Manual Politicas Seguridad Informacion

MANUAL POLTICAS DE SEGURIDAD DE LA
INFORMACIN
Grupo de Sistemas
Secretara General
Archivo General de la Nacin Jorge Palacios Preciado
Versin: 0.1
2014/03/10
MANUAL DE POLTICAS DE SEGURIDAD DE LA INFORMACION Pgina 2 de 26
FORMATO PRELIMINAR
MANUAL DE POLTICAS DE SEGURIDAD DE LA

Titulo
INFORMACIN.
Fecha Elaboracin: Marzo 10 de 2014

Este documento presenta las polticas y estndares de
seguridad de la informacin declarados por el Archivo
Sumario
General de la Nacin para la proteccin de los activos de
informacin.
Palabras claves: Polticas, Seguridad, Buenas prcticas, Controles, Manual
Formato: PDF Lenguaje: Espaol

Cdigo: N/A Versin: 0.1 Estado: Aprobado
Categora: Documento Tcnico
Autor: Yohanna Navas Castellanos
Jhon Gonzlez Flrez

Revis:
Manuel Gmez Patio
Aprob: Comit Desarrollo Administrativo
Informacin Adicional: Aprobado mediante Acta No. 5 del 10 de marzo de 2014.
Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

Versin: 0.1
2014/03/10
CONTROL DE CAMBIOS
FECHA VERSIN PROYECT REVIS APROB DESCRIPCIN

Carlos Alberto
10-03-2014 0.1 Yohanna Navas C. Jhon Gonzlez F. Versin inicial
Zapata Cardenas

Versin: 0.1
2014/03/10
TABLA DE CONTENIDO
Pg.
1. INTRODUCCION 5
2. OBJETIVO 5
3. ALCANCE 5
4. NIVEL DE CUMPLIMIENTO 5
5. SANCIONES POR INCLUMPLIMIENTO 6
6. REVISIN DE LA POLTICA 6
7. MARCO LEGAL 6
8. ROLES Y RESPONSABILIDADES 8
9. POLTICAS DE SEGURIDAD DE LA INFORMACIN 10
9.1 Poltica General 10
9.2 Poltica de Gestin de activos 11
9.3 Poltica Seguridad de los recursos humanos 12
9.4 Poltica de Acuerdos de Confidencialidad 13
9.5 Poltica de Acceso fsico 14
9.6 Poltica de respaldo 15
9.7 Poltica de uso de internet 15
9.8 Poltica de uso de correo electrnico institucional 16
9.9 Poltica de control de acceso lgico 18
9.10 Poltica de uso de software 20
9.11 Poltica de contraseas 20
9.12Poltica de proteccin contra software malicioso 21
9.13 Poltica de equipo desatendido 21
9.14 Poltica de intercambio de informacin 22
9.15 Poltica de gestin de incidentes 22
10. GLOSARIO DE TERMINOS 23

Versin: 0.1
2014/03/10
1. INTRODUCCIN
La gestin de seguridad de la informacin implica la organizacin y coordinacin

de todos los esfuerzos encaminados al aseguramiento del entorno informtico de
la Entidad, para lo cual es necesario emplear mecanismos reguladores de las
funciones y actividades desarrolladas por los funcionarios y terceros de la Entidad.
La Poltica de Seguridad de la Informacin es la declaracin general que

representa la posicin de la Direccin del ARCHIVO GENERAL DE LA NACIN
con respecto a la proteccin de los activos de informacin.
En el presente documento se encuentra estructurado con una poltica general de

seguridad de la informacin y polticas especficas que soportan el Sistema de
Gestin de Seguridad de la Informacin, las cuales deben ser conocidas y
aceptadas por todos los usuarios de la infraestructura tecnolgica y la informacin
de la Entidad.
2. OBJETIVO
Dar a conocer a todos los funcionarios y terceros de la Entidad, las polticas y

estndares que se deben cumplir para proteger y/o preservar los activos
informticos y la informacin almacenada en ellos.
3. ALCANCE
Las polticas definidas en el presente manual aplican a todos los funcionariosy

terceros del ARCHIVO GENERAL DE LA NACIN y a la ciudadana en general
que utilicen recursos informticos de la Entidad.
4. NIVEL DE CUMPLIMIENTO
Todas las personas cubiertas por el alcance y aplicabilidad se espera que se

adhieran en un 100% de las polticas.

Versin: 0.1
2014/03/10
5. SANCIONES POR INCUMPLIMIENTO
El incumplimiento del presente manual podr presumirse como causa de

responsabilidad administrativa y/o penal, dependiendo de su naturaleza y
gravedad, cuya sancin ser aplicada por las autoridades competentes.
6. REVISIN DE LA POLTICA
Las polticas de seguridad de la informacin del presente manual sern revisadas

anualmente o cuando se identifiquen cambios en la estructura, objetivos o alguna
condicin que afecte la poltica, con el fin de asegurar que se encuentren
ajustadas a los requerimientos de la Entidad.
7. MARCO LEGAL
CONSTITUCIN POLTICA DE COLOMBIA.ARTCULO 74

Todas las personas tienen derecho a acceder a los documentos pblicos salvo los
casos que establezca la ley. El secreto profesional es inviolable.
LEY 527 DE 1999

Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de
datos, del comercio electrnico y de las firmas digitales, y se establecen las
entidades de certificacin y se dictan otras disposiciones.
LEY 594 DE 2000

Por medio de la cual se dicta la ley general de archivos y se dictan otras
disposiciones.
LEY 1266 DE 2008

Por la cual se dictan las disposiciones generales del hbeas data y se regula el
manejo de la informacin contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de terceros pases y
se dictan otras disposiciones.
LEY 1581 DE 2012

Por la cual se dictan disposiciones generales para la proteccin de
datospersonales.

