Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cdigo: M-TI-01
Versin 06
TABLA DE CONTENIDO
1.
2.
3.
4.
4.1.
OBJETIVO ------------------------------------------------------------------------------------------- 4
ALCANCE ------------------------------------------------------------------------------------------- 4
TRMINOS Y DEFINICIONES ---------------------------------------------------------------------- 4
POLTICAS, PROCEDIMIENTOS Y CONTROLES ------------------------------------------------ 11
Polticas de seguridad de la informacin ---------------------------------------------------------- 11
Cdigo: M-TI-01
Versin 06
4.4.
4.5.
4.6.
Cumplimiento---------------------------------------------------------------------------------------- 44
4.7.
Controles -------------------------------------------------------------------------------------------- 44
4.8.
5.
6.
7.
8.
Cdigo: M-TI-01
Versin 06
1. OBJETIVO
Presentar en forma clara y coherente los elementos que conforman la poltica de seguridad que deben conocer y
cumplir todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algn tipo de
relacin con el Departamento Administrativo de la Presidencia de la Repblica.
2. ALCANCE
Las Polticas de Seguridad de la Informacin son aplicables para todos los aspectos administrativos y de control que
deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algn
tipo de relacin con el Departamento Administrativo de la Presidencia de la Repblica - DAPRE, para el adecuado
cumplimiento de sus funciones y para conseguir un adecuado nivel de proteccin de las caractersticas de calidad y
seguridad de la informacin, aportando con su participacin en la toma de medidas preventivas y correctivas, siendo
un punto clave para el logro del objetivo y la finalidad del presente manual. Los usuarios tienen la obligacin de dar
cumplimiento a las presentes polticas emitidas y aprobadas por la Direccin General.
3. TRMINOS Y DEFINICIONES
Accin correctiva: Medida de tipo reactivo orientada a eliminar la causa de una no conformidad asociada a la
implementacin y operacin del SGSI con el fin de prevenir su repeticin.
Accin preventiva: Medida de tipo pro-activo orientada a prevenir potenciales no conformidades asociadas a la
implementacin y operacin del SGSI.
Aceptacin del Riesgo: Decisin de aceptar un riesgo.
Activo: Segn [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organizacin. Tambin se entiende
por cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin.
Es todo activo que contiene informacin, la cual posee un valor y es necesaria para realizar los procesos misionales
y operativos del DAPRE. Se pueden clasificar de la siguiente manera:
-
Datos: Son todos aquellos elementos bsicos de la informacin (en cualquier formato) que se generan,
recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word listado de
personal.docx
Aplicaciones: Es todo el software que se utiliza para la gestin de la informacin. Ejemplo: SIGEPRE.
Personal: Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y en general,
todos aquellos que tengan acceso de una manera u otra a los activos de informacin del DAPRE. Ejemplo:
Pedro Prez.
Servicios: Son tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra,
como los externos, aquellos que la organizacin suministra a clientes y usuarios.
Ejemplo: Publicacin de hojas de vida, solicitud de vacaciones.
4
Cdigo: M-TI-01
Versin 06
Tecnologa: Son todos los equipos utilizados para gestionar la informacin y las comunicaciones
Ejemplo: equipo de cmputo, telfonos, impresoras.
Instalaciones: Son todos los lugares en los que se alojan los sistemas de informacin. Ejemplo: Oficina
Pagadura.
Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de informacin y que
no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire acondicionado, destructora de
papel.
Administracin de riesgos: Gestin de riesgos, es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a travs de una secuencia de actividades humanas que incluyen evaluacin de riesgo, estrategias
de desarrollo para manejarlo y mitigacin del riesgo utilizando recursos gerenciales. Las estrategias incluyen
transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las
consecuencias de un riesgo particular.
Administracin de incidentes de seguridad: Un sistema de seguimiento de incidentes (denominado en ingls
como issue tracking system, trouble ticket system o incident ticket system) es un paquete de software que administra
y mantiene listas de incidentes, conforme son requeridos por una institucin. Los sistemas de este tipo son
comnmente usados en la central de llamadas de servicio al cliente de una organizacin para crear, actualizar y
resolver incidentes reportados por usuarios, o inclusive incidentes reportados por otros funcionarios, contratistas,
colaboradores de la entidad o de terceras partes. Un sistema de seguimiento de incidencias tambin contiene una
base de conocimiento que contiene informacin de cada cliente, soluciones a problemas comunes y otros datos
relacionados. Un sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores (bugtracker)
y, en algunas ocasiones, una entidad de software puede tener ambos, y algunos bugtrackers pueden ser usados
como un sistema de seguimiento de incidentes, y viceversa.
Alcance: mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las
dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin.
Alerta: Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin
que puede evolucionar hasta convertirse en desastre.
Amenaza: Segn [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el cual puede causar el
dao a un sistema o la organizacin.
Anlisis de riesgos: Segn [ISO/lEC Gua 73:2002): Uso sistemtico de la informacin para identificar fuentes y
estimar el riesgo.
Auditabilidad: Los activos de informacin deben tener controles que permitan su revisin. Permitir la reconstruccin,
revisin y anlisis de la secuencia de eventos.
Auditor: Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha
realizado en un rea particular.
Cdigo: M-TI-01
Versin 06
Auditoria: Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir
un juicio informado sobre el estado y efectividad del SGSI de una organizacin.
Autenticacin: Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema.
Autenticidad: Los activos de informacin solo pueden estar disponibles verificando la identidad de un sujeto o
recurso, Propiedad que garantiza que la identidad de un sujeto o recurso es la que declara, Se aplica a entidades
tales como usuarios, procesos, sistemas de informacin.
Base de datos de gestin de configuraciones (CMDB, Configuration Management Database): Es una base de
datos que contiene toda la informacin pertinente acerca de los componentes del sistema de informacin utilizado
en una organizacin de servicios de TI y las relaciones entre esos componentes. Una CMDB ofrece una vista
organizada de los datos y una forma de examinar los datos desde cualquier perspectiva que desee. En este contexto,
los componentes de un sistema de informacin se conocen como elementos de configuracin (CI). Un CI puede ser
cualquier elemento imaginable de TI, incluyendo software, hardware, documentacin y personal, as como cualquier
combinacin de ellos. Los procesos de gestin de la configuracin tratan de especificar, controlar y realizar
seguimiento de elementos de configuracin y los cambios introducidos en ellos de manera integral y sistemtica.
B57799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue
publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de
la informacin no es certificable- y la parte segunda especifica el sistema de gestin de seguridad de la informacin
-es certificable-o La parte primera es el origen de ISO 17799 e ISO 27002 Y la parte segunda de ISO 27001. Como
tal el estndar, ha sido derogado ya, por la aparicin de estos ltimos.
Caractersticas de la Informacin: las principales caractersticas son la confidencialidad, la disponibilidad y la
integridad.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la
auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del
auditor y su carga de trabajo, Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para
facilitar su desarrollo.
CobiT - Control Objectives for Information and related Technology: Publicados y mantenidos por ISACA. Su
misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de
Informacin rectores, actualizados, internacionales y generalmente aceptados para ser empleados por gerentes de
empresas y auditores.
Compromiso de la Direccin: Alineamiento firme de la Direccin de la organizacin con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.
Cmputo forense: El cmputo forense, tambin llamado informtica forense, computacin forense, anlisis forense
digital o exanimacin forense digital es la aplicacin de tcnicas cientficas y analticas especializadas a
infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de
un proceso legal.
Cdigo: M-TI-01
Versin 06
Confiabilidad: Se puede definir como la capacidad de un producto de realizar su funcin de la manera prevista, De
otra forma, la confiabilidad se puede definir tambin como la probabilidad en que un producto realizar su funcin
prevista sin incidentes por un perodo de tiempo especificado y bajo condiciones indicadas.
