Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Octubre 2014
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 2 de 73
Contenido
1. INTRODUCCION.................................................................................................................................... 7
2. OBJETIVO.............................................................................................................................................. 7
3. ALCANCE .............................................................................................................................................. 7
4. DEFINICIONES....................................................................................................................................... 8
8.1.1. Normas que rigen para la estructura organizacional de seguridad de la informacin ......................13
9.2.1. Normas aplicables durante la vinculacin de funcionarios y personal provisto por terceros...........19
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 3 de 73
9.3.1. Normas para la desvinculacin, licencias, vacaciones o cambios de labores de los funcionarios y
personal provisto por terceros ..........................................................................................................20
14.4.1. Normas de registro de eventos y monitoreo de los recursos tecnolgicos y los sistemas de
informacin ........................................................................................................................................48
16.2. POLTICA DE DESARROLLO SEGURO, REALIZACION DE PRUEBAS Y SOPORTE DE LOS SISTEMAS .....60
16.2.1. Normas de desarrollo seguro, realizacin de pruebas y soporte de los sistemas .............................61
17.1.1. Normas de inclusin de condiciones de seguridad en la relacin con terceras partes .....................64
1. INTRODUCCION
Las polticas incluidas en este manual se constituyen como parte fundamental del sistema
de gestin de seguridad de la informacin del ICETEX y se convierten en la base para la
implantacin de los controles, procedimientos y estndares definidos.
2. OBJETIVO
El objetivo de este documento es establecer las polticas en seguridad de la informacin del
ICETEX, con el fin de regular la gestin de la seguridad de la informacin al interior de la
entidad.
3. ALCANCE
Las polticas de seguridad de la informacin cubren todos los aspectos administrativos y de
control que deben ser cumplidos por los directivos, funcionarios y terceros que laboren o
tengan relacin con el ICETEX, para conseguir un adecuado nivel de proteccin de las
caractersticas de seguridad y calidad de la informacin relacionada.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 8 de 73
4. DEFINICIONES
Activo de informacin: cualquier componente (humano, tecnolgico, software,
documental o de infraestructura) que soporta uno o ms procesos de negocios del instituto
y, en consecuencia, debe ser protegido.
Hacking tico: es el conjunto de actividades para ingresar a las redes de datos y voz de la
institucin con el objeto de lograr un alto grado de penetracin en los sistemas, de forma
controlada, sin ninguna intensin maliciosa, ni delictiva y sin generar daos en los sistemas
o redes, con el propsito de mostrar el nivel efectivo de riesgo a lo cual est expuesta la
informacin, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad.
Medio removible: es cualquier componente extrable de hardware que sea usado para el
almacenamiento de informacin; los medios removibles incluyen cintas, discos duros
removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.
Perfiles de usuario: son grupos que concentran varios usuarios con similares necesidades
de informacin y autorizaciones idnticas sobre los recursos tecnolgicos o los sistemas de
informacin a los cuales se les concede acceso de acuerdo con las funciones realizadas.
Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro
de l.
Registros de Auditora: son archivos donde son registrados los eventos que se han
identificado en los sistemas de informacin, recursos tecnolgicos y redes de datos del
instituto. Dichos eventos pueden ser, entre otros, identificacin de usuarios, eventos y
acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos,
cambios a la configuracin, uso de utilidades y fallas de los sistemas.
6. COMPROMISO DE LA DIRECCION
La Junta Directiva de ICETEX aprueba esta Poltica de Seguridad de la Informacin como
muestra de su compromiso y apoyo en el diseo e implementacin de polticas eficientes
que garanticen la seguridad de la informacin de la entidad.
La Alta Direccin del ICETEX debe definir y establecer los roles y responsabilidades
relacionados con la seguridad de la informacin en niveles directivo y operativo.
La Alta Direccin y la Secretaria General del ICETEX, deben asignar los recursos, la
infraestructura fsica y el personal necesario para la gestin de la seguridad de la
informacin del instituto.