Versin: 0.1
2014/03/10
LEY 962 DE 2005

Por la cual se dictan disposiciones sobre racionalizacin de trmites y
procedimientos administrativos de los organismos y entidades del Estado y de los
particulares que ejercen funciones pblicas o prestan servicios pblicos.
LEY 1341 DE 2009

Por la cual se definen principios y conceptos sobre la sociedad de la informacin y
la organizacin de las Tecnologas de la Informacin y las Comunicaciones TIC,
se crea la Agencia Nacional de Espectro y se dictan otras disposiciones.
LEY 1437 DE 2011

Por la cual se expide el Cdigo de Procedimiento Administrativo y de lo
Contencioso Administrativo.
LEY 1273 DE 2009

Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico
tutelado - denominado de la proteccin de la informacin y de los datos- y se
preservan integralmente los sistemas que utilicen las tecnologas de la informacin
y las comunicaciones, entre otras disposiciones.
LEY 1712 DE 2014

Por medio de la cual se crea la ley de transparencia y del derecho de acceso a la
informacin pblica nacional y se dictan otras disposiciones.
NTC ISO/IEC 27001 DE 2005

Esta norma ha sido elaborada para brindar un modelo para el establecimiento,
implementacin, operacin, seguimiento, revisin, mantenimiento y mejora de un
sistema de gestin de la segundad de la informacin (SGSI), teniendo en cuenta la
poltica, la estructura organizativa, los procedimientos y los recursos. La norma
adopta el modelo de procesos Planificar-Hacer-Verificar-Actuar (PHVA) para
estructurar los procesos del SGSI.
DECRETO 2609 DE 2012

Por medio de la cual se reglamenta el Ttulo V de la Ley 594 de 2000,
parcialmente los artculos 58 y 59 de la Ley 1437 de 2011 y se dictan otras
disposiciones en materia de Gestin Documental para todas las Entidades del
Estado.

Versin: 0.1
2014/03/10
8. ROLES Y RESPONSABILIDADES
Subdireccin de Tecnologas de informacin archivstica y documento

electrnico TIADE:
a) Definir y establecer las polticas de seguridad de la informacin.

b) Coordinar la implementacin de las polticas de seguridad de la informacin
con los diferentes procesos del Archivo General de la Nacin.
c) Reportar a la alta direccin o al Comit de desarrollo administrativo, el
estado de la seguridad de la informacin de la Entidad.
Grupo de Sistemas
a) Elaborar y actualizar las polticas de seguridad de la informacin.

b) Coordinar la implementacin de las polticas de seguridad de la informacin.
c) Definir e implementar la estrategia de divulgacin y concientizacin de
Seguridad dela Informacin para todos los funcionarios y terceros que
tengan acceso a los activos de informacin del Archivo General de la
Nacin.
d) Evaluar, seleccionar y sugerir la implantacin de herramientas que faciliten
la labor de seguridad y contingencia.
e) Coordinar estudios de penetracin y pruebas de seguridad en todos los
ambientes (Desarrollo, Pruebas, Produccin, Contingencia y cualquier otro
que se requiera).
f) Investigar sobre nuevos productos y tecnologa de seguridad en todos los
ambientes (Desarrollo, Pruebas, Produccin, Contingencia y cualquier otro
que se requiera).
g) Asesorar en la aplicacin de la metodologa para el mantenimiento de los
planes de contingencia y continuidad del negocio.
h) Revisin y seguimiento regular de los informes de incidentes sobre
seguridad generados por el sistema, analizando las posibles incidencias
ocurridas desde la ltima revisin de los mismos.
i) Disear alarmas, controles destinados a proteger la confidencialidad y/o
acceso adecuado a la informacin.
Funcionarios
Todo funcionario de la entidad es responsable por el cumplimiento de las polticas

de seguridad de la informacin. Adicionalmente cada funcionario est
comprometido a reportar al Grupo de Sistemascualquierevento o incidente de
seguridad del que tenga conocimiento, por los medios y formas establecidos para
ello.
Usuarios de los sistemas

Versin: 0.1
2014/03/10
Los usuarios de los sistemas sean funcionarios, o terceras partes, que hacen uso
de los servicios o sistemas de informacin del Archivo General de la Nacin,estn
obligados a cumplir las polticas de Seguridad de la Informacin y son
responsables de dar un uso apropiado a los activos conforme a lo establecido en
el Cdigo nico Disciplinario, ley 734 de 2002 y el acuerdo de Confidencialidad.
Administradores de los sistemas
Los administradores de los diferentes sistemas deben en forma activa implementar

las medidas tcnicas y procedimientos para brindar un nivel apropiado de
seguridad de la informacin, de acuerdo a las polticas de seguridad de la
informacin del Archivo General de la Nacin.
Grupo de Gestin Humana
Esta rea tiene dentro sus funciones realizar la revisin de requisitos para
proceder a la posesin como servidor pblico. Como parte de la funcin de
seleccin se debe realizar una verificacin de los antecedentes y referencias de
los candidatos, garantizar que los funcionarios firmen el acuerdo de
confidencialidad.
Oficina de Control Interno
Esta Oficina es la responsable de velar por el cumplimiento de las polticas

definidas por el Archivo General de la Nacin y ejercer control sobre la gestin y
actividades que adelanten las dependencias del Archivo General de la Nacin de
acuerdo a lo definido en el Sistema de Control Interno.
Oficina Asesora de Planeacin
Esta oficina es la responsable de la administracin y control de los documentos y

procedimientos relativos a la seguridad de la informacin de los procesos de la
Entidad.
Oficina Asesora Jurdica

Esta oficina es la responsable de garantizar que se incluyan las clusulas de
confidencialidad de la informacin dentro de los contratos de los contratistas.
9. POLTICAS DE SEGURIDAD DE LA INFORMACIN

