguros.

16.2. POLTICA DE DESARROLLO SEGURO, REALIZACION DE PRUEBAS Y


SOPORTE DE LOS SISTEMAS
El ICETEX velar porque el desarrollo interno o externo de los sistemas de informacin
cumpla con los requerimientos de seguridad esperados, con las buenas prcticas para
desarrollo seguro de aplicativos, as como con metodologas para la realizacin de pruebas

Cdigo:
Versin: 3
Fecha:
Pgina: 61 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

de aceptacin y seguridad al software desarrollado. Adems, se asegurar que todo


software desarrollado o adquirido, interna o externamente cuenta con el nivel de soporte
requerido por el instituto.

16.2.1. Normas de desarrollo seguro, realizacin de pruebas y soporte de los


sistemas
Normas dirigidas a: PROPIETARIOS DE LOS SISTEMAS DE INFORMACIN
Los propietarios de los sistemas de informacin son responsables de realizar las
pruebas para asegurar que cumplen con los requerimientos de seguridad establecidos
antes del paso a produccin de los sistemas, utilizando metodologas establecidas para
este fin, documentado las pruebas realizadas y aprobando los pasos a produccin.
Estas pruebas deben realizarse por entrega de funcionalidades nuevas, por ajustes de
funcionalidad o por cambios sobre la plataforma tecnolgica en la cual funcionan los
aplicativos.
Los propietarios de los sistemas de informacin deben aprobar las migraciones entre los
ambientes de desarrollo, pruebas y produccin de sistemas de informacin nuevos y/o
de cambios o nuevas funcionalidades.
Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe implantar los controles necesarios para asegurar que
las migraciones entre los ambientes de desarrollo, pruebas y produccin han sido
aprobadas, de acuerdo con el procedimiento de control de cambios.
La Direccin de Tecnologa debe contar con sistemas de control de versiones para
administrar los cambios de los sistemas de informacin del ICETEX.
La Direccin de Tecnologa debe asegurase que los sistemas de informacin adquiridos
o desarrollados por terceros, cuenten con un acuerdo de licenciamiento el cual debe
especificar las condiciones de uso del software y los derechos de propiedad intelectual.
La Direccin de Tecnologa debe generar metodologas para la realizacin de pruebas al
software desarrollado, que contengan pautas para la seleccin de escenarios, niveles,
tipos, datos de pruebas y sugerencias de documentacin.
La Direccin de Tecnologa, a travs de sus funcionarios, se debe asegurar que la
plataforma tecnolgica, las herramientas de desarrollo y los componentes de cada

Cdigo:
Versin: 3
Fecha:
Pgina: 62 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

sistema de informacin estn actualizados con todos los parches generados para las
versiones en uso y que estn ejecutando la ltima versin aprobada del sistema.
La Direccin de Tecnologa debe incluir dentro del procedimiento y los controles de
gestin de cambios el manejo de los cambios en el software aplicativo y los sistemas de
informacin del instituto.
Normas dirigidas a: DESARROLLADORES (INTERNOS O EXTERNOS)
Los desarrolladores de los sistemas de informacin deben considerar las buenas
prcticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos,
pasando desde el diseo hasta la puesta en marcha.
Los desarrolladores deben proporcionar un nivel adecuado de soporte para solucionar
los problemas que se presenten en el software aplicativo del ICETEX; dicho soporte
debe contemplar tiempos de respuesta aceptables.
Los desarrolladores deben construir los aplicativos de tal manera que efecten las
validaciones de datos de entrada y la generacin de los datos de salida de manera
confiable, utilizando rutinas de validacin centralizadas y estandarizadas.
Los desarrolladores deben asegurar que los sistemas de informacin construidos validen
la informacin suministrada por los usuarios antes de procesarla, teniendo en cuenta
aspectos como: tipos de datos, rangos vlidos, longitud, listas de caracteres aceptados,
caracteres considerados peligrosos y caracteres de alteracin de rutas, entre otros.
Los desarrolladores deben suministrar opciones de desconexin o cierre de sesin de
los aplicativos (logout) que permitan terminar completamente con la sesin o conexin
asociada, las cuales deben encontrarse disponibles en todas las pginas protegidas por
autenticacin.
Los desarrolladores deben asegurar el manejo de operaciones sensibles o crticas en los
aplicativos desarrollados permitiendo el uso de dispositivos adicionales como tokens o el
ingreso de parmetros adicionales de verificacin.
Los desarrolladores deben asegurar que los aplicativos proporcionen la mnima
informacin de la sesin establecida, almacenada en cookies y complementos, entre
otros.