Confidencialidad: Acceso a la informacin por parte nicamente de quienes estn autorizados, Segn [ISO/lEC
13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos,
entidades, o procesos no autorizados.
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener
los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido, (Nota: Control es tambin utilizado
como sinnimo de salvaguarda).
Control correctivo: Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca prdidas.
Supone que la amenaza ya se ha materializado pero que se corrige.
Control detectivo: Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la
amenaza ya se ha materializado, pero por s mismo no la corrige.
Control disuasorio: Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de avisos
disuasorios.
Control preventivo: Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una
amenaza llegue siquiera a materializarse.
Declaracin de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organizacin -tras
el resultado de los procesos de evaluacin y tratamiento de riesgos- adems de la justificacin tanto de su seleccin
como de la exclusin de controles incluidos en el anexo A de la norma.
Denegacin de servicios: Accin iniciada por una persona u otra causa que incapacite el hardware o el software, o
ambos y despus niegue el servicio.
Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios
habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera
significativa.
Directiva: Segn [ISO/lEC 13335-1: 2004): una descripcin que clarifica qu debera ser hecho y cmo, con el
propsito de alcanzar los objetivos establecidos en las polticas.
Disponibilidad: Segn [ISO/lEC 13335-1: 2004): caracterstica o propiedad de permanecer accesible y disponible
para su uso cuando lo requiera una entidad autorizada.
Evaluacin de riesgos: Segn [ISO/lEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio
de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: Segn [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica
una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardas, o una situacin anterior
desconocida que podra ser relevante para la seguridad.
7
Cdigo: M-TI-01
Versin 06
Evidencia objetiva: Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada en
observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un
proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la informacin.
Gestin de claves: Controles referidos a la gestin de claves criptogrficas.
Gestin de riesgos: Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los
riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos.
Segn [ISO/lEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al
riesgo.
Gusanos: Es un programa de computador que tiene la capacidad de duplicarse a s mismo. A diferencia del virus,
no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Siempre daan
la red (aunque sea simplemente consumiendo ancho de banda).
Impacto: Resultado de un incidente de seguridad de la informacin.
Incidente: Segn [ISO/lEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin
inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio
y amenazar la seguridad de la informacin.
Informacin: La informacin constituye un importante activo, esencial para las actividades de una organizacin y,
en consecuencia, necesita una proteccin adecuada. La informacin puede existir de muchas maneras. Puede estar
impresa o escrita en papel, puede estar almacenada electrnicamente, ser transmitida por correo o por medios
electrnicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.
Ingeniera Social: En el campo de la seguridad informtica, es la prctica de obtener informacin confidencial a
travs de la manipulacin de usuarios legtimos ganando su confianza muchas veces. Es una tcnica que pueden
utilizar investigadores privados, criminales, delincuentes computacionales (conocidos como cracker) para obtener
informacin, acceso o privilegios en sistemas de informacin que les permiten realizar algn acto que perjudique o
exponga a la persona o entidad a riesgos o abusos.
Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISOIIEC
13335-1: 2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos.
Inventario de activos: Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios,
personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y
necesiten por tanto ser protegidos de potenciales riesgos.
IPS: Sistema de prevencin de intrusos. Es un dispositivo que ejerce el control de acceso en una red informtica
para proteger a los sistemas computacionales de ataques y abusos.
ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de
organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares.
Cdigo: M-TI-01
Versin 06
ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO transcribiendo
la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. No
es certificable.
ISO 19011: "Guidelines for quality and/or environmental management systems auditing". Gua de utilidad para el
desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la
segunda parte de BS 7799. Es certificable. Primera publicacin en 20005.
ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799).
No es certificable. Cambio oficial de nomenclatura de ISO 17799:20005 a ISO 27002:20005 el 1 de Julio de 2007.
ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
ISO/lEC TR 13335-3: "Information technology. Guidelines for the management of IT Security .Techniques for the
management of IT Security." Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo.
ISO/lEC TR 18044: "Information technology. Security techniques. Information security incident management". Gua
de utilidad para la gestin de incidentes de seguridad de la informacin.
ITIL IT Infrastructure Library: Un marco de gestin de los servicios de tecnologas de la informacin.
Keyloggers: Aplicaciones que registran el teclado efectuado por un usuario.
Legalidad: El principio de legalidad o Primaca de la ley es un principio fundamental del Derecho pblico conforme
al cual todo ejercicio del poder pblico debera estar sometido a la voluntad de la ley de su jurisdiccin y no a la
voluntad de las personas (ej. el Estado sometido a la constitucin o al Imperio de la ley). Por esta razn se dice que
el principio de legalidad establece la seguridad jurdica, Seguridad de Informacin, Seguridad informtica y garanta
de la informacin.
No conformidad: Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn
aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la
confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor.
No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias
objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad, integridad
o disponibilidad de informacin sensible, o representa un riesgo inaceptable.
No repudio: Los activos de informacin deben tener la capacidad para probar que una accin o un evento han tenido
lugar, de modo que tal evento o accin no pueda ser negado posteriormente.
PDCA Plan-Do-Check-Act: Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar
(mantener y mejorar el SGSI).
Cdigo: M-TI-01
Versin 06
Phishing: Tipo de delito encuadrado dentro del mbito de las estafas, que se comete mediante el uso de un tipo de
ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser
una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria).
Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la continuacin de las
principales funciones de la Entidad en el caso de un evento imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestin que define las acciones para reducir,
prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles
necesarios para proteger la misma.
Poltica de seguridad: Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en
la gestin de la seguridad de la informacin. Segn [ISO/lEC 27002:20005): intencin y direccin general expresada
formalmente por la Direccin.
Poltica d escritorio despejado: La poltica de la empresa que indica a los funcionarios, contratista y dems
colaboradores del DAPRE, que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal
uso al finalizar el da.
Proteccin a la duplicidad: La proteccin de copia, tambin conocida como prevencin de copia, es una medida
tcnica diseada para prevenir la duplicacin de informacin. La proteccin de copia es a menudo tema de discusin
y se piensa que en ocasiones puede violar los derechos de copia de los usuarios, por ejemplo, el derecho a hacer
copias de seguridad de una videocinta que el usuario ha comprado de manera legal, el instalar un software de
computadora en varias computadoras, o el subir la msica a reproductores de audio digital para facilitar el acceso y
escucharla.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o
dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus
consecuencias.
Riesgo Residual: Segn [ISOIIEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo.
Salvaguarda: Vase: Control.
Segregacin de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para reducir el riesgo de
un mal uso de los sistemas e informaciones deliberado o por negligencia.
Seguridad de la informacin: Segn [ISO/lEC 27002:20005]: Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio,
trazabilidad y fiabilidad pueden ser tambin consideradas.
Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel
aceptable.
SGSI Sistema de Gestin de la Seguridad de la Informacin: Segn [ISO/lEC 27001: 20005]: la parle de un
sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa,
10
Cdigo: M-TI-01
Versin 06
mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin,
polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.)
Servicios de tratamiento de informacin: Segn [ISO/lEC 27002:20005]: cualquier sistema, servicio o
infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.
Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al
receptor. La accin de enviar dichos mensajes se denomina spamming. La va ms usada es el correo electrnico.
Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad
docente o de control, aunque tambin puede ser utilizado con fines maliciosos.
Spoofing: Falsificacin de la identidad origen en una sesin: la identidad es por una direccin IP o Mac Address.
Tratamiento de riesgos: Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para
modificar el riesgo.
Trazabilidad: Propiedad que garantiza que las acciones de una entidad se puede rastrear nicamente hasta dicha
entidad.
Troyano: Aplicacin que aparenta tener un uso legtimo pero que tiene funciones ocultas diseadas para sobrepasar
los sistemas de seguridad.