Versin: 0.1
2014/03/10
9.1 Poltica General
La Direccin General del ARCHIVO GENERAL DE LA NACIN, declara en la

presente Poltica de Seguridad de la Informacin su posicin y compromiso con
respecto a la preservacin de la confidencialidad, integridad y disponibilidad de
sus activos de informacin (la informacin, los servicios, las tecnologas de
informacin incluido el hardware y el software, las personas y la imagen de la
Entidad), a la definicin, implementacin, operacin y mejora del Sistema de
Gestin de Seguridad de la Informacin en el marco de la norma NTC ISO/IEC
27001 soportado en lineamientos claros alineados a las necesidades de la Entidad
y a los requerimientos regulatorios, y al apoyo, generacin y publicacin de sus
polticas, procedimientos e instructivos, como parte de una estrategia orientada a
la continuidad del negocio, la administracin de riesgos y la consolidacin de una
cultura de seguridad. Para lo cual establece las siguientes directrices:
La identificacin, clasificacin y valoracin de los activos de informacin de la

Entidad, como base para la realizacin del anlisis de los riesgos a los que
estn expuestos y as seleccionar e implementar los controles necesarios para
reducir los riesgos a un nivel aceptable.
El aseguramiento de las instalaciones fsicas de la Entidad y las reas de

procesamiento de informacin, con el fin de evitar el acceso fsico no
autorizado, la interferencia o dao de la informacin propia o de terceros
resguardada por la Entidad.
El aseguramiento de la autenticidad, integridad, inalterabilidad, fiabilidad,

disponibilidad, confidencialidad y conservacin de los documentos fsicos y
electrnicos de archivo creados, procesados, transmitidos o resguardados por
sus procesos con el fin de minimizar impactos financieros, operativos o legales
debido a un uso incorrecto de sta.
En un plazo de seis (6) meses contados a partir de su aprobacin, se har la

identificacin y concertacin de los requisitos para la seguridad de la
informacin en la adquisicin de nuevas aplicaciones, infraestructura y
servicios.

Versin: 0.1
2014/03/10
El aseguramiento, a travs de una adecuada gestin, de los eventos de

seguridad y las debilidades asociadas con los sistemas de informacin para
una mejora efectiva de su modelo de seguridad.
El suministro de recurso humano con la educacin, formacin y

concientizacin en aspectos relacionados con seguridad de informacin
necesaria y adecuada a las obligaciones y/o responsabilidades de los
servidores pblicos y/o terceros.
El Establecimiento de roles y responsabilidades de los servidores pblicos y/o

terceros con el fin de crear compromisos en la proteccin de la informacin a
la cual acceden y procesan, para evitar su prdida, alteracin, destruccin o
uso indebido.
El cumplimiento de las obligaciones legales, regulatorias y contractuales

establecidas en materia de seguridad de la informacin.
La presente poltica aplica para todos los funcionarios, terceros y proveedores que
tengan acceso a los activos de informacin de la Entidad.
Dicha poltica es de obligatorio cumplimiento por parte de Funcionarios, terceros y

proveedores; su falta de aplicacin ser sancionable conforme a las normas
vigentes, dependiendo de su naturaleza y gravedad, dicha sancin ser aplicada
por las autoridades competentes.
Esta poltica ser revisada anualmente o cuando se identifiquen cambios en la

Entidad, su estructura, sus objetivos o alguna condicin que afecte la poltica, para
asegurar que sigue siendo adecuada y ajustada a los requerimientos identificados.
9.2 Poltica de Gestin de activos
Los activos de informacin delARCHIVO GENERAL DE LA NACIN, sern

identificados, clasificados y valorados para establecer los mecanismos de
proteccin necesarios, as mismo tendrn un propietario asociado quien es
el responsable de definir quienes tienen acceso y que pueden hacer con la
informacin.
Los recursos TIC que no pertenezcan al Archivo General de la Nacin,

incluidos computadoras porttiles, telfonos inteligentes, tabletas, etc. no

Versin: 0.1
2014/03/10
debern conectarse a las redes, a los sistemas ni a los servicios del Archivo
General de la Nacin [o utilizarse para obtener acceso a las aplicaciones de
ste] sin la aprobacinexplcita del Coordinador del Grupo de Sistemas y
tras verificar que tales recursos cumplan con los requerimientos mnimos de
seguridad del Archivo General de la Nacin (tales como software antivirus
actualizado, cortafuegos habilitado, inexistencia de software de escaneo de
redes u otros programas objetables). Lo anterior debido a que los
dispositivos de comunicacin personal (telfonos inteligentes y tabletas)
que se conecten a la red inalmbrica de la oficina, a los sistemas o a los
servicios de la Entidad representan un riesgo para la seguridad de la
informacin y una carga adicional a la conexin de Internet, ya que dichos
dispositivos estn normalmente conectados a cuentas personales de redes
sociales u otros servicios.
Todos los funcionarios y tercerosque utilicen los recursos TIC deben seguir
las polticas para el uso aceptable de la informacin y de los activos
asociados con los servicios de procesamiento de informacin, establecidos
por la Entidad.
Se deben emplear medidas de proteccin para el cableado de la red y

dispositivos de comunicacin de manera que no se exhiban ni sean de fcil
acceso generando el riesgo de conexiones no autorizadas.
Se deben emplear herramientas de borrado seguro y dems mecanismos

de seguridad pertinentes en los equipos que contengan medios de
almacenamiento y que sern reutilizados o eliminados, con el fin de
garantizar que la informacin de la Entidad contenida en estos medios no
se pueda recuperar.
Los recursos de red que ha dispuesto el Archivo General de la Nacin, tales

como Directorios compartidos, Portal web, Intranet, Repositorio del SGDEA,
etc, no deben ser utilizados para el almacenamiento de informacin que no
es para propsitos laborales, ejemplos de informacin no permitida son:
Material pornogrfico, videos, pelculas, msica, fotos, etc.
9.3 Poltica de Seguridad de los recursos humanos
Todos los funcionarios y terceros de la entidad deben recibir formacin

adecuada en concientizacin y actualizaciones regulares sobre las polticas
y los procedimientos de la entidad, en cuanto a la seguridad informtica y a