Cdigo:
Versin: 3
Fecha:
Pgina: 63 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Los desarrolladores deben garantizar que no se divulgue informacin sensible en


respuestas de error, incluyendo detalles del sistema, identificadores de sesin o
informacin de las cuentas de usuarios; as mismo, deben implementar mensajes de
error genricos.
Los desarrolladores deben remover todas las funcionalidades y archivos que no sean
necesarios para los aplicativos, previo a la puesta en produccin.
Los desarrolladores deben prevenir la revelacin de la estructura de directorios de los
sistemas de informacin construidos.
Los desarrolladores deben remover informacin innecesaria en los encabezados de
respuesta que se refieran a los sistemas operativos y versiones del software utilizado.
Los desarrolladores deben evitar incluir las cadenas de conexin a las bases de datos
en el cdigo de los aplicativos. Dichas cadenas de conexin deben estar en archivos de
configuracin independientes, los cuales se recomienda que estn cifrados.
Los desarrolladores deben certificar el cierre de la conexin a las bases de datos desde
los aplicativos tan pronto como estas no sean requeridas.
Los desarrolladores deben desarrollar los controles necesarios para la transferencia de
archivos, como exigir autenticacin, vigilar los tipos de archivos a transmitir, almacenar
los archivos transferidos en repositorios destinados para este fin o en bases de datos,
eliminar privilegios de ejecucin a los archivos transferidos y asegurar que dichos
archivos solo tengan privilegios de lectura.
Los desarrolladores deben proteger el cdigo fuente de los aplicativos construidos, de tal
forma de que no pueda ser descargado ni modificado por los usuarios.
Los desarrolladores deben asegurar que no se permite que los aplicativos desarrollados
ejecuten comandos directamente en el sistema operativo.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe verificar que las pruebas de seguridad sobre los sistemas de
informacin se realicen de acuerdo con las metodologas definidas, contando con
pruebas debidamente documentadas.

Cdigo:
Versin: 3
Fecha:
Pgina: 64 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

16.3. POLTICA PARA LA PROTECCION DE LOS DATOS DE PRUEBA


La Direccin de Tecnologa del ICETEX proteger los datos de prueba que se entregarn a
los desarrolladores, asegurando que no revelan informacin confidencial de los ambientes
de produccin.

16.3.1. Normas para la proteccin de los datos de prueba


Normas dirigidas a: DIRECCION DE TECNOLOGIA
La Direccin de Tecnologa debe certificar que la informacin a ser entregada a los
desarrolladores para sus pruebas ser enmascarada y no revelar informacin
confidencial de los ambientes de produccin.
La Direccin de Tecnologa debe eliminar la informacin de los ambientes de pruebas,
una vez estas han concluido.

17. POLTICAS QUE RIGEN DE LA RELACION CON TERCERAS PARTES


17.1. POLTICA DE INCLUSION DE CONDICIONES DE SEGURIDAD EN LA
RELACIN CON TERCERAS PARTES
El ICETEX establecer mecanismos de control en sus relaciones con terceras partes, con
el objetivo de asegurar que la informacin a la que tengan acceso o servicios que sean
provistos por las mismas, cumplan con las polticas, normas y procedimientos de seguridad
de la informacin.
Los funcionarios responsables de la realizacin y/o firma de contratos o convenios con
terceras partes se asegurarn de la divulgacin de las polticas, normas y procedimientos
de seguridad de la informacin a dichas partes.

17.1.1. Normas de inclusin de condiciones de seguridad en la relacin con


terceras partes
Normas dirigidas a: DIRECCION DE TECNOLOGIA, OFICINA ASESORA JURIDICA Y
OFICINA DE RIESGOS

Cdigo:
Versin: 3
Fecha:
Pgina: 65 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Direccin de Tecnologa, la Oficina Asesora Jurdica y la Oficina de Riesgos deben