Usuario: en el presente documento se emplea para referirse a directivos, funcionarios, contratistas, terceros y otros
colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas o aplicativos informticos
disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.
Valoracin de riesgos: Segn [ISO/lEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos.
Virus: tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o conocimiento del usuario.
Vulnerabilidad: Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que
una amenaza afecte a un activo. Segn [ISOIlEC 13335-1:2004]: debilidad de un activo o conjunto de activos que
puede ser explotado por una amenaza.
Cdigo: M-TI-01
Versin 06
Objetivo:
Definir las pautas de propsito general para asegurar una adecuada proteccin de la informacin del DAPRE.
Brindar apoyo y orientacin a la direccin con respecto a la seguridad de la informacin, de acuerdo con los requisitos
del negocio y los reglamentos y las leyes pertinentes.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Se debe verificar que se definan, implementen, revisen y actualicen las polticas de seguridad de la informacin.
Disear, programar y realizar los programas de auditora del sistema de gestin de seguridad de la informacin,
los cuales estarn a cargo de la Oficina de Control Interno.
Todo aplicativo informtico o software debe ser comprado o aprobado por el rea de Tecnologa y Sistemas de
Informacin en concordancia con la poltica de adquisicin de bienes de la entidad de acuerdo con lo definido
en el proceso C-BS-07 Adquisicin de Bienes y Servicios.
El DAPRE debe contar con un firewall o dispositivo de seguridad perimetral para la conexin a Internet o cuando
sea inevitable para la conexin a otras redes en outsourcing o de terceros.
La conexin remota a la red de rea local del DAPRE debe realizarse a travs de una conexin VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada, a excepcin de los casos que
autorice el rea de Tecnologa y Sistemas de Informacin.
Los jefes de rea o dependencia deben asegurarse que todos los procedimientos de seguridad de la informacin
dentro de su rea de responsabilidad, se realizan correctamente para lograr el cumplimiento de las polticas y
estndares de seguridad de la informacin del DAPRE.
El DAPRE en caso de tener un servicio de transferencia de archivos deber realizarlo empleando protocolos
seguros. Cuando el origen sea el DAPRE hacia entidades externas, el DAPRE establecer los controles
necesarios para preservar la seguridad de la informacin; cuando el origen de la transferencia sea una entidad
externa, se acordarn las polticas y controles de seguridad de la informacin con esa entidad; en todo caso se
deben revisar y proponer controles en concordancia con las polticas de seguridad de la informacin del DAPRE;
los resultados de la revisin de requerimientos de seguridad se documentarn y preservarn para futuras
referencias o para demostrar el cumplimiento con las polticas y con los controles de seguridad del DAPRE.
El comit de seguridad informtica y de sistemas del DAPRE definir de acuerdo a la clasificacin de la informacin,
que datos deben ser cifrados y dar las directrices necesarias para la implementacin de los respectivos controles
(dispositivos a emplear, mecanismos de administracin de claves, polticas de uso de sistemas de cifrado de datos).
12
Cdigo: M-TI-01
Versin 06
Cdigo: M-TI-01
Versin 06
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Se debe asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan sus
responsabilidades en relacin con las polticas de seguridad de la informacin del DAPRE y acten de manera
consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado de la
informacin o los equipos empleados para el tratamiento de la informacin
El DAPRE suministra una cuota de almacenamiento de la informacin en un servidor de archivos con los
permisos necesarios para que cada usuario guarde la informacin que crea importante y sobre ella se
garantizar la disponibilidad en caso de un dao en el equipo asignado, esta informacin ser guardada durante
un mximo de 2 aos; es de aclarar que el usuario final deber copiar la informacin necesaria en la carpeta
destinada para este fin (Mi Arbolito) la cual tiene un acceso directo en el escritorio del PC.
El DAPRE instalar copia de los programas que han sido adquiridos legalmente en los equipos asignados en
las cantidades requeridas para suplir las necesidades. El uso de programas sin su respectiva licencia y
autorizacin del DAPRE (imgenes, vdeos, software o msica), obtenidos a partir de otras fuentes (internet,
dispositivos de almacenamiento externo), puede implicar amenazas legales y de seguridad de la informacin
para la entidad, por lo que sta prctica no est autorizada.
Todo el software usado en la plataforma tecnolgica del DAPRE debe tener su respectiva licencia y acorde con
los derechos de autor.
El DAPRE no se hace responsable por las copias no autorizadas de programas instalados o ejecutados en los
equipos asignados a sus funcionarios o contratistas.
El uso de dispositivos de almacenamiento externo (dispositivos mviles, DVD, CD, memorias USB, agendas
electrnicas, celulares, etc.) pueden ocasionalmente generar riesgos para la entidad al ser conectados a los
computadores, ya que son susceptibles de transmisin de virus informticos o pueden ser utilizados para la
extraccin de informacin no autorizada. Para utilizar dispositivos de almacenamiento externo se debe obtener
14
Cdigo: M-TI-01
Versin 06
aprobacin formal e individual del rea de Tecnologa y Sistemas de Informacin del DAPRE, previa solicitud
escrita por parte del jefe inmediato.
Los programas instalados en los equipos, son de propiedad del DAPRE, la copia no autorizada de programas o
de su documentacin, implica una violacin a la poltica general del DAPRE. Aquellos funcionarios, contratistas
o dems colaboradores que utilicen copias no autorizadas de programas o su respectiva documentacin,
quedarn sujetos a las acciones disciplinarias establecidas por el DAPRE o las sanciones que especifique la ley.
El DAPRE se reserva el derecho de proteger su buen nombre y sus inversiones en hardware y software,
fomentando controles internos para prevenir el uso o la realizacin de copias no autorizadas de los programas
de propiedad de la entidad. Estos controles pueden incluir valoraciones peridicas del uso de los programas,
auditoras anunciadas y no anunciadas.
Los recursos tecnolgicos y de software asignados a los funcionarios del DAPRE son responsabilidad de cada
funcionario.
Los usuarios son los responsables de la informacin que administran en sus equipos personales y deben
abstenerse de almacenar en ellos informacin no institucional, de acuerdo con la gua de clasificacin de la
informacin.
Los usuarios solo tendrn acceso a los datos y recursos autorizados por el DAPRE, y sern responsables
disciplinaria y legalmente de la divulgacin no autorizada de esta informacin.
Es responsabilidad de cada usuario proteger la informacin que est contenida en documentos, formatos,
listados, etc., los cuales son el resultado de los procesos informticos; adicionalmente se deben proteger los
datos de entrada de estos procesos.
Los dispositivos electrnicos (computadores, impresoras, fotocopiadoras, escner, etc.) solo deben utilizarse
para los fines autorizados por la entidad.
Cualquier evento o posible incidente que afecte la seguridad de la informacin, debe ser reportado
inmediatamente a la mesa de ayuda (PUC Punto nico de Contacto) del rea de Tecnologa y Sistemas de
Informacin del DAPRE o al CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante
Incidencias de Seguridad).
Los jefes de las diferentes reas del DAPRE, en conjunto con el Comit de Seguridad Informtica y de Sistemas
propiciarn actividades para concienciar al personal sobre las precauciones necesarias que deben realizar los
usuarios finales, para evitar revelar informacin confidencial cuando se hace una llamada telefnica, que pueda
ser interceptada mediante acceso fsico a la lnea o al auricular o ser escuchada por personas que se encuentren
cerca. Lo anterior debe aplicar tambin cuando el funcionario, contratista o colaborador se encuentre en sitios
pblicos como restaurantes, transporte pblico, ascensores, etc.
Los datos de los sistemas de informacin y aplicaciones no deben intercambiarse utilizando archivos
compartidos en los computadores, discos virtuales, CD, DVD, medios removibles; deben usarse los mismos
servicios del sistema de informacin, los cuales estn controlados y auditados.