Versin: 0.1
2014/03/10
la seguridad de la informacin segn sea pertinente para sus funciones

laborales.
Cuando se produzca una terminacin de contrato, la oficina de jurdica

deber informarlo de manera inmediata al Grupo de Sistemas para el retiro
de los accesos a la red y los sistemas de informacin.
Es responsabilidad de los funcionarios y terceros proteger los activos que

estn bajo su custodia contra acceso, divulgacin, modificacin, destruccin
o interferencia no autorizada, haciendo cumplir las medidas de seguridad
implementadas por la Entidad.
Los funcionarios y terceros deben informar al Grupo Sistemas los eventos

detectados o potenciales u otros riesgos de seguridad para la Entidad.
Se debe resguardar la reserva de los documentos y bases de datos que

contengan informacin personal de funcionarios y terceros que laboran en
la Entidad durante y despus de la terminacin de los vnculos laborales
con la Entidad.
9.4 Poltica de Acuerdos de Confidencialidad
Todo funcionario del Archivo General de la Nacin debe firmar en seal de

aceptacin el acuerdo de confidencialidad del Archivo General de la Nacin.
Los supervisores de contratos son responsables de velar porque las

terceras partes cumplan las clusulas de confidencialidad.
Se deben ejecutarrevisiones y auditoras en la prestacin de servicios por

terceros en cuanto al cumplimiento de las clusulas deconfidencialidad
incluidas en los contratos.
9.5 Poltica de Acceso fsico
Se consideran reas de acceso restringido a todas las reas donde se

encuentran alojados los equipos de procesamiento o almacenamiento de
informacinprivada, la infraestructura de soporte a los sistemas de
informacin y comunicaciones, y las reas donde se encuentran las
Versin: 0.1
2014/03/10
bvedas y bodegasdonde se custodia el patrimonio documental de la

nacin y documentacin privada de las Entidades del estado; por lo cual
se deben emplear mecanismos de acceso fsico que garanticen que slo
se permite el acceso al personal autorizado.
Las reas de acceso restringido deben contar con mecanismos efectivos

que permitan cumplir con los requerimientos ambientales de temperatura y
humedad especificados por los fabricantes de los equipos que albergan, y
conservacin de la documentacin que custodia, adems de medidas para
proteger los equipos del polvo y prevenir amenazas externas como
manifestaciones sociales, explosiones en la calle o vandalismo.
El acceso a las reas restringidas por parte del personal de soporte tcnico
de proveedores se debe otorgar y monitorear, nicamente cuando sea
necesario por medio de una autorizacin.
Cuando sea viable, las reas restringidas deben ser discretas y no tener
indicaciones sobre su propsito, sin seales obvias que identifiquen las
actividades de procesamiento de informacin o de la documentacin que
custodia.
No est permitida la toma de fotografas o grabacin de video, en reas de

procesamiento de informacin o donde se encuentren activos de
informacin que comprometan la seguridad o la imagen de la entidad, a
menos que est autorizado.
Todos los funcionarios y contratistas deben portar en un lugar visible el

carnet que los identifica como funcionarios o contratistas de la Entidad para
el acceso a la Entidad y mientras se encuentre dentro de ella.
Todos los visitantes que ingresen a la Entidad deben ser registrados y

deben portar una tarjeta que los identifique como visitantes en un lugar
visible. Debe notificarse inmediatamente alpersonal de seguridad si se
encuentran visitantes sin identificacin visible.
9.6 Poltica de respaldo
Se debe asegurar que la informacin contenida en la plataforma tecnolgica

de la Entidad, como servidores, dispositivos de red para almacenamiento

Versin: 0.1
2014/03/10
de informacin, archivos de configuracin de dispositivos de red y

seguridad, entre otros, sea peridicamente resguardada mediante
mecanismos y controles adecuados que garanticen su identificacin,
proteccin, confidencialidad, integridad y disponibilidad. Adicionalmente, se
deber establecer un plan de restauracin de copias de seguridad que
sern probados a intervalos regulares con el fin de asegurar que son
confiables en caso de emergencia y retenidas por un periodo de tiempo
determinado.
Los medios de almacenamiento que contienen la informacin de la copia de

respaldo deben ser de alta calidad y almacenados en otra ubicacin
diferente a las instalaciones donde se encuentra dispuesta. El sitio externo
donde se resguardan dichas copias, debe tener los controles de seguridad
adecuados, cumplir con mximas medidas de proteccin y seguridad fsica
apropiados.
Cada uno de los funcionarios y terceros que tengan bajo su responsabilidad

la informacin necesaria para la ejecucin de sus labores debe hacer
copias de respaldo peridicas y almacenar la informacin de respaldo de
manera segura pero accesible, con el fin de evitar su prdida en caso de
un incidente de seguridad, siguiendo los lineamientos del grupo de
Sistemas.
9.7 Poltica de uso de internet
El acceso al servicio de internet debe ser autorizado porel Grupo de

Sistemas quien vigilar su correcto uso y funcionamiento a travs de
herramientas de monitoreo y anlisis de trfico, dicho uso est priorizado
exclusivamente para actividades institucionales.
Los recursos TIC han de ser utilizados de manera responsable y entre las
acciones no permitidas en el uso incluye el utilizar sistemas de intercambio
de archivos (P2P, torrent, ares,dropboxetc) para obtener de manera ilegal
material con derecho de autor, instalar software que no ha sido aprobado
por el Archivo General de la Naciny/o utilizar los recursos TIC de la
Entidad en violacin de leyes de derecho de autor aplicables.