La Oficina de Control Interno debe planear y ejecutar las auditoras internas al Sistema
de Gestin de Seguridad de la Informacin del ICETEX a fin de determinar si las
polticas, procesos, procedimientos y controles establecidos estn conformes con los
requerimientos institucionales, requerimientos de seguridad y regulaciones aplicables.
La Oficina de Control Interno debe ejecutar revisiones totales o parciales de los procesos
o reas que hacen parte del alcance del Sistema de Gestin de Seguridad de la
Informacin, con el fin de verificar la eficacia de las acciones correctivas cuando sean
identificadas no conformidades.
La Oficina de Control Interno debe informar a las reas responsables los hallazgos de
las auditoras.
Los funcionarios y personal provisto por terceras partes que realicen labores en o para el
ICETEX, tienen la responsabilidad de cumplir con las polticas, normas, procedimientos y
estndares referentes a la seguridad de la informacin.
El ICETEX proveer las condiciones para el manejo de los dispositivos mviles (telfonos,
inteligentes y tabletas, entre otros) institucionales Y personales que hagan uso de servicios
del instituto. As mismo, velar porque los funcionarios hagan un uso responsable de los
servicios y equipos proporcionados por la entidad.
La Direccin de Tecnologa debe contar con una solucin de copias de seguridad para la
informacin contenida en los dispositivos mviles institucionales de ICETEX; dichas
copias deben acogerse a la Poltica de Copias de Respaldo de la Informacin.
La Direccin de Tecnologa debe activar los cdigos de seguridad de la tarjeta SIM para
los dispositivos mviles institucionales antes de asignarlos a los usuarios y almacenar
estos cdigos en un lugar seguro.
Los usuarios deben evitar usar los dispositivos mviles institucionales en lugares que no
les ofrezcan las garantas de seguridad fsica necesarias para evitar prdida o robo de
estos.
Los usuarios deben, cada vez que el sistema de sus dispositivos mviles institucionales
notifique de una actualizacin disponible, aceptar y aplicar la nueva versin.
Los usuarios deben evitar hacer uso de redes inalmbricas de uso pblico, as como
deben desactivar las redes inalmbricas como WIFI, Bluetooth, o infrarrojos en los
dispositivos mviles institucionales asignados.
Los usuarios deben evitar conectar los dispositivos mviles institucionales asignados por
puerto USB a cualquier computador pblico, de hoteles o cafs internet, entre otros.
La Oficina de Control Interno debe, dentro de su autonoma, realizar auditoras sobre los
controles implantados para las conexiones remotas a la plataforma tecnolgica del
ICETEX.
Los usuarios que realizan conexin remota deben contar con las aprobaciones
requeridas para establecer dicha conexin a los dispositivos de la plataforma tecnolgica
del ICETEX y deben acatar las condiciones de uso establecidas para dichas conexiones.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 18 de 73
El Grupo de Talento Humano debe realizar las verificaciones necesarias para confirmar
la veracidad de la informacin suministrada por el personal candidato a ocupar un cargo
en ICETEX, antes de su vinculacin definitiva.
El Grupo de Talento Humano debe certificar que los funcionarios del instituto firmen un
Acuerdo y/o Clusula de Confidencialidad y un documento de Aceptacin de Polticas de
Seguridad de la Informacin; estos documentos deben ser anexados a los dems
documentos relacionados con la ocupacin del cargo.
El personal provisto por terceras partes que realicen labores en o para el ICETEX, deben
firmar un Acuerdo y/o Clusula de Confidencialidad y un documento de Aceptacin de
Polticas de Seguridad de la Informacin, antes de que se les otorgue acceso a las
instalaciones y a la plataforma tecnolgica.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 19 de 73
Todos los funcionarios del ICETEX deben ser cuidadosos de no divulgar informacin
confidencial en lugares pblicos, en conversaciones o situaciones que pongan en riesgos la
seguridad y el buen nombre de la entidad.
El Grupo de Talento Humano debe convocar a los funcionarios a las charlas y eventos
programados como parte del programa de concienciacin en seguridad de la
informacin, proveer los recursos para la ejecucin de las capacitaciones y controlar la
asistencia a dichas charlas y eventos, aplicando las sanciones pertinentes por la falta de
asistencia no justificada.