15
Cdigo: M-TI-01
Versin 06
4.1.4. Polticas especficas para funcionarios y contratistas del rea de Tecnologa y Sistemas
de Informacin.
Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de los
funcionarios y contratistas de TI de la entidad.
Aplicabilidad:
Estas polticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a terceros
que estn encargados de cualquier sistema de informacin.
Directrices:
El personal del rea de Tecnologa y Sistemas de Informacin no debe dar a conocer su clave de usuario a
terceros sin previa autorizacin del Jefe del rea de Tecnologa y Sistemas de Informacin.
Los usuarios y claves de los administradores de sistemas y del personal del rea de Tecnologa y Sistemas
de Informacin son de uso personal e intransferible.
El personal del rea de Tecnologa y Sistemas de Informacin debe emplear obligatoriamente las claves o
contraseas con un alto nivel de complejidad y utilizar los servicios de autenticacin fuerte que posee la entidad
de acuerdo al rol asignado.
Los administradores de los sistemas de informacin deben seguir las polticas de cambio de clave y utilizar
procedimiento de salvaguarda o custodia de las claves o contraseas en un sitio seguro. A este lugar solo debe
tener acceso el Jefe del rea de Tecnologa y Sistemas de Informacin o el Asesor de Seguridad Informtica.
Los documentos y en general la informacin de procedimientos, seriales, software etc. deben mantenerse
custodiados en todo momento para evitar el acceso a personas no autorizadas.
Para el cambio o retiro de equipos de funcionarios, se deben seguir polticas de saneamiento, es decir llevar
a cabo mejores prcticas para la eliminacin de la informacin de acuerdo al software disponible en la entidad.
Ej: Formateo seguro, destruccin total de documentos o borrado seguro de equipos electrnicos.
Los funcionarios encargados de realizar la instalacin o distribucin de software, slo instalarn productos con
licencia y software autorizado.
Los funcionarios del rea de Tecnologa y Sistemas de Informacin no deben otorgar privilegios especiales a
los usuarios sobre las estaciones de trabajo, sin la autorizacin correspondiente del Jefe del rea de
Tecnologa y Sistemas de Informacin y el registro en el sistema de la mesa de ayuda (PUC).
Los funcionarios del rea de Tecnologa y Sistemas de Informacin se obligan a no revelar a terceras
personas, la informacin a la que tengan acceso en el ejercicio de sus funciones de acuerdo con la GUA
PARA LA CALIFICACIN DE LA INFORMACIN DE ACUERDO CON SUS NIVELES DE SEGURIDAD. En
consecuencia, se obligan a mantenerla de manera confidencial y privada y a protegerla para evitar su
divulgacin.
16
Cdigo: M-TI-01
Versin 06
Los funcionarios del rea de Tecnologa y Sistemas de Informacin no utilizarn la informacin para fines
comerciales o diferentes al ejercicio de sus funciones.
Toda licencia de software o aplicativo informtico y sus medios, se deben guardar y relacionar de tal forma
que asegure su proteccin y disposicin en un futuro.
Las copias licenciadas y registradas del software adquirido, deben ser nicamente instaladas en los equipos y
servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las polticas del proveedor
y de la entidad.
La copia de programas o documentacin, requiere tener la aprobacin escrita del DAPRE y del proveedor si
ste lo exige.
El personal del rea de Tecnologa y Sistemas de Informacin debe velar por que se cumpla con el registro
en la bitcora de acceso al datacenter, de las personas que ingresen y que hayan sido autorizadas previamente
por la jefatura del rea o por quien esta delegue.
Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en los servidores; no
se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado oficialmente por la entidad a travs
del Comit de Seguridad Informtica y de Sistemas establecido en la resolucin 5519 del 1 de diciembre de
2014 o el Asesor para la de Seguridad Informtica.
Aquellos servicios y actividades que no son esenciales para el normal funcionamiento de los sistemas de
informacin, deben ser aprobados oficialmente por la entidad, a travs del Comit de Seguridad Informtica y
de Sistemas, cuyas funciones se encuentran en la resolucin 5519 del 1 de diciembre de 2014 y deben ser
asegurados mediante controles que permitan la preservacin de la seguridad de la informacin.
El acceso a cualquier servicio, servidor o sistema de informacin debe ser autenticado y autorizado.
Todos los servidores deben ser configurados con el mnimo de servicios necesarios y obligatorios para
desarrollar las funciones designadas.
Las pruebas de laboratorio o piloto deben ser autorizadas por el Comit de Seguridad Informtica y de
Sistemas, para sistemas de informacin, de software tipo freeware o shareware o de sistemas que necesiten
conexin a internet; estas deben ser realizadas sin conexin a la red LAN de la entidad y con una conexin
separada de internet o en su defecto con una direccin IP diferente a las direcciones pblicas de produccin.
Cdigo: M-TI-01
Versin 06
Directrices:
Los responsables de los contenidos de las pginas Web (webmasters), deben preparar y depurar la informacin de
su rea o dependencia y reportar a la mesa de ayuda (PUC) los requerimientos de actualizacin de la versin del
software; deben disponer de un archivo actualizado con la informacin de la pgina inicial del sitio; y deben registrar
la autorizacin de publicacin por parte del funcionario autorizado y coordinar con el administrador web del rea de
Tecnologa y Sistemas de Informacin los lineamientos del sitio.
Se deber seguir la Poltica Editorial y Actualizacin de Contenidos Web, que permita auditar la publicacin o
modificacin de informacin oficial en las pginas web.
Las claves de acceso de los responsables de los contenidos de las pginas Web (webmasters), son estrictamente
confidenciales, personales e intransferibles.
Cdigo: M-TI-01
Versin 06
Cdigo: M-TI-01
Versin 06
Esta poltica ser aplicada por los administradores de tecnologa, encargados de sistemas de informacin y jefaturas
de rea que decidan sobre la disponibilidad en integridad de los datos.
Directrices:
La informacin de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento como
cinta, cartucho, CD, DVD, etc.
Los administradores de los servidores, los sistemas de informacin o los equipos de comunicaciones, son los
responsables de definir la frecuencia de respaldo y los requerimientos de seguridad de la informacin
(codificacin) y el administrador del sistema de respaldo, es el responsable de realizar los respaldos peridicos.
Todas las copias de informacin crtica deben ser almacenadas en un rea adecuada y con control de acceso.
Las copias de respaldo se guardaran nicamente con el objetivo de restaurar el sistema luego de un virus
informtico, defectos en los discos de almacenamiento, problemas de los servidores o computadores,
materializacin de amenazas, catstrofes y por requerimiento legal.
Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen informacin crtica; el
dueo de la informacin debe asegurar que el plan es adecuado, frecuentemente actualizado y peridicamente
probado y revisado.
Ningn tipo de informacin institucional puede ser almacenada en forma exclusiva en los discos duros de las
estaciones de trabajo; por lo tanto, es obligacin de los usuarios finales realizar las copias en las carpetas
destinadas para este fin.
Deben existir al menos una copia de la informacin de los discos de red, la cual deber permanecer fuera de las
instalaciones del DAPRE.
La restauracin de copias de respaldo en ambientes de produccin debe estar debidamente aprobada por el
propietario de la informacin.
Semanalmente los administradores de infraestructura del DAPRE, verificarn la correcta ejecucin de los
procesos de backup, suministrarn las cintas requeridas para cada trabajo y controlarn la vida til de cada cinta
o medio empleado.
El rea de Tecnologa y Sistemas de Informacin debe mantener un inventario actualizado de las copias de
respaldo de la informacin y los aplicativos o sistemas del DAPRE.
Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro 1 y posteriormente sern
eliminados o destruidos de forma adecuada.