Versin: 0.1
2014/03/10
El acceso a servicios de mensajera instantnea y redes sociales debe ser

autorizado por el Grupo de Sistemas.
Actividades Prohibidas:
Ingresar a pginas pornogrficas as como de personas u

organizaciones al margen de la ley o de contenidos ilegales.
Descargar msica y video, en especial con los servicios provistos por

las pginas especializadas para tal fin, as como utilizar o participar en
juegos de entretenimiento en lnea.
Utilizar los servicios de radio, videos y televisin a travs de Internet,

salvo que dicha informacin se requiera para el ejercicio de las
funciones a cargo. En este caso el Jefe del rea o Dependencia
correspondiente deber presentar la solicitud mediante el formato GRF-
F-010 SOLICITUD DE SERVICIOS TIC, exponiendo las causas de la
excepcin ante el Grupo de Sistemas.
Descargar o instalar programas, modificar los paquetes y

configuraciones ya instalados en los computadores de la Entidad.
9.8 Poltica de uso de correo electrnico institucional
El servicio de correo electrnico institucional debe ser autorizado porel

Grupo de Sistemas y solo podr ser utilizado para fines laborales, su
configuracin y acceso desde dispositivos mviles que no pertenezcan a la
Entidad debe ser autorizado por el Grupo de Sistemas previa revisin de
las medidas de seguridad mnimas que debe cumplir.
Los administradores del sistema de correo electrnico emitirn cuentas de

correo electrnico con el nombre de sus usuarios (funcionarios y terceros)
asociadas al dominio archivogeneral.gov.co, que utilizan la convencin de
nombre punto y apellido (nombre.apellido@archivogeneral.gov.co) para
funcionarios, y para el caso de los tercerosse utiliza la convencin de la
letra inicial del primer nombre seguido del primer apellido, en caso de que
ya exista la cuenta se utilizar la letra inicial del segundo nombre y en la

Versin: 0.1
2014/03/10
firma de los mismos debern incluir la denominacin de contratista y el

grupo o dependencia al cual pertenece.
No se permite el envo de correos con contenido que atente contra la

integridad humana de las personas o instituciones, tales como:
pornogrfico, chistes, religiosos, terroristas, hackers, racistas, polticos o
cualquier contenido que represente riesgo de virus; cdigo malicioso, etc.
Slo se permite el envo de correos masivos a los usuarios que lo requieran

para el desarrollo de sus actividades laborales, previa autorizacin por
parte del Grupo de Sistemas.
No est permitido el envo de archivos adjuntos que contengan extensiones

ejecutables, bajo ninguna circunstancia.
No es permitido en ningn caso accesar ni compartir mensajes de correos

con informacin en archivos adjuntos de dudosa procedencia. Si se recibe
un correo de origen desconocido, se debe consultar inmediatamente con el
Grupo de Sistemas sobre su seguridad. Bajo ningn aspecto se debe abrir
o ejecutar archivos adjuntos de correos dudosos, ya que podran contener
cdigos maliciosos (virus, troyanos, keylogger, gusanos, etc).
Se deben eliminar permanentemente los mensajes innecesarios.
La firma de los correos electrnicos ser obligatoria tanto para funcionarios

de planta como contratistas y deber contener: Nombre y Apellidos, Cargo
o Numero de contrato y proyecto, Nombre Entidad, Telfono de contacto y
extensin. Ejemplo:
Planta Contratistas
Nombre y Apellido Nombre y Apellido.

Subdirector de Tecnologas de Informacin Proyecto SISNA - Contrato 266-2013
Archivstica y Documento Electrnico Grupo Documento Electrnico
Archivo General de la Nacin Jorge Archivo General de la Nacin Jorge
Palacios Preciado Palacios Preciado
(+57+1) 328 28 88 Ext. xxx (+57+1) 328 28 88 Ext. xxx
Los correos electrnicos deben contener la sentencia de confidencialidad

con el siguiente contenido:

Versin: 0.1
2014/03/10
CONFIDENCIALIDAD: Este mensaje y cualquier archivo anexo son

confidenciales y para uso exclusivo del destinatario. Esta comunicacin
puede contener informacin protegida por derechos de autor. Si usted ha
recibido este mensaje por error, equivocacin u omisin queda
estrictamente prohibida la utilizacin, copia, reimpresin y/o reenvo del
mismo. En tal caso, favor de notificar de forma inmediata al remitente y
borrar el mensaje original y cualquier archivo anexo.
GRACIAS
Corresponde a cada uno de los funcionarios y terceros dar el uso adecuado

a estos recursos y en ningn momento podrn ser utilizados para realizar
actividades ilcitas.
9.9 Poltica de control de acceso lgico
Cada usuario es responsable de la cuenta de usuario y clave que le ha sido

asignada necesaria para acceder a la informacin y a la infraestructura
tecnolgica de la Entidad. Los usuarios no deben divulgar ni permitir que
otros utilicen sus cuentas de usuario, ni utilizar las cuentas de usuario de
otros usuarios.
Los coordinadores, Jefes de oficina o supervisores de contrato debern

solicitar al Grupo de Sistemas mediante formato GR-FR-310 la creacin de
los usuarios que requieran para el acceso a los sistemas de informacin y
los servicios de red de la Entidad, para los cuales se establecern
privilegios de acceso de acuerdo a sus funciones y competencias.
Los coordinadores o Jefes de oficina debern determinar los permisos y

niveles de acceso a los documentos fsicos y digitales que se le debern
otorgar a los usuarios de su rea, teniendo en cuenta la clasificacin de la
informacin establecida en el inventario de activos de informacin.
El acceso remoto a la red y a la infraestructura de procesamiento de

informacin slo podr ser realizado por los usuarios autorizados por el
Grupo de Sistemas siguiendo los requerimientos de seguridad
determinados por stos.