Los funcionarios y personal provisto por terceras partes que por sus funciones hagan
uso de la informacin del ICETEX, deben dar cumplimiento a las polticas, normas y
procedimientos de seguridad de la informacin, as como asistir a las capacitaciones que
sean referentes a la seguridad de la informacin.
La informacin, archivos fsicos, los sistemas, los servicios y los equipos (ej. estaciones de
trabajo, equipos porttiles, impresoras, redes, Internet, correo electrnico, herramientas de
acceso remoto, aplicaciones, telfonos y fases, entre otros) propiedad del ICETEX, son
activos de la institucin y se proporcionan a los funcionarios y terceros autorizados, para
cumplir con los propsitos del negocio.
Toda la informacin sensible del ICETEX, as como los activos donde sta se almacena y
se procesa deben ser asignados a un responsable, inventariados y posteriormente
clasificados, de acuerdo con los requerimientos y los criterios que dicte la Oficina de
Riesgos. Los propietarios de los activos de informacin deben llevar a cabo el
levantamiento y la actualizacin permanente del inventario de activos de informacin al
interior de sus procesos o reas.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 22 de 73
Las Vicepresidencias, Direcciones y Oficinas Asesoras del ICETEX, deben actuar como
propietarias de la informacin fsica y electrnica de la entidad, ejerciendo as la facultad
de aprobar o revocar el acceso a su informacin con los perfiles adecuados para tal fin.
Los propietarios de los activos de informacin deben ser conscientes que los recursos
de procesamiento de informacin del instituto, se encuentran sujetos a auditoras por
parte de la Oficina de Control Interno y a revisiones de cumplimiento por parte de la
Oficina de Riesgos.
La Oficina de Riesgos debe definir las condiciones de uso y proteccin de los activos de
informacin, tanto los tecnolgicos como aquellos que no lo son.
Los Vicepresidentes, Directores y Jefes de Oficina, o quien ellos designen, deben recibir
los recursos tecnolgicos asignados a sus colaboradores cuando estos se retiran del
instituto o son trasladados de rea.
Los recursos tecnolgicos del ICETEX, deben ser utilizados de forma tica y en
cumplimiento de las leyes y reglamentos vigentes, con el fin de evitar daos o prdidas
sobre la operacin o la imagen del instituto.
Todas las estaciones de trabajo, dispositivos mviles y dems recursos tecnolgicos son
asignados a un responsable, por lo cual es su compromiso hacer uso adecuado y
eficiente de dichos recursos.
Una vez clasificada la informacin, el ICETEX proporcionar los recursos necesarios para
la aplicacin de controles en busca de preservar la confidencialidad, integridad y
disponibilidad de la misma, con el fin de promover el uso adecuado por parte de los
funcionarios del instituto y personal provisto por terceras partes que se encuentre
autorizado y requiera de ella para la ejecucin de sus actividades.
La Direccin de Tecnologa junto con la Oficina de Riesgo deben definir los mtodos de
cifrado de la informacin de la Entidad de acuerdo al nivel de clasificacin de los activo.
La Coordinacin de Archivo debe utilizar los medios de los cuales est dotada para
destruir o desechar correctamente la documentacin fsica, con el fin de evitar la
reconstruccin de la misma, acogindose a procedimiento establecido para tal fin.
Los usuarios deben acatar los lineamientos gua de clasificacin de la Informacin para
el acceso, divulgacin, almacenamiento, copia, transmisin, etiquetado y eliminacin de
la informacin contenida en los recursos tecnolgicos, as como de la informacin fsica
instituto.
La informacin fsica y digital del ICETEX debe tener un periodo de almacenamiento que
puede ser dictaminado por requerimientos legales o misionales; este perodo debe ser
indicado en las tablas de retencin documental y cuando se cumpla el periodo de
expiracin, toda la informacin debe ser eliminada adecuadamente.