Es responsabilidad de cada dependencia mantener depurada la informacin de las carpetas virtuales para la
optimizacin del uso de los recursos de almacenamiento que entrega el DAPRE a los usuarios.
El borrado seguro se ejecuta cuando al borrar un archivo o formatear un dispositivo de almacenamiento, alguna utilidad de borrado escribe
ceros (o) sobre el archivo, no permitiendo que ste se pueda recuperar posteriormente. Tomado de:
http://es.wikipedia.org/wiki/Borrado_de_archivos
20
Cdigo: M-TI-01
Versin 06
21
Cdigo: M-TI-01
Versin 06
Los usuarios2 debern utilizar nicamente los programas y equipos autorizados por el rea de Tecnologa y
Sistemas de Informacin.
El DAPRE proporcionar al usuario los equipos informticos y los programas instalados en ellos; los
datos/informacin creados, almacenados y recibidos, sern propiedad del DAPRE, los funcionarios solo podrn
realizar backup de sus archivos personales o de informacin pblica, para copiar cualquier tipo de informacin
clasificada o reservada debe pedir autorizacin a su jefe inmediato, de acuerdo a las normas sobre clasificacin
de la informacin de acuerdo a los niveles de seguridad establecidos por el DAPRE ; Su copia, sustraccin, dao
intencional o utilizacin para fines distintos a las labores propias de la Institucin, sern sancionadas de acuerdo
con las normas y legislacin vigentes.
Peridicamente, el rea de Tecnologa y Sistemas de Informacin efectuar la revisin de los programas
utilizados en cada dependencia. La descarga, instalacin o uso de aplicativos o programas informticos no
autorizados ser considera como una violacin a las Polticas de Seguridad de la Informacin del DAPRE.
Todos los requerimientos de aplicativos, sistemas y equipos informticos deben ser solicitados a travs de la
mesa de ayuda del rea de Tecnologa y Sistemas de Informacin con su correspondiente justificacin para su
respectiva viabilidad.
Estarn bajo custodia del rea de Tecnologa y Sistemas de Informacin los medios magnticos/electrnicos
(disquetes, CDs u otros) que vengan originalmente con el software y sus respectivos manuales y licencias de
uso, adicionalmente las claves para descargar el software de fabricantes de sus pginas web o sitios en internet
y los passwords de administracin de los equipos informticos, sistemas de informacin o aplicativos.
En caso de ser necesario y previa autorizacin del Comit de Seguridad Informtica y de Sistemas del DAPRE ,
los funcionarios del DAPRE podrn acceder a revisar cualquier tipo de activo de informacin y material que los
usuarios creen, almacenen, enven o reciban, a travs de Internet o de cualquier otra red o medio, en los equipos
informticos a su cargo.
Los recursos informticos del DAPRE no podrn ser utilizados, sin previa autorizacin escrita, para divulgar,
propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas
destructivos (virus), propaganda poltica, material religioso o cualquier otro uso que no est autorizado.
Los usuarios no deben realizar intencionalmente actos que impliquen un mal uso de los recursos tecnolgicos.
Estos actos incluyen, pero no se limitan a: envi de correo electrnico masivo con fines no institucionales y
prctica de juegos en lnea.
Los usuarios no podrn efectuar ninguna de las siguientes labores sin previa autorizacin del rea de Tecnologa
y Sistemas de Informacin:
Funcionarios, contratistas y otros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas y/o aplicativos
informticos disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.
22
Cdigo: M-TI-01
Versin 06
El usuario deber informar al Jefe Inmediato de cualquier violacin de las polticas de seguridad o uso indebido
que tenga conocimiento.
El usuario ser responsable de todas las transacciones o acciones efectuadas con su cuenta de usuario.
Ningn usuario deber acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuario o clave
de otro usuario.
Cada usuario es responsable de asegurar que el uso de redes externas, tal como Internet, no comprometa la
seguridad de los recursos informticos del DAPRE. El rea de Tecnologa y Sistemas de Informacin del DAPRE,
es el rea responsable de realizar el aseguramiento de los accesos a internet, acceso a redes de terceros y a
las redes de la entidad; esta responsabilidad incluye, pero no se limita a prevenir que intrusos tengan acceso a
los recursos informticos y a prevenir la introduccin y propagacin de virus.
Todo archivo o material recibido a travs de medio magntico/electrnico o descarga de Internet o de cualquier
red externa, deber ser revisado para deteccin de virus y otros programas destructivos antes de ser instalados
en la infraestructura TIC del DAPRE.
Todos los archivos provenientes de equipos externos al DAPRE, deben ser revisados para deteccin de virus
antes de su utilizacin dentro de la red del DAPRE.
Todo cambio a la infraestructura informtica deber estar controlado y ser realizado de acuerdo con los
procedimientos de gestin de cambios del rea de Tecnologa y Sistemas de Informacin del DAPRE.
La informacin del DAPRE debe ser respaldada de forma frecuente, debe ser almacenada en lugares apropiados
en los cuales se pueda garantizar que la informacin este segura y podr ser recuperada en caso de un desastre
o de incidentes con los equipos de procesamiento.
23
Cdigo: M-TI-01
Versin 06
La instalacin de software en los computadores suministrados por el DAPRE, es una funcin exclusiva del rea
de Tecnologa y Sistemas de Informacin. Se mantendr una lista actualizada del software autorizado para
instalar en los computadores.
Se definirn dos (2) perfiles de Administradores locales:
1. Desarrolladores de aplicaciones.
2. Usuarios que necesitan utilizar software especfico, que por su naturaleza requieren permisos de
administrador local para su ejecucin.
Los usuarios no deben mantener almacenados en los discos duros, de las estaciones cliente o discos virtuales
de red, archivos de vdeo, msica y fotos que no sean de carcter institucional.
En el Disco C:\ de las estaciones cliente se tiene configurado el sistema operativo, aplicaciones y perfil de usuario.
El usuario deber abstenerse de realizar modificaciones a stos archivos.
Los usuarios podrn trabajar sus documentos institucionales en borrador en la estacin cliente asignada por el
DAPRE y debern ubicar copias y documentos finales en las carpetas virtuales centralizadas que se establezca
para cumplir con las tablas de retencin documental TRD de la Entidad.
El prstamo de equipos de cmputo, computadores porttiles y vdeo proyectores se debe tramitar a travs de la
mesa de ayuda con anticipacin y se proveer de acuerdo a la disponibilidad.
Los equipos que ingresan temporalmente al DAPRE que son de propiedad de terceros: deben ser registrados en
las porteras de la entidad para poder realizar su retiro sin autorizacin, ver Procedimiento Ingreso y Salida de
Bienes de la Entidad P-GA-14; el DAPRE no se har responsable en caso de prdida o dao de algn equipo
informtico de uso personal o que haya sido ingresado a sus instalaciones.
El rea de Tecnologa y Sistemas de Informacin no prestar servicio de soporte tcnico (revisin,
mantenimiento, reparacin, configuracin y manejo e informacin) a equipos que no sean del DAPRE.
Cdigo: M-TI-01
Versin 06
No se permite la navegacin a sitios con contenidos contrarios a la ley o a las polticas del DAPRE o que
representen peligro para la entidad como: pornografa, terrorismo, hacktivismo, segregacin racial u otras fuentes
definidas por el DAPRE.
El acceso a este tipo de contenidos con propsitos de estudio de seguridad o de investigacin, debe contar con
la autorizacin expresa del Comit de Seguridad Informtica y de Sistemas del DAPRE.
La descarga de archivos de Internet debe ser con propsitos laborales y de forma razonable para no afectar el
servicio de Internet/Intranet, en forma especfica el usuario debe cumplir los requerimientos de la poltica de uso
de internet descrita en este manual.