Versin: 0.1
2014/03/10
El acceso a los sistemas de informacin y recursos TIC del Archivo General

de la Nacin, ser considerado un privilegio y no un derecho. Las cuentas
de acceso se conceden especficamente con el fin de llevar a cabo las
funciones del Archivo General de la Nacin. Como tal, estas cuentas se
mantendrn activas, siempre y cuando la persona a quien se asigna la
cuenta siga llevando a cabo actividades misionales o contractuales en el
Archivo General de la Nacin.
Cuando un funcionario o tercero se est separando o desvinculando del

Archivo General de la Nacin, ya sea por destitucin, retiro, jubilacin o
terminacin del contrato, su/sus cuentas de acceso a los Sistemas de
informacin y recursos TIC del Archivo General de la Nacin (incluida
cuenta de correo electrnico) se suspender a partir de la fecha de
separacin o desvinculacin y se eliminar a los 60 das siguientes, previa
realizacin y archivo por parte del jefe inmediato o supervisor del contrato
de la copia de seguridad de su archivo de respaldo.
Con carcter excepcional, una cuenta de acceso suspendida puede ser

reactivada. La solicitud deber hacerse por escrito al Grupo de Sistemas
precisando el motivo para activar la cuenta y el perodo de tiempo
especfico por el cual la cuenta se mantendr activa. La solicitud debe venir
directamente del jefe de rea o supervisor del contrato segn corresponda.
Las cuentas de acceso a los sistemas de informacin y a los recursos TIC

del Archivo General de la Nacin (incluyendo cuentas de correo
electrnico), se suspendern o cancelarn si no se registra actividad en
estos sistemas por 180 das.
9.10 Poltica de uso de software

Los usuarios autorizados debern solicitar la aprobacin del Grupo de
Sistemas antes de instalar cualquier software que no haya sido
aprobado previamente para su uso.
No est permitida la distribucin por cualquier medio, de software

propiedad o con licencia del Archivo General de la Nacin a personal no
autorizado.

Versin: 0.1
2014/03/10
9.11Poltica de contraseas
Es responsabilidad de cada uno de los funcionarios y terceros que
posean cuenta de usuario para el acceso a la red o los sistemas de
informacin de la Entidad hacer buen uso de la misma, no divulgando ni
escribiendo la contrasea en lugares visibles.
La contrasea de la cuenta de usuario asignada por primera vez debe

ser inmediatamente cambiada en el primer inicio de sesin, cumpliendo
con los siguientes requisitos:
Tener mnimo ocho caracteres.
Contener caracteres de dos de las tres siguientes clases de
caracteres:
Caracteres en maysculas y minsculas (es decir, Aa-Zz)
Base de 10 dgitos (es decir, 0-9)
Puntuacin y otros caracteres (es decir, !@#$%^&*()_+|~-=
\ `{}[]:";'<>?,./).
Se debe exigir el cambio de contrasea de red y del correo institucional

cada 90 das, advirtiendo sobre ste cambio al usuario a partir de 5 das
antes de su vencimiento.
El grupo de sistemas no restablecer contrasea a un usuario, a menos

que este mismo lo solicite y se identifique a s mismo.
Los usuarios no deben utilizar la misma contrasea de acceso a sus

cuenta de acceso personal para el Archivo General de la Nacin (cuenta
de correo electrnico usuario@archivogeneral.gov.co, Intranet, etc).
El usuario debe evitar mantener un registro (por ejemplo, en papel,

archivos electrnicos) de las contraseas, a menos que se pueda
almacenar de forma segura y el mtodo de almacenamiento haya sido
aprobado por el Grupo de Sistemas.
Todo usuario autorizado debe cambiar las contraseas cada vez que
exista o haya algn indicio de una posible vulnerabilidad del sistema.
9.12 Poltica de proteccin contra software malicioso
Se debe tener instalado como mnimo un software antivirus que brinde

proteccin contra cdigo malicioso en todos los recursos informticos de la
Versin: 0.1
2014/03/10
Entidad, asegurndose que estas herramientas no puedan ser

deshabilitadas, as como de su actualizacin permanente.
Cada uno de los funcionarios y terceros deben revisar previamente al

acceso el dispositivo de almacenamiento removible con el antivirus. Cada
uno es responsable por la seguridad fsica y lgica del dispositivo con el fin
de no poner en riesgo la informacin del Archivo General de la Nacin
contenida.
No est permitida la utilizacin de medios de almacenamiento virtual que no

estn previamente autorizados por el grupo de Sistemas.
No est permitida la generacin, propagacin, ejecucin o introduccin de

cualquier cdigo de programacin diseado para auto replicarse, daar o
afectar el desempeo de cualquier dispositivo o infraestructura tecnolgica
de la Entidad.
9.13 Poltica de equipo desatendido
Toda la informacin (documentos impresos, medios de almacenamiento

removibles, cds) declarada no pblica utilizada para el desarrollo de las
actividades laborales, debe permanecer en lugares seguros o bajo llave en
el escritorio mientras el puesto de trabajo est desatendido o en horas no
laborales con el fin de evitar prdidas, alteraciones o accesos no
autorizados.Adicionalmente, toda la informacin no pblica que se enva a
las impresoras debe ser recogida de manera inmediata.
Es responsabilidad de cada uno de los usuarios bloquear la sesin de su

estacin de trabajo mientras no se encuentre presente, la cual se podr
desbloquear slo con la introduccin de la contrasea del usuario. Al
finalizar sus actividades del da, se deben cerrar todas las aplicaciones y
apagar el equipo de cmputo.
9.14Poltica de intercambio de informacin
Todos los funcionarios y terceros que requieran conocer o intercambiar

informacin no pblica de la Entidad, debern firmar acuerdos de
confidencialidad antes de obtener el acceso a la informacin, en los que