generar un modelo base para los Acuerdos de Niveles de Servicio y requisitos de
Seguridad de la Informacin, con los que deben cumplir terceras partes o proveedores
de servicios; dicho modelo, debe ser divulgado a todas las reas que adquieran o
supervisen recursos y/o servicios tecnolgicos.
La Direccin de Tecnologa, la Oficina Asesora Jurdica y la Oficina de Riesgos deben
elaborar modelos de Acuerdos de Confidencialidad y Acuerdos de Intercambio de
Informacin con terceras partes. De dichos acuerdos deber derivarse una
responsabilidad tanto civil como penal para la tercera parte contratada.
Normas dirigidas a: DIRECCIN DE TECNOLOGIA
La Direccin de Tecnologa debe establecer las condiciones de conexin adecuada para
los equipos de cmputo y dispositivos mviles de los terceros en la red de datos del
instituto.
La Direccin de Tecnologa debe establecer las condiciones de comunicacin segura,
cifrado y transmisin de informacin desde y hacia los terceros proveedores de
servicios.
La Direccin de Tecnologa debe mitigar los riesgos relacionados con terceras partes
que tengan acceso a los sistemas de informacin y la plataforma tecnolgica del
ICETEX.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe evaluar y aprobar los accesos a la informacin del instituto
requeridos por terceras partes.
La Oficina de Riesgos debe identificar y monitorear los riesgos relacionados con terceras
partes o los servicios provistos por ellas, haciendo extensiva esta actividad a la cadena
de suministro de los servicios de tecnologa o comunicaciones provistos.
Normas dirigidas a: SUPERVISORES DE CONTRATOS CON TERCEROS
Los Supervisores de contratos con terceros deben divulgar las polticas, normas y
procedimientos de seguridad de la informacin del ICETEX a dichos terceros, as como
velar porque el acceso a la informacin y a los recursos de almacenamiento o
procesamiento de la misma, por parte de los terceros se realice de manera segura, de
acuerdo con las polticas, normas y procedimientos de seguridad de la informacin.

Cdigo:
Versin: 3
Fecha:
Pgina: 66 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

17.2. POLTICA DE GESTION DE LA PRESTACION DE SERVICIOS DE


TERCERAS PARTES
El ICETEX propender por mantener los niveles acordados de seguridad de la informacin
y de prestacin de los servicios de los proveedores, en concordancia con los acuerdos
establecidos con estos. As mismo, velar por la adecuada gestin de cambios en la
prestacin de servicios de dichos proveedores.

17.2.1.

Normas de gestin de la prestacin de servicios de terceras partes


Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS

La Direccin de Tecnologa debe verificar en el momento de la conexin y, cuando se


considelre pertinente, el cumplimiento de las condiciones de conexin de los equipos de
cmputo y dispositivos mviles de los terceros en la red de datos del instituto.
La Gerencia de Tecnologas de la Informacin y la Oficina de Riesgos deben verificar las
condiciones de comunicacin segura, cifrado y transmisin de informacin desde y hacia
los terceros proveedores de servicios.
Normas dirigidas a: OFICINA DE RIESGOS Y SUPERVISORES DE CONTRATOS CON
TERCEROS
La Oficina de Riesgos y los Supervisores de contratos con terceros deben monitorear
peridicamente, el cumplimiento de los Acuerdos de Niveles de Servicio, Acuerdos de
Confidencialidad, Acuerdos de Intercambio de informacin y los requisitos de Seguridad
de la Informacin de parte de los terceros proveedores de servicios.

Los Supervisores de contratos con terceros, con el apoyo de la Oficina de Riesgos,


deben administrar los cambios en el suministro de servicios por parte de los
proveedores, manteniendo los niveles de cumplimiento de servicio y seguridad
establecidos con ellos y monitoreando la aparicin de nuevos riesgos.

Cdigo:
Versin: 3
Fecha:
Pgina: 67 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

18. POLTICAS DE GESTIN DE INCIDENTES DE SEGURIDAD


18.1. POLTICA PARA EL REPORTE Y TRATAMIENTO DE INCIDENTES DE
SEGURIDAD
El ICETEX promover entre los funcionarios y personal provisto por terceras partes el
reporte de incidentes relacionados con la seguridad de la informacin y sus medios de
procesamiento, incluyendo cualquier tipo de medio de almacenamiento de informacin,
como la plataforma tecnolgica, los sistemas de informacin, los medios fsicos de
almacenamiento y las personas.
De igual manera, asignar responsables para el tratamiento de los incidentes de seguridad
de la informacin, quienes tendrn la responsabilidad de investigar y solucionar los
incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y
escalando los incidentes de acuerdo con su criticidad.
La Alta Direccin o a quien delegue, son los nicos autorizados para reportar incidentes de
seguridad ante las autoridades; as mismo, son los nicos canales de comunicacin
autorizados para hacer pronunciamientos oficiales ante entidades externas.

18.1.1.