Cdigo: M-TI-01
Versin 06
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Para que los usuarios tengan acceso a la informacin ubicada en los discos de red, se debe registrar la solicitud
a travs de servicios compartidos especificando el acceso y permisos, correspondientes al rol y funciones a
desempear, a la mesa de ayuda del rea de Tecnologa y Sistemas de Informacin del DAPRE. Los usuarios
tendrn permisos de escritura, lectura o modificacin de informacin en los discos de red, dependiendo de sus
funciones y su rol.
La informacin institucional que se trabaje en las estaciones cliente de cada usuario debe ser trasladada
peridicamente a los discos de red por ser informacin institucional.
La informacin almacenada en cualquiera de los discos de red debe ser de carcter institucional.
Est prohibido almacenar archivos con contenido que atente contra la moral y las buenas costumbres de la
entidad o las personas, como pornografa, propaganda racista, terrorista o cualquier software ilegal o malicioso,
ya sea en medios de almacenamiento de estaciones de trabajo, computadores de escritorio o porttiles, tablets,
celulares inteligentes, etc. o en los discos de red.
Se prohbe extraer, divulgar o publicar informacin de cualquiera de los discos de red o estaciones de trabajo, sin
expresa autorizacin de su jefe inmediato.
Se prohbe el uso de la informacin de los discos de red con fines publicitarios, de imagen negativa, lucrativa o
comercial.
La responsabilidad de generar las copias de respaldo de la informacin de los discos de red, est a cargo del
rea de Tecnologa y Sistemas de Informacin.
La responsabilidad de custodiar la informacin en copias de respaldo controladas, fuera de las instalaciones del
DAPRE, estar a cargo del rea de Tecnologa y Sistemas de Informacin.
Cdigo: M-TI-01
Versin 06
Los documentos que se impriman en las impresoras del DAPRE deben ser de carcter institucional.
Es responsabilidad del usuario conocer el adecuado manejo de los equipos de impresin (escner y fotocopiado)
para que no se afecte su correcto funcionamiento.
Ningn usuario debe realizar labores de reparacin o mantenimiento de las impresoras. En caso de presentarse
alguna falla, esta se debe reportar a la mesa de ayuda del rea de Tecnologa y Sistemas de Informacin.
4.1.17. Poltica de uso de puntos de red de datos (red de rea local LAN).
Objetivo:
Asegurar la operacin correcta y segura de los puntos de red.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Los usuarios debern emplear los puntos de red, para la conexin de equipos informticos estndar. Los equipos
de uso personal, que no son de propiedad del DAPRE, solo tendrn acceso a servicios limitados destinados a
invitados o visitantes, estos equipos deben ser conectados a los puntos de acceso autorizados y definidos por el
rea de Tecnologa y Sistemas de Informacin del DAPRE.
La instalacin, activacin y gestin de los puntos de red es responsabilidad del rea de Tecnologa y Sistemas
de Informacin.
27
Cdigo: M-TI-01
Versin 06
El rea de Tecnologa y Sistemas de Informacin deber garantizar que todos los equipos de los centros de datos
cuenten con un sistema alterno de respaldo de energa
La limpieza y aseo del centro de datos estar a cargo del rea Administrativa y debe efectuarse en presencia de
un funcionario o contratista del rea de Tecnologa y Sistemas de Informacin del DAPRE. El personal de
limpieza debe ser ilustrado con respecto a las precauciones mnimas a seguir durante el proceso de limpieza.
Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no sean estrictamente
necesarios para su labor de limpieza y aseo.
En las instalaciones del centro de datos o centros de cableado, no se debe fumar, comer o beber; de igual forma
se debe eliminar la permanencia de papelera y materiales que representen riesgo de propagacin de fuego, as
como mantener el orden y limpieza en todos los equipos y elementos que se encuentren en este espacio.
El centro de datos debe estar provisto de:
Sealizacin adecuada de todos y cada uno de los diferentes equipos y elementos, as como luces de
emergencia y de evacuacin, cumpliendo las normas de seguridad industrial y de salud ocupacional.
Pisos elaborados con materiales no combustibles.
Sistema de refrigeracin por aire acondicionado de precisin. Este equipo debe ser redundante para que en
caso de falla se pueda continuar con la refrigeracin.
Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de garantizar el
servicio de energa elctrica durante una falla momentnea del fluido elctrico de la red pblica.
Alarmas de deteccin de humo y sistemas automticos de extincin de fuego, conectada a un sistema
central. Los detectores debern ser probados de acuerdo a las recomendaciones del fabricante o al menos
una vez cada 6 meses y estas pruebas debern estar previstas en los procedimientos de mantenimiento y de
control.
Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad de detener
el fuego generado por equipo elctrico, papel o qumicos especiales.
El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.
Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas tcnicas.
La grabacin de vdeo en las instalaciones del centro de datos debe estar expresamente autorizada por el Comit
de Seguridad Informtica y de Sistemas y exclusivamente con fines institucionales.
Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadas por un
funcionario o contratista autorizado del DAPRE.
Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere ingresar y
salir del centro de datos, el funcionario responsable de la actividad se ubicar dentro del centro de datos.
Cuando se requiera realizar alguna actividad sobre algn armario (rack), este debe quedar ordenado, cerrado y
con llave, cuando se finalice la actividad.
Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben permanecer
apagadas.
28
Cdigo: M-TI-01
Versin 06
Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas que
se puedan presentar.
Cdigo: M-TI-01
Versin 06
informacin, utilizando herramientas para realizar sobre-escrituras sobre la informacin existente o la presencia de
campos magnticos de alta intensidad. Este proceso puede adems incluir, una vez realizado el proceso anterior, la
destruccin fsica del medio, utilizando impacto, fuerzas o condiciones extremas.
Ingreso y retiro de activos de informacin de terceros.
El retiro e ingreso de todo activo de informacin de propiedad de los usuarios del DAPRE, utilizados para fines
personales, se realizar mediante los procedimientos establecidos por la Administracin del Edificio. El DAPRE no
se hace responsable de los bienes o los problemas que se presenten al conectarse a la red elctrica del
Departamento.
El retiro e ingreso de todo activo de informacin de los visitantes que presten servicios al DAPRE (consultores,
pasantes, visitantes, etc.) ser registrado y controlado en las porteras del edificio. El personal de vigilancia de
recepcin verificar y registrar las caractersticas de identificacin del activo de informacin.
El traslado entre dependencias del DAPRE de todo activo de informacin, est a cargo del rea Administrativa, para
el control de inventarios.
Cdigo: M-TI-01
Versin 06
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE, en el uso del
servicio de correo electrnico por parte de los usuarios autorizados.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Esta poltica define y distingue el uso de correo electrnico aceptable/apropiado e inaceptable/inapropiado y
establece las directrices para el uso seguro del servicio.
Servicio de correo electrnico:
Permite a los usuarios del DAPRE, el intercambio de mensajes, a travs de una cuenta de correo electrnico
institucional, que facilita el desarrollo de sus funciones.
Principios gua
Los usuarios del correo electrnico corporativo son responsables de evitar prcticas o usos del correo que
puedan comprometer la seguridad de la informacin.
Los servicios de correo electrnico corporativo se emplean para servir a una finalidad operativa y
administrativa en relacin con la entidad. Todos los correos electrnicos procesados por los sistemas, redes
y dems infraestructura TIC del DAPRE se consideran bajo el control de la entidad.
Este servicio debe utilizarse exclusivamente para las tareas propias de la funcin desarrollada en el DAPRE y no
debe utilizarse para ningn otro fin.
El envo de cadenas de correo, envo de correos masivos con archivos adjuntos de gran tamao que puedan
congestionar la red, no est autorizado.
No est autorizado, el envo de correos con contenido que atenten contra la integridad y dignidad de las personas y
el buen nombre de la entidad.