Los usuarios deben tener en cuenta estas consideraciones cuando impriman, escaneen,
saquen copias y enves faxes: verificar las reas adyacentes a impresoras, escneres,
fotocopiadoras y mquinas de fax para asegurarse que no quedaron documentos
relacionados o adicionales; asimismo, recoger de las impresoras, escneres,
fotocopiadoras y mquinas de fax, inmediatamente los documentos confidenciales para
evitar su divulgacin no autorizada.
Tanto los funcionarios como el personal provisto por terceras partes deben asegurarse
que en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren
libres de documentos y medios de almacenamiento, utilizados para el desempeo de
sus labores; estos deben contar con las protecciones de seguridad necesarias de
acuerdo con su nivel de clasificacin.
estos.
Los Administradores de los tokens deben crear los usuarios y perfiles en cada portal o
sitio de uso, segn las actividades a realizar por cada funcionario creado.
Los Administradores de los tokens deben entregar a los funcionarios designados los
usuarios y seriales de los dispositivos que le son asignados para su uso, formalizando la
entrega por medio de acta y tula (o sobre) de seguridad para custodia de los mismos.
Los Administradores de los tokens deben dar avisos a las entidades emisoras en caso
de robo o prdida de estos con el fin de efectuar el bloqueo respectivo y la reposicin de
los mismos.
Los usuarios que requieren utilizar los tokens de seguridad deben contar con una cuenta
de usuario en los portales o sitios de uso de los mismos; dichos tokens harn parte del
inventario fsico de cada usuario a quien se haya asignado.
Cada usuario de los portales o sitios de uso de los tokens debe tener su propio
dispositivo, el cual es exclusivo, personal e intransferible, al igual que la cuenta de
usuario y la contrasea de acceso.
Los usuarios deben notificar al Administrador de los tokens en caso de robo, prdida,
mal funcionamiento o caducidad para que este a su vez, se comunique con las
entidades emisoras de dichos tokens.
Los usuarios no deben permitir que terceras personas observen la clave que genera el
token, as como no deben aceptar ayuda de terceros para la utilizacin del token.
Los usuarios deben responder por las transacciones electrnicas que se efecten con la
cuenta de usuario, clave y el token asignado, en el desarrollo de las actividades como
funcionarios del ICETEX. En caso de que suceda algn evento irregular con los tokens
los usuarios deben asumir la responsabilidad administrativa, disciplinaria y econmica.
Los usuarios deben mantener los tokens asignados en un lugar seco y no introducirlos
en agua u otros lquidos.
Los usuarios deben evitar exponer los tokens a campos magnticos y a temperaturas
extremas.
Los usuarios deben evitar que los tokens sean golpeados o sometidos a esfuerzo fsico.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 29 de 73
Los usuarios no deben abrir los tokens, retirar la batera o placa de circuitos, ya que
ocasionar su mal funcionamiento.
Los usuarios no deben usar los tokens fuera de las instalaciones del ICETEX para evitar
prdida o robo de estos.
Los funcionarios y el personal provisto por terceras partes deben acoger las condiciones
de uso de los perifricos y medios de almacenamiento establecidos por la Direccin de
Tecnologa.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben
modificar la configuracin de perifricos y medios de almacenamiento establecidos por la
Direccin de Tecnologa.
Los funcionarios y personal provisto por terceras partes son responsables por la custodio
de los medios de almacenamiento institucionales asignados.
Los funcionarios y personal provisto por terceras partes no deben utilizar medios de
almacenamiento personales en la plataforma tecnolgica del ICETEX.
La Direccin de Tecnologa debe asegurar que las redes inalmbricas del instituto
cuenten con mtodos de autenticacin que evite accesos no autorizados.
La Oficina de Riesgos debe verificar peridicamente los controles de acceso para los
usuarios provistos por terceras partes, con el fin de revisar que dichos usuarios tengan
acceso permitido nicamente a aquellos recursos de red y servicios de la plataforma
tecnolgica para los que fueron autorizados.
Los funcionarios y personal provisto por terceras partes, antes de contar con acceso
lgico por primera vez a la red de datos del ICETEX, deben contar con el formato de
creacin de cuentas de usuario debidamente autorizado y el Acuerdo de
Confidencialidad firmado previamente.