Normas para el reporte y tratamiento de incidentes de seguridad

Normas dirigidas a: PROPIETARIOS DE LOS ACTIVOS DE INFORMACIN


Los propietarios de los activos de informacin deben informar a la Oficina de Riesgos,
los incidentes de seguridad que identifiquen o que reconozcan su posibilidad de
materializacin.
Normas dirigidas a: OFICINA DE RIESGOS
La Oficina de Riesgos debe establecer responsabilidades y procedimientos para
asegurar una respuesta rpida, ordenada y efectiva frente a los incidentes de seguridad
de la informacin.
La Oficina de Riesgos debe evaluar todos los incidentes de seguridad de acuerdo a sus
circunstancias particulares y escalar al Comit de Seguridad de la Informacin aquellos
en los que se considere pertinente.
La Oficina de Riesgos debe designar personal calificado, para investigar adecuadamente
los incidentes de seguridad reportados, identificando las causas, realizando una

Cdigo:
Versin: 3
Fecha:
Pgina: 68 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

investigacin exhaustiva, proporcionando las soluciones y finalmente previniendo su reocurrencia.


La Oficina de Riesgos debe, con el apoyo con la Direccin de Tecnologa y la Secretara
General, crear bases de conocimiento para los incidentes de seguridad presentados con
sus respectivas soluciones, con el fin de reducir el tiempo de respuesta para los
incidentes futuros, partiendo de dichas bases de conocimiento.
Normas dirigidas a: COMIT DE SEGURIDAD DE LA INFORMACION
El Comit de Seguridad de la Informacin debe analizar los incidentes de seguridad que
le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo
estime necesario.
Normas dirigidas a: TODOS LOS USUARIOS
Es responsabilidad de los funcionarios del ICETEX y del personal provisto por terceras
partes reportar cualquier evento o incidente relacionado con la informacin y/o los
recursos tecnolgicos con la mayor prontitud posible.
En caso de conocer la prdida o divulgacin no autorizada de informacin clasificada
como uso interno, reservada o restringida, los funcionarios deben notificarlo a la Oficina
de Riesgo para que se registre y se le d el trmite necesario.

19. POLTICAS DE INCLUSION DE SEGURIDAD DE LA INFORMACION EN LA


GESTIN DE LA CONTINUIDAD DEL NEGOCIO
19.1. POLTICA DE CONTINUIDAD, CONTINGENCIA, RECUPERACIN Y
RETORNO A LA NORMALIDAD CON CONSIDERACIONES DE SEGURIDAD
DE LA INFORMACION
El ICETEX proporcionar los recursos suficientes para proporcionar una respuesta efectiva
de funcionarios y procesos en caso de contingencia o eventos catastrficos que se
presenten en el instituto y que afecten la continuidad de su operacin.
Adems, responder de manera efectiva ante eventos catastrficos segn la magnitud y el
grado de afectacin de los mismos; se restablecern las operaciones con el menor costo y
prdidas posibles, manteniendo la seguridad de la informacin durante dichos eventos. El
ICETEX mantendr canales de comunicacin adecuados hacia funcionarios, proveedores y
terceras partes interesadas.

Cdigo:
Versin: 3
Fecha:
Pgina: 69 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

19.1.1. Normas de continuidad, contingencia, recuperacin y retorno a la


normalidad con consideraciones de seguridad de la informacin
Normas dirigidas a: COMITE SARO-SARLAFT Y OFICINA DE RIESGOS
El Comit SARO-SARLAFT, junto con la Oficina de Riesgos, deben reconocer las
situaciones que sern identificadas como emergencia o desastre para el instituto, los
procesos o las reas y determinar cmo se debe actuar sobre las mismas.
El Comit SARO-SARLAFT, junto con la Oficina de Riesgos, deben liderar los temas
relacionados con la continuidad del negocio y la recuperacin ante desastres
La Oficina de Riesgos debe realizar los anlisis de impacto al negocio y los anlisis de
riesgos de continuidad para, posteriormente proponer posibles estrategias de
recuperacin en caso de activarse el plan de contingencia o continuidad, con las
consideraciones de seguridad de la informacin a que haya lugar.
El Comit SARO-SARLAFT, junto con la Oficina de Riesgos, producto del anlisis BIA
deben seleccionar las estrategias de recuperacin ms convenientes para el instituto.
La Oficina de Riesgos debe validar que los procedimientos de contingencia,
recuperacin y retorno a la normalidad incluyan consideraciones de seguridad de la
informacin.
El Comit SARO-SARLAFT, junto con la Oficina de Riesgos, deben asegurar la
realizacin de pruebas peridicas del plan de recuperacin ante desastres y/o
continuidad de negocio, verificando la seguridad de la informacin durante su realizacin
y la documentacin de dichas pruebas.
Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS
La Oficina de Riesgos, en conjunto con la Direccin de Tecnologa, deben elaborar un
plan de recuperacin ante desastres para el centro de cmputo y un conjunto de
procedimientos de contingencia, recuperacin y retorno a la normalidad para cada uno
de los servicios y sistemas prestados.
La Direccin de Tecnologa y la Oficina de Riesgos deben participar activamente en las
pruebas de recuperacin ante desastres y notificar los resultados al Comit SAROSARLAFT.