Condiciones de uso del servicio:
Cuando un funcionario, contratista o colaborador al que le haya sido autorizado el uso de una cuenta de correo
electrnico y se retire del DAPRE, su cuenta de correo ser desactivada.
Los correos electrnicos deben contener la siguiente nota respecto al manejo del contenido:
El contenido de este mensaje y sus anexos son propiedad del Departamento Administrativo de la
Presidencia de la Repblica, es nicamente para el uso del destinatario ya que puede contener
informacin pblica reservada o informacin pblica clasificada (privada o semiprivada), las cuales
no son de carcter pblico. Si usted no es el destinatario, se informa que cualquier uso, difusin,
distribucin o copiado de esta comunicacin est prohibido. Cualquier revisin, retransmisin,
diseminacin o uso del mismo, as como cualquier accin que se tome respecto a la informacin
contenida, por personas o entidades diferentes al propsito original de la misma, es ilegal.
31
Cdigo: M-TI-01
Versin 06
32
Cdigo: M-TI-01
Versin 06
El DAPRE suministrar a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas de
informacin a los que hayan sido autorizados, las claves son de uso personal e intransferible. Es responsabilidad
del usuario el manejo que se les d a las claves asignadas.
Solo usuarios designados por el rea de Tecnologa y Sistemas de Informacin estarn autorizados para instalar
software o hardware en los equipos, servidores e infraestructura de telecomunicaciones del DAPRE.
Todo trabajo que utilice los servidores del DAPRE con informacin de la entidad, sus funcionarios o contratistas,
se debe realizar en sus instalaciones, no se podr realizar ninguna actividad de tipo remoto sin la debida
aprobacin del DAPRE.
La conexin remota a la red de rea local del DAPRE debe ser hecha a travs de una conexin VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada.
Cdigo: M-TI-01
Versin 06
La clave de acceso ser desbloqueada slo por el PUC (Punto nico de Contacto, luego de la solicitud formal
por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivacin debe ser documentada
y comunicada al PUC.
Las claves o contraseas deben:
Poseer algn grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni
tener informacin personal, por ejemplo: fechas de cumpleaos, nombre de los hijos, placas de automvil, etc.
Tener mnimo diez caracteres alfanumricos.
Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
Cambiarse obligatoriamente cada 30 das, o cuando lo establezca el rea de Tecnologa y Sistemas de
Informacin.
Cada vez que se cambien estas deben ser distintas por lo menos de las ltimas tres anteriores.
Cambiar la contrasea si ha estado bajo riesgo o se ha detectado anomala en la cuenta de usuario.
No se deben usar caracteres idnticos consecutivos, ni que sean todos numricos, ni todos alfabticos.
No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.
No ser reveladas a ninguna persona, incluyendo al personal del rea de Tecnologa y Sistemas de Informacin.
No regstralas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma
segura y el mtodo de almacenamiento este aprobado.
Cdigo: M-TI-01
Versin 06
Cdigo: M-TI-01
Versin 06
Los dispositivos mviles (telfonos mviles, telfonos inteligentes (smart phones) tabletas, entre otros), son una
herramienta de trabajo que se deben utilizar nicamente para facilitar las comunicaciones de los usuarios de la
entidad.
Los dispositivos mviles deben estar integrados a una plataforma de administracin controlada por el rea de
Tecnologas y Sistemas de Informacin.
Los usuarios deben tener instaladas nicamente las aplicaciones distribuidas y autorizadas por el administrador
de la plataforma.
Los dispositivos mviles deben tener configurado nicamente la cuenta de correo electrnico de la entidad.
Los sistemas de mensajera instantneos autorizados para los dispositivos mviles son BlackBerry Messenger y
Microsoft Lync.
En el caso del nivel directivo se autoriza el uso de WhatsApp.
Los dispositivos mviles deben tener contrasea de ingreso y bloqueo del equipo.
Los dispositivos mviles deben tener nicamente la tarjeta sim asignada por la entidad, de igual forma la tarjeta
sim nicamente debe instalarse en los equipos asignados por la entidad.
Los usuarios que hagan uso de dispositivos Apple y/o BlackBerry, que sean necesarios para la configuracin de
estos dispositivos mviles, deben estar asociados a la cuenta de correo de presidencia del usuario.
Ante la prdida del equipo, ya sea por sustraccin o extravo, deber dar cuenta en forma inmediata al rea de
Tecnologa y Sistemas de Informacin.
Los telfonos mviles y/o telfonos inteligentes, debe permanecer encendidos y cargados durante las horas
laborales o de acuerdo a la responsabilidad y requerimientos propios del cargo.
Es responsabilidad del usuario hacer buen uso del dispositivo suministrado por el DAPRE con el fin de realizar
actividades propias de su cargo o funciones asignadas en la entidad.
En caso de requerir instalacin de aplicaciones adicionales en el dispositivo mvil se debe solicitar al comit de
seguridad informtica para su aprobacin.
36
Cdigo: M-TI-01
Versin 06
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
De acuerdo a lo previsto por el artculo 91 de la Ley 23 de 1982, los derechos de autor sobre las obras creadas
por los empleados y funcionarios en virtud de su vinculacin a la Entidad pblica correspondiente, en este caso
al Departamento Administrativo de la Presidencia de la Repblica, son de propiedad de esta con las excepciones
que la misma ley han sealado.
En el evento de retiro de un funcionario o traslado de dependencia, previa notificacin del rea de Talento
Humano, el rea de Tecnologa y Sistemas de Informacin generar una copia de la informacin contenida en el
equipo asignado al perfil del usuario (C:\usuarios\nombre-usuario), a una unidad de almacenamiento.
Una vez esta informacin se encuentre ubicada en la unidad de almacenamiento, se le realiza copia de seguridad
mensual en cinta magntica, la cual es enviada al custodio de medios magnticos, para conservar esta
informacin en el tiempo.
Si el jefe de la dependencia de la cual se retira el usuario requiere copia de esta informacin, debe realizar
solicitud al rea de Tecnologa y Sistemas de Informacin, quien escalar la solicitud ante el Comit de Seguridad
Informtica quien evaluar la pertinencia de la copia.
Se debe seguir el procedimiento P-TI-12 Procedimiento de Borrado Seguro para equipos Final, a fin garantizar la
copia de la informacin para la entidad y la eliminacin de la informacin almacenada en el disco local.
Ningn usuario final debe realizar copias de la informacin contenida en la estacin de trabajo a medios extrables
de informacin, excepto aquellos que se encuentren habilitados los privilegios de escritura por puertos USB y el
cliente DLP instalado el cual mantendr un registro de los archivos copiados.
En caso de presentarse alguna falla en los equipos de cmputo, se debe reportar a la mesa de ayuda del rea
de Tecnologa y Sistemas de Informacin, en caso de requerirse copia de la informacin, esta se realizar de
manera temporal durante las diferentes labores de reparacin o mantenimiento.
Cdigo: M-TI-01
Versin 06
El rea de Tecnologa y Sistemas de Informacin asignar los Token de acuerdo a solicitud elevada por los
usuarios.
La asignacin de Token para VPN a los funcionarios depender del requerimiento para el desarrollo de sus
funciones, de conectarse desde un lugar remoto a los servicios informticos brindados por la entidad.
La asignacin de Token para WiFi a los funcionarios depender si tienen computador porttil asignado por el
DAPRE y si este requiere ser conectado a la red inalmbrica de presidencia.
La asignacin de Token a los funcionarios para la autenticacin del equipo de la entidad depender del tipo de
informacin que maneje y se establezca como informacin pblica reservada o informacin pblica clasificada.
La conexin realizada a travs del servicio de VPN se debe realizar mediante el buen uso del dispositivo
entregado (Token) para la autenticacin y la conexin se debe establecer desde un equipo en un ambiente
seguro.