Los equipos de cmputo de usuario final que se conecten o deseen conectarse a las
redes de datos del instituto deben cumplir con todos los requisitos o controles para
autenticarse en ellas y nicamente podrn realizar las tareas para las que fueron
autorizados.
La Direccin de Tecnologa debe asegurarse que los usuarios o perfiles de usuario que
tienen asignados por defecto los diferentes recursos de la plataforma tecnolgica sean
inhabilitados o eliminados.
Los funcionarios no deben compartir sus cuentas de usuario y contraseas con otros
funcionarios o con personal provisto por terceras partes.
Los funcionarios y personal provisto por terceras partes que posean acceso a la
plataforma tecnolgica, los servicios de red y los sistemas de informacin del instituto
deben acogerse a lineamientos para la configuracin de contraseas implantados por el
instituto.
La Direccin de Tecnologa debe asegurarse que los usuarios o perfiles de usuario que
traen por defecto los sistemas operativos, el firmware y las bases de datos sean
suspendidos o renombrados en sus autorizaciones y que las contraseas que traen por
defecto dichos usuarios o perfiles sean modificadas.
La Direccin de Tecnologa debe establecer los controles para que los usuarios finales
de los recursos tecnolgicos, los servicios de red y los sistemas de informacin no
tengan instalados en sus equipos de cmputo utilitarios que permitan accesos
privilegiados a dichos recursos, servicios o sistemas.
La Oficina de Riesgos debe validar que las polticas de contraseas establecidas sobre
la plataforma tecnolgica, los servicios de red y los sistemas de informacin son
aplicables a los usuarios administradores; as mismo, debe verificar que el cambio de
contrasea de los usuarios administradores acoja el procedimiento definido para tal fin.
La Oficina de Riesgos debe revisar peridicamente la actividad de los usuarios con altos
privilegios en los registros de auditoria de la plataforma tecnolgica y los sistemas de
informacin.
Los propietarios de los activos de informacin deben autorizar los accesos a sus
sistemas de informacin o aplicativos, de acuerdo con los perfiles establecidos y las
necesidades de uso, acogiendo los procedimientos establecidos.
La Direccin de Tecnologa debe asegurar, mediante los controles necesarios, que los
usuarios utilicen diferentes perfiles para los ambientes de desarrollo, pruebas y
produccin, y as mismo que los mens muestren los mensajes de identificacin
apropiados para reducir los riesgos de error.
Los desarrolladores deben establecer los controles de autenticacin de tal manera que
cuando fallen, lo hagan de una forma segura, evitando indicar especficamente cual fue
la falla durante el proceso de autenticacin y, en su lugar, generando mensajes
generales de falla.
Los desarrolladores deben certificar que se inhabilitan las cuentas luego de un nmero
establecido de intentos fallidos de ingreso a los sistemas desarrollados.
Los desarrolladores deben certificar que el ltimo acceso (fallido o exitoso) sea
reportado al usuario en su siguiente acceso exitoso a los sistemas de informacin.
Los desarrolladores deben, a nivel de los aplicativos, restringir acceso a archivos u otros
recursos, a direcciones URL protegidas, a funciones protegidas, a servicios, a
informacin de las aplicaciones, a atributos y polticas utilizadas por los controles de
acceso y a la informacin relevante de la configuracin, solamente a usuarios
autorizados.
Los desarrolladores deben asegurarse que los controles criptogrficos de los sistemas
construidos cumplen con los estndares establecidos por la Direccin de Tecnologa.
Las solicitudes de acceso al centro de cmputo o a los centros de cableado deben ser
aprobadas por funcionarios de la Direccin de Tecnologa autorizados; no obstante, los
visitantes siempre debern estar acompaados de un funcionario de dicha direccin
durante su visita al centro de cmputo o los centros de cableado.
Los Vicepresidentes, Directores y Jefes de Oficina deben velar porque las contraseas
de sistemas de alarma, cajas fuertes, llaves y otros mecanismos de seguridad de acceso
a sus reas solo sean utilizados por los funcionarios autorizados y, salvo situaciones de
emergencia u otro tipo de eventos que por su naturaleza lo requieran, estos no sean
transferidos a otros funcionarios del instituto.