Cdigo:
Versin: 3
Fecha:
Pgina: 70 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

Normas dirigidas a: VICEPRESIDENTES, DIRECTORES Y JEFES DE OFICINA


Los Vicepresidentes, Directores y Jefes de Oficina deben identificar y, al interior de sus
reas, generar la documentacin de los procedimientos de continuidad que podran ser
utilizados en caso de un evento adverso, teniendo en cuenta la seguridad de la
informacin. Estos documentos deben ser probados para certificar su efectividad.

19.2. POLTICA DE REDUNDANCIA


El ICETEX propender por la existencia de una plataforma tecnolgica redundante que
satisfaga los requerimientos de disponibilidad aceptables para el instituto.

19.2.1.

Normas de redundancia

Normas dirigidas a: DIRECCION DE TECNOLOGIA Y OFICINA DE RIESGOS


La Direccin de Tecnologa y la Oficina de Riesgos deben analizar y establecer los
requerimientos de redundancia para los sistemas de informacin crticos para el instituto
y la plataforma tecnolgica que los apoya.
La Direccin de Tecnologa y debe evaluar y probar soluciones de redundancia
tecnolgica y seleccionar la solucin que mejor cumple los requerimientos del ICETEX.
La Direccin de Tecnologa, a travs de sus funcionarios, debe administrar las
soluciones de redundancia tecnolgica y realizar pruebas peridicas sobre dichas
soluciones, para asegurar el cumplimiento de los requerimientos de disponibilidad del
instituto.

20. POLTICAS DE CUMPLIMIENTO


20.1. POLTICA DE CUMPLIMIENTO
CONTRACTUALES

CON

REQUISITOS

LEGALES

El ICETEX velar por la identificacin, documentacin y cumplimiento de la legislacin


relacionada con la seguridad de la informacin, entre ella la referente a derechos de autor y
propiedad intelectual, razn por la cual propender porque el software instalado en los
recursos de la plataforma tecnolgica cumpla con los requerimientos legales y de
licenciamiento aplicables.

Cdigo:
Versin: 3
Fecha:
Pgina: 71 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

20.1.1. Normas de cumplimiento con requisitos legales y contractuales


Normas dirigidas a: OFICINA ASESORA JURIDICA Y OFICINA DE RIESGOS
La Oficina Asesora Jurdica y la Oficina de Riesgos deben identificar, documentar y
mantener actualizados los requisitos legales, reglamentarios o contractuales aplicables
al instituto y relacionados con seguridad de la informacin.
Normas dirigidas a: DIRECCIN DE TECNOLOGIA
La Direccin de Tecnologa debe certificar que todo el software que se ejecuta en el
instituto est protegido por derechos de autor y requiera licencia de uso o, en su lugar
sea software de libre distribucin y uso.
La Direccin de Tecnologa debe establecer un inventario con el software y sistemas de
informacin que se encuentran permitidos en las estaciones de trabajo o equipos
mviles del instituto para el desarrollo de las actividades laborales, as como verificar
peridicamente que el software instalado en dichas estaciones de trabajo o equipos
mviles corresponda nicamente al permitido.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios no deben instalar software o sistemas de informacin en sus estaciones de
trabajo o equipos mviles suministrados para el desarrollo de sus actividades.
Los usuarios deben cumplir con las leyes de derechos de autor y acuerdos de
licenciamiento de software. Es ilegal duplicar software o su documentacin sin la
autorizacin del propietario de los derechos de autor y, su reproduccin no autorizada es
una violacin de ley; no obstante, puede distribuirse un nmero de copias bajo una
licencia otorgada.