Es responsabilidad del usuario hacer buen uso del dispositivo entregado, con el fin de realizar actividades propias
de su cargo o funciones asignadas en la entidad DAPRE.
La prdida del Token entregado debe ser reportado de inmediato al rea de Tecnologa y Sistemas de
Informacin para su debida desactivacin y bloqueo.
En caso de no requerir ms el uso del Token o retiro definitivo de la entidad, el funcionario debe realizar la
devolucin del mismo en las condiciones que le fue entregado.
Si se evidencia el no uso del Token asignado por ms de 30 das se realizar su desactivacin.
Cdigo: M-TI-01
Versin 06
La informacin que se publique o divulgue debe guardar las medidas de seguridad exigibles de acuerdo al tipo de
calificacin que se le haya dado a dicha informacin y debe corresponder al entorno laboral.
Cada usuario ser responsable por el adecuado uso que se le d a las herramientas, a los daos y perjuicios que
puedan llegar a causar, sern de completa responsabilidad de la persona que los haya generado.
Los usuarios de los sistemas comunicaciones unificadas deben firmar el acta de compromiso y reserva previa entrega
de los equipos y/o asignacin de usuario al rea de Tecnologa y Sistemas de Informacin.
Cdigo: M-TI-01
Versin 06
Est definido para evidenciar las acciones realizadas y los resultados obtenidos en la ejecucin de las actividades,
con el fin de analizar los datos, y lo que es ms importante, para la toma de decisiones, de tal forma que registro que
no aporta valor o no lleva a una decisin de mejora o de accin, no se debe tener en el sistema, ya que lo nico que
hara es desgastar a la organizacin y generar residuos slidos como papel mal utilizado.
De acuerdo a la correspondencia y vnculos tcnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-IS09001 y NTC-IS027001 se utiliza el Procedimiento de control de registros del Proceso Gestin Documental.
Ver M-GD-01 Manual de Gestin Documental. Ver P-GD-08 Control de registros.
Cdigo: M-TI-01
Versin 06
De acuerdo a la correspondencia y vnculos tcnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-IS09001 y NTC-IS027001 se utiliza el procedimiento de elaboracin y seguimiento de planes de mejoramiento
del Proceso Evaluacin, Control y Mejoramiento. Ver P-EM-06 Formulacin, Seguimiento y Evaluacin de Planes
de Mejoramiento.
Cdigo: M-TI-01
Versin 06
Cdigo: M-TI-01
Versin 06
El que impida u obstaculice el funcionamiento o el acceso normal al sistema informtico, los datos
informticos o las redes de telecomunicaciones del DAPRE, sin estar autorizado.
El que destruya, dae, borre, deteriore o suprima datos informticos o un sistema de tratamiento de
informacin del DAPRE.
El que distribuya, enve, introduzca software malicioso u otros programas de computacin de efectos
dainos en la plataforma tecnolgica del DAPRE.
El que viole datos personales de las bases de datos del DAPRE.
El que superando las medidas de seguridad informtica suplante un usuario ante los sistemas de
autenticacin y autorizacin establecidos por el DAPRE.
No mantener la confidencialidad de las contraseas de acceso a la red de datos, los recursos tecnolgicos
o los sistemas de informacin del DAPRE o permitir que otras personas accedan con el usuario y clave del
titular a stos.
Permitir el acceso u otorgar privilegios de acceso a las redes de datos del DAPRE a personas no
autorizadas.
Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a cualquier computador
del DAPRE o de terceros.
Ejecutar acciones tendientes a eludir o variar los controles establecidos por el DAPRE.
Retirar de las instalaciones de la institucin, estaciones de trabajo o computadores porttiles que contengan
informacin institucional sin la autorizacin pertinente.
Sustraer de las instalaciones del DAPRE, documentos con informacin institucional calificada como
informacin pblica reservada o clasificada, o abandonarlos en lugares pblicos o de fcil acceso.
Entregar, ensear y divulgar informacin institucional, calificada como informacin pblica reservada y
clasificada a personas o entidades no autorizadas.
No realizar el borrado seguro de la informacin en equipos o dispositivos de almacenamiento del DAPRE,
para traslado, reasignacin o para disposicin final.
Ejecucin de cualquier accin que pretenda difamar, abusar, afectar la reputacin o presentar una mala
imagen del DAPRE o de alguno de sus funcionarios.
Realizar cambios no autorizados en la plataforma tecnolgica del DAPRE.
Acceder, almacenar o distribuir pornografa infantil.
Instalar programas o software no autorizados en las estaciones de trabajo o equipos porttiles
institucionales, cuyo uso no est autorizado por el rea de Tecnologa y Sistemas de Informacin del
DAPRE.
Copiar sin autorizacin los programas del DAPRE, o violar los derechos de autor o acuerdos de
licenciamiento.
Cdigo: M-TI-01
Versin 06
Se debe desarrollar e implantar un Plan de Continuidad para asegurar que los procesos misionales de TI del DAPRE
podrn ser restaurados dentro de escalas de tiempo razonables.
El DAPRE deber tener definido un plan de accin que permita mantener la continuidad del negocio teniendo en
cuenta los siguientes aspectos:
Identificacin y asignacin de prioridades a los procesos crticos de TI del DAPRE de acuerdo con su
impacto en el cumplimiento de la misin de la entidad.
Documentacin de la estrategia de continuidad del negocio.
Documentacin del plan de recuperacin del negocio de acuerdo con la estrategia definida anteriormente.
Plan de pruebas de la estrategia de continuidad del negocio.
La continuidad del negocio deber ser gestionada por la Subdireccin del DAPRE.
La alta direccin del DAPRE ser la responsable de velar por la implantacin de las medidas relativas a sta.
Igualmente, es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.
La alta direccin del Departamento, se encargar de la definicin y actualizacin de las normas, polticas,
procedimientos y estndares relacionados con la continuidad del negocio, igualmente velar por la implantacin y
cumplimiento de las mismas.
4.6. Cumplimiento
Los diferentes aspectos contemplados en este Manual son de obligatorio cumplimiento para todos los funcionarios,
contratistas y otros colaboradores del DAPRE. En caso de que se violen las polticas de seguridad ya sea de forma
intencional o por negligencia, el DAPRE tomar las acciones disciplinarias y legales correspondientes.
El Manual de la Poltica de Seguridad para las Tecnologas de la Informacin y las Comunicaciones - TICs debe
prevenir el incumplimiento de las leyes, estatutos, regulaciones u obligaciones contractuales que se relacionen con
los controles de seguridad.
4.7. Controles
El Manual de la Poltica de Seguridad para las Tecnologas de la Informacin y las Comunicaciones del DAPRE esta
soportado en un conjunto de procedimientos que se encuentran documentados en archivos complementarios a este
manual. Los usuarios de los servicios y recursos de tecnologa del DAPRE pueden consultar los procedimientos a
travs del rea de Tecnologa y Sistemas de Informacin y del aplicativo del SIGEPRE.
Cdigo: M-TI-01
Versin 06
Para el caso especfico del DAPRE, este tipo de anlisis se hace evaluando el cumplimiento de la norma ISO 27002,
para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestin de la seguridad
de la informacin que este estndar especfica, y una vez se complete este anlisis ya se puede realizar la
Declaracin de aplicabilidad.
MARCO LEGAL
REQUISITOS TCNICOS
Cdigo: M-TI-01
Versin 06
Modelo Estndar de Control Interno MECI 1000 2da versin "Subsistema: Control de Gestin;
Componente: Actividades de Control; Elemento: Monitoreo y Revisin e Informacin".
Norma Tcnica Colombiana NTC - ISO 19011 "Directrices para la Auditoria de los Sistemas de Gestin
de la Calidad y/o Ambiental"
7.
DOCUMENTOS ASOCIADOS
46