Versin: 0.1
2014/03/10
quedarn especificadas las responsabilidades para el intercambio de la

informacin para cada una de las partes.
Todos los funcionarios y terceros son responsables por la proteccin de la

confidencialidad e integridad de la informacin y de los medios utilizados
para el intercambio de informacin con el fin de no permitir una divulgacin
o modificacin no autorizada.
Es responsabilidad de los propietarios de la informacin que se requiere

intercambiar, definir los niveles y perfiles de autorizacin para acceso,
modificacin y eliminacin de la misma y los custodios de esta informacin
son responsables de implementar los controles que garanticen el
cumplimiento de los criterios de confidencialidad, integridad y disponibilidad
requeridos.
9.15 Poltica de gestin de incidentes
Los usuarios deben informar de cualquier evento que afecte la

confidencialidad, integridad o disponibilidad de los recursos TIC y/o la
informacin al Grupo de Sistemas.
Se deben definir y seguir procedimientos para la gestin de los incidentes

de seguridad de la informacin que permitan ejecutar de manera
organizada las actividades de planificacin, atencin de incidentes y mejora
continua para enfrentar nuevos incidentes.
10. GLOSARIO DE TERMINOS1
Aceptacin del riesgo: Decisin de asumir un riesgo.
Activo: Es todo aquello que tiene valor para la organizacin(Informacin,

Software, Hardware, Servicios, Imagen institucional, Personas) y necesite
protegerse.
Amenaza:Causa potencial de un incidente no deseado, que puede ocasionar

dao a un sistema u organizacin.
1
Definiciones tomadas de la Norma ISO/IEC 27001:2005, Ley 527 de 1999, Ley 594 de 2000
Versin: 0.1
2014/03/10
Anlisis de riesgo: Uso sistemtico de la informacin para identificar las fuentes

y estimar el riesgo.
Autenticidad: Permite verificar la identidad del generador de la informacin,

evitando la suplantacin de identidad.
Cifrado de datos: Es el proceso por el que una informacin legible se transforma

mediante un algoritmo en informacin ilegible.
Confidencialidad: Propiedad que determina que la informacin no est disponible

ni sea revelada a individuos, entidades o procesos no autorizados.
Conservacin a largo plazo:Conjunto de acciones y estndares aplicados a los

documentos durante su gestin para garantizar su preservacin en el tiempo.
Contrasea: Conjunto de nmeros, letras y caracteres, utilizados para reservar el

acceso a los usuarios que disponen de esta contrasea.
Declaracin de aplicabilidad: Documento que describe los objetivos de control y

los controles pertinentes y aplicables para el SGSIde la Organizacin.
Disponibilidad: Propiedad de que la informacin sea accesible y utilizable por

solicitud de una entidad autorizada.
Documento electrnico de archivo: Registro de la informacin generada,

recibida, almacenada, y comunicada por medios electrnicos, que permanece en
estos medios durante su ciclo vital; es producida por una persona o entidad en
razn de sus actividades y debe ser tratada conforme a los principios y procesos
archivsticos.
Evaluacin del riesgo: Proceso de comparar el riesgo estimado contra criterios

de riesgo dados, para determinar la importancia del riesgo.
Evento de seguridad de la informacin. Es lapresencia identificada de un

estado del sistema, del servicio o de la red que indica un posible incumplimiento
de la poltica de seguridad de la informacin, una falla de controles, o una
situacin previamente desconocida que puede ser pertinente para la seguridad.

Versin: 0.1
2014/03/10
Firma Digital: Valor numrico que se adhiere a un mensaje de datos y que,

utilizando un procedimiento matemtico conocido, vinculado a la clave del iniciador
y al texto del mensaje permite determinar que este valor se ha obtenido
exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido
modificado despus de efectuada la transformacin.
Firma Electrnica:Mecanismo tcnico de autenticacin, que identifica a una

persona ante un sistema o una aplicacin informtica, que en todo caso requiere
prueba de su confiabilidad. Puede ser un cdigo (clave o PIN), cdigos
digitalizados de parte de nuestro cuerpo (biometra) y/o cdigos criptogrficos
(firma digital).
Gestin del riesgo. Actividades coordinadas para dirigir y controlar una

organizacin conrespecto al riesgo.
Gestin documental:Conjunto de actividades administrativas y tcnicas

tendientes a la planificacin, manejo y organizacin de la documentacin
producida y recibida por las entidades, desde su origen hasta su destino final, con
el objeto de facilitar su utilizacin y conservacin.
Gestin de Incidentes: Conjunto de acciones y procesos tendientes a brindar a

las organizaciones fortalezas y capacidades para responder en forma adecuada a
la ocurrencia de incidentes de seguridad informtica que afecten real o
potencialmente sus servicios.
Gusano: Programa de computadora que puede replicarse a s mismo y enviar

copias de una computadora a otra a travs de conexiones de la red.
Inalterabilidad:Garantizar que un documento electrnico generado por primera

vez en su forma definitiva no sea modificado a lo largo de todo su ciclo de vida,
desde su produccin hasta su conservacin temporal o definitiva.
Incidente de seguridad de la informacin: Un evento o serie de eventos de

seguridad de la informacin no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones del negocio y amenazar
a seguridad de la informacin.
Integridad: Propiedad de salvaguardar la exactitud y estado completo de la

informacin.