El Grupo de Recursos Fsicos debe proporcionar los recursos necesarios para ayudar a
proteger, regular y velar por el perfecto estado de los controles fsicos implantados en
las instalaciones del ICETEX.
El Grupo de Recursos Fsicos debe almacenar y custodiar los registros del sistema de
control de acceso a las instalaciones del ICETEX.
El Grupo de Recursos Fsicos debe controlar el ingreso de los visitantes a los centros de
cableado que estn bajo su custodia.
El Grupo de Recursos Fsicos debe cerciorarse de que los centros de cableado que
estn bajo su custodia, se encuentren separados de reas que tengan lquidos
inflamables o que corran riesgo de inundaciones e incendios.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 41 de 73
Los ingresos y egresos de personal a las instalaciones del ICETEX deben ser
registrados; por consiguiente, los funcionarios y personal provisto por terceras partes
deben cumplir completamente con los controles fsicos implantados.
Los funcionarios deben portar el carn que los identifica como tales en un lugar visible
mientras se encuentren en las instalaciones del instituto; en caso de prdida del carn o
tarjeta de acceso a las instalaciones, deben reportarlo a la mayor brevedad posible.
Aquellos funcionarios o personal provisto por terceras partes para los que aplique, en
razn del servicio prestado, deben utilizar prendas distintivas que faciliten su
identificacin.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben intentar
ingresar a reas a las cuales no tengan autorizacin.
La Direccin de Tecnologa debe establecer las condiciones que deben cumplir los
equipos de cmputo de personal provisto por terceros, que requieran conectarse a la red
de datos del instituto y verificar el cumplimiento de dichas condiciones antes de
conceder a estos equipos acceso a los servicios de red.
La Oficina de Control Interno tiene la responsabilidad de incluir dentro del plan anual de
auditoras la verificacin aleatoria a los equipos de cmputo de todas las dependencias y
puntos de atencin de la entidad.
El Grupo de Recursos Fsicos debe revisar los accesos fsicos en horas no hbiles a las
reas donde se procesa informacin.
El Grupo de Recursos Fsicos debe restringir el acceso fsico a los equipos de cmputo
de reas donde se procesa informacin sensible.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 43 de 73
El Grupo de Recursos Fsicos debe velar porque los equipos que se encuentran sujetos
a traslados fsicos fuera del instituto, posean plizas de seguro.
Los funcionarios del instituto y el personal provisto por terceras partes deben bloquear
sus estaciones de trabajo en el momento de abandonar su puesto de trabajo.
Los funcionarios del ICETEX y el personal provisto por terceras partes no deben dejar
encendidas las estaciones de trabajo u otros recursos tecnolgicos en horas no
laborables.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 44 de 73
Los equipos de cmputo, bajo ninguna circunstancia, deben ser dejados desatendidos
en lugares pblicos o a la vista, en el caso de que estn siendo transportados.
Los equipos de cmputo deben ser transportados con las medidas de seguridad
apropiadas, que garanticen su integridad fsica.
Los equipos porttiles siempre deben ser llevados como equipaje de mano y se debe
tener especial cuidado de no exponerlos a fuertes campos electromagnticos.
Los funcionarios del instituto y el personal provisto por terceras partes deben asegurar
que sus escritorios se encuentran libres de los documentos que son utilizados durante el
desarrollo de sus funciones al terminar la jornada laboral y, que estos sean almacenados
bajo las protecciones de seguridad necesarias.
Los usuarios deben asegurarse que los archivos adjuntos de los correos electrnicos
descargados de internet o copiados de cualquier medio de almacenamiento, provienen
de fuentes conocidas y seguras para evitar el contagio de virus informticos y/o
instalacin de software malicioso en los recursos tecnolgicos.
Los usuarios que sospechen o detecten alguna infeccin por software malicioso deben
notificar a la Mesa de Ayuda, para que a travs de ella, la Direccin de Tecnologa tome
las medidas de control correspondientes.