20.2. POLTICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES


En cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones para la
proteccin de datos personales, el ICETEX a travs de la Oficina de Riesgos, propender
por la proteccin de los datos personales de sus beneficiarios, proveedores y dems
terceros de los cuales reciba y administre informacin.
Se establecern los trminos, condiciones y finalidades para las cuales el ICETEX, como
responsable de los datos personales obtenidos a travs de sus distintos canales de
atencin, tratar la informacin de todas las personas que en algn momento, por razones
de la actividad que desarrolla el instituto, hayan suministrado datos personales. En caso de
delegar a un tercero el tratamiento de datos personales, el ICETEX exigir al tercero la

Cdigo:
Versin: 3
Fecha:
Pgina: 72 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

implementacin de los lineamientos y procedimientos necesarios para la proteccin de los


datos personales.
As mismo, buscar proteger la privacidad de la informacin personal de sus funcionarios,
estableciendo los controles necesarios para preservar aquella informacin que el instituto
conozca y almacene de ellos, velando porque dicha informacin sea utilizada nicamente
para funciones propias del instituto y no sea publicada, revelada o entregada a funcionarios
o terceras partes sin autorizacin.

20.2.1. Normas de privacidad y proteccin de datos personales


Normas dirigidas a: AREAS QUE PROCESAN DATOS PERSONALES
Las reas que procesan datos personales de beneficiarios, funcionarios, proveedores u
otras terceras partes deben obtener la autorizacin para el tratamiento de estos datos
con el fin de recolectar, transferir, almacenar, usar, circular, suprimir, compartir,
actualizar y transmitir dichos datos personales en el desarrollo de las actividades del
instituto.
Las reas que procesan datos personales de beneficiarios, funcionarios, proveedores u
otras terceras partes deben asegurar que solo aquellas personas que tengan una
necesidad laboral legtima puedan tener acceso a dichos datos.
Las reas que procesan datos personales de beneficiarios, funcionarios, proveedores u
otras terceras partes deben establecer condiciones contractuales y de seguridad a las
entidades vinculadas o aliadas delegadas para el tratamiento de dichos datos
personales.
Las reas que procesan datos personales de beneficiarios, funcionarios, proveedores u
otras terceras partes deben acoger las directrices tcnicas y procedimientos
establecidos para el intercambio de estos datos con los terceros delegados para el
tratamiento de dichos datos personales.
Las reas que procesan datos personales de beneficiarios, proveedores u otras terceras
partes deben acoger las directrices tcnicas y procedimientos establecidos para enviar a
los beneficiarios, proveedores u otros terceros mensajes, a travs de correo electrnico
y/o mensajes de texto.
Normas dirigidas a: OFICINA DE RIESGOS

Cdigo:
Versin: 3
Fecha:
Pgina: 73 de 73

MANUAL DE POLTICAS DE SEGURIDAD DE LA


INFORMACIN

La Oficina de Riesgos debe establecer los controles para el tratamiento y proteccin de


los datos personales de los beneficiarios, funcionarios, proveedores y dems terceros
del ICETEX de los cuales reciba y administre informacin.
Normas dirigidas a: DIRECCIN DE TECNOLOGIA
La Direccin de Tecnologa debe implantar los controles necesarios para proteger la
informacin personal de los beneficiarios, funcionarios, proveedores u otras terceras
partes almacenada en bases de datos o cualquier otro repositorio y evitar su divulgacin,
alteracin o eliminacin sin la autorizacin requerida.
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios deben guardar la discrecin correspondiente, o la reserva absoluta con
respecto a la informacin del instituto o de sus funcionarios de cual tengan conocimiento
en el ejercicio de sus funciones.
Es deber de los usuarios, verificar la identidad de todas aquellas personas, a quienes se
les entrega informacin por telfono, por fax, por correo electrnico o por correo
certificado, entre otros.
Normas dirigidas a: USUARIOS DE LOS PORTALES DEL ICETEX
Los usuarios de los portales del ICETEX deben asumir la responsabilidad individual
sobre la clave de acceso a dichos portales que les es suministrada; as mismo, deben
cambiar de manera peridica esta clave de acceso.
Los usuarios de los portales del ICETEX deben contar con controles de seguridad en
sus equipos de cmputo o redes privadas para acceder a los portales del ICETEX.
Los usuarios de los portales del ICETEX deben aceptar el suministro de datos
personales que pueda hacer el instituto a los terceros delegados para el tratamiento de
datos personales, a entidades judiciales y dems entes del Estado que, en ejercicio de
sus funciones, solicitan esta informacin; de igual manera, deben aceptar que pueden
ser objeto de procesos de auditoria interna o externa.