Versin: 0.1
2014/03/10
Keylogger: Es un tipo de software o un dispositivo hardware especfico que se

encarga de registrar las pulsaciones que se realizan en el teclado, para
posteriormente memorizarlas en un fichero o enviarlas a travs de internet.
Medios de almacenamiento removibles: comprende los discos duros externos,

memorias USB, tarjetas SD, etc.
No repudio:el emisor no podr negar el conocimiento de un mensaje de datos ni

los compromisos adquiridos a partir de ste.
Poltica:Toda intencin y directriz expresada formalmente por la Direccin.
Riesgo. Combinacin de la probabilidad de un evento y sus consecuencias.
Riesgo residual: Nivel restante de riesgo despus del tratamiento del riesgo.
Seguridad de la informacin: Preservacin de la confidencialidad, la integridad y

la disponibilidad de la informacin; adems, puede involucrar otras propiedades
tales como: autenticidad, trazabilidad, no repudio y fiabilidad.
Sistema de gestin de la seguridad de la informacin - SGSI: Parte del

sistema de gestin global, basada en un enfoque hacia los riesgos globales de un
negocio, cuyo fin es establecer, implementar, operar. Hacer seguimiento, revisar,
mantener y mejorar la seguridad de la informacin.
Sistema de gestin de documento electrnico de archivo SGDEA: Sistema

de gestin compuesto por elementos funcionales (sistema(s) de informacin o
software especializado) y no funcionales (polticas, procesos y procedimientos)
para la administracin de documentos electrnicos de archivo, garantizando su
autenticidad, fiabilidad, integridad y disponibilidad.
TIC: Las tecnologas de la informacin y la comunicacin
Tratamiento del riesgo: Proceso de seleccin e implementacin de medidas para

modificar el riesgo.
Troyano:Software malicioso que se presenta al usuario como un programa

aparentemente legtimo e inofensivo pero al ejecutarlo ocasiona daos.

Versin: 0.1
2014/03/10
Usuario: Toda persona, funcionario, que utilice los sistemas de informacin de la

empresa debidamente identificado y autorizado a emplear las diferentes
aplicaciones habilitadas de acuerdo con sus funciones.
Usuarios Terceros: Todas aquellas personas naturales o jurdicas, que no

sonfuncionarios del ARCHIVO GENERAL DE LA NACIN, pero que por las
actividades que realizan en la Entidad,deban tener acceso a los recursos
informticos.
Virus:Programas, habitualmente ocultos dentro de otro programa, correo

electrnico, pagina web, fichero o volumen. Se ejecutan automticamente,
haciendo copias de s dentro de otros programas a los que infectan.
Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser

aprovechada por una o ms amenazas.
Valoracin del riesgo: Proceso global de anlisis y evaluacin del riesgo.

Manual Politicas Seguridad Informacion

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Politicas Seguridad Informacion

Cargado por

Copyright:

Formatos disponibles

MANUAL POLTICAS DE SEGURIDAD DE LA

MANUAL DE POLTICAS DE SEGURIDAD DE LA

Fecha Elaboracin: Marzo 10 de 2014

Palabras claves: Polticas, Seguridad, Buenas prcticas, Controles, Manual

Formato: PDF Lenguaje: Espaol

Autor: Yohanna Navas Castellanos

Jhon Gonzlez Flrez

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

FECHA VERSIN PROYECT REVIS APROB DESCRIPCIN

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

La gestin de seguridad de la informacin implica la organizacin y coordinacin

La Poltica de Seguridad de la Informacin es la declaracin general que

En el presente documento se encuentra estructurado con una poltica general de

Dar a conocer a todos los funcionarios y terceros de la Entidad, las polticas y

Las polticas definidas en el presente manual aplican a todos los funcionariosy

Todas las personas cubiertas por el alcance y aplicabilidad se espera que se

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

5. SANCIONES POR INCUMPLIMIENTO

El incumplimiento del presente manual podr presumirse como causa de

Las polticas de seguridad de la informacin del presente manual sern revisadas

CONSTITUCIN POLTICA DE COLOMBIA.ARTCULO 74

LEY 527 DE 1999

LEY 594 DE 2000

LEY 1266 DE 2008

LEY 1581 DE 2012

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

LEY 962 DE 2005

LEY 1341 DE 2009

LEY 1437 DE 2011

LEY 1273 DE 2009

LEY 1712 DE 2014

NTC ISO/IEC 27001 DE 2005

DECRETO 2609 DE 2012

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

Subdireccin de Tecnologas de informacin archivstica y documento

a) Definir y establecer las polticas de seguridad de la informacin.

a) Elaborar y actualizar las polticas de seguridad de la informacin.

Todo funcionario de la entidad es responsable por el cumplimiento de las polticas

Usuarios de los sistemas

Administradores de los sistemas

Los administradores de los diferentes sistemas deben en forma activa implementar

Grupo de Gestin Humana

Oficina de Control Interno

Esta Oficina es la responsable de velar por el cumplimiento de las polticas

Oficina Asesora de Planeacin

Esta oficina es la responsable de la administracin y control de los documentos y

Oficina Asesora Jurdica

9. POLTICAS DE SEGURIDAD DE LA INFORMACIN

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

9.1 Poltica General

La Direccin General del ARCHIVO GENERAL DE LA NACIN, declara en la

La identificacin, clasificacin y valoracin de los activos de informacin de la

El aseguramiento de las instalaciones fsicas de la Entidad y las reas de

El aseguramiento de la autenticidad, integridad, inalterabilidad, fiabilidad,

En un plazo de seis (6) meses contados a partir de su aprobacin, se har la

Este es un documento controlado; una vez se descargue o se imprima se considera NO CONTROLADO.

El aseguramiento, a travs de una adecuada gestin, de los eventos de

El suministro de recurso humano con la educacin, formacin y

El Establecimiento de roles y responsabilidades de los servidores pblicos y/o

El cumplimiento de las obligaciones legales, regulatorias y contractuales

Dicha poltica es de obligatorio cumplimiento por parte de Funcionarios, terceros y

Esta poltica ser revisada anualmente o cuando se identifiquen cambios en la

9.2 Poltica de Gestin de activos