As mismo, el instituto velar porque los medios magnticos que contienen la informacin
crtica sean almacenados en una ubicacin diferente a las instalaciones donde se
encuentra dispuesta. El sitio externo donde se resguarden las copias de respaldo debe
contar con los controles de seguridad fsica y medioambiental apropiados.
La Oficina de Control Interno debe determinar los periodos de retencin de los registros
(logs) de auditoria de los recursos tecnolgicos y los sistemas de informacin del
instituto.
Los desarrolladores deben registrar en los logs de auditora eventos como: fallas de
validacin, intentos de autenticacin fallidos y exitosos, fallas en los controles de acceso,
intento de evasin de controles, excepciones de los sistemas, funciones administrativas
y cambios de configuracin de seguridad, entre otros, de acuerdo con las directrices
establecidas por la Direccin de Tecnologa y la Oficina de Riesgos.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 50 de 73
La Direccin de Tecnologa debe validar los riesgos que genera la migracin hacia
nuevas versiones del software operativo. Se debe asegurar el correcto funcionamiento
de sistemas de informacin y herramientas de software que se ejecutan sobre la
plataforma tecnolgica cuando el software operativo es actualizado.
dependen de ellas; as mismo, velar por que se cuente con los mecanismos de seguridad
que protejan la integridad y la confidencialidad de la informacin que se transporta a travs
de dichas redes de datos.
De igual manera, propender por el aseguramiento de las redes de datos, el control del
trfico en dichas redes y la proteccin de la informacin reservada y restringida del instituto.
La Direccin de Tecnologa debe instalar proteccin entre las redes internas del ICETEX
y cualquier red externa, que este fuera de la capacidad de control y administracin del
instituto.
La Direccin de Tecnologa debe disear y divulgar las directrices tcnicas para el uso
de los servicios de correo electrnico.
Los mensajes y la informacin contenida en los buzones de correo son propiedad del
ICETEX y cada usuario, como responsable de su buzn, debe mantener solamente los
mensajes relacionados con el desarrollo de sus funciones.
La Oficina de Riesgos debe generar campaas para concientizar tanto a los funcionarios
internos, como al personal provisto por terceras partes, respecto a las precauciones que
deben tener en cuenta cuando utilicen el servicio de Internet.
Los usuarios del servicio de Internet del ICETEX deben hacer uso del mismo en relacin
con las actividades laborales que as lo requieran.
Los usuarios del servicio de Internet deben evitar la descarga de software desde
internet, as como su instalacin en las estaciones de trabajo o dispositivos mviles
asignados para el desempeo de sus labores.
Los usuarios del servicio de internet tienen prohibido el acceso y el uso de servicios
interactivos o mensajera instantnea como Facebook, Kazaa, MSN, Yahoo, Sype,
Net2phome y otros similares, que tengan como objetivo crear comunidades para
intercambiar informacin, o bien para fines diferentes a las actividades propias del
negocio del ICETEX.
productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o
que contengan archivos ejecutables y/o herramientas que atenten contra la integridad,
disponibilidad y/o confidencialidad de la infraestructura tecnolgica (hacking), entre
otros. La descarga, uso, intercambio y/o instalacin de informacin audiovisual (videos e
imgenes) utilizando sitios pblicos en Internet debe ser autorizada por el jefe respectivo
y la Direccin de Tecnologa, o a quienes ellos deleguen de forma explcita para esta
funcin, asociando los procedimientos y controles necesarios para el monitoreo y
aseguramiento del buen uso del recurso.
La Oficina de Riesgos debe velar porque el intercambio de informacin del ICETEX con
entidades externas se realice en cumplimiento de las Polticas de seguridad para el
intercambio de informacin aqu descritas, los Acuerdos de Intercambio de Informacin y
el procedimiento definido para dicho intercambio de informacin.
Los propietarios de los activos de informacin deben velar porque la informacin del
ICETEX o de sus beneficiarios sea protegida de divulgacin no autorizada por parte de
los terceros a quienes se entrega esta informacin, verificando el cumplimiento de las
clausulas relacionadas en los contratos, Acuerdos de confidencialidad o Acuerdos de
intercambio establecidos.
Los propietarios de los activos de informacin deben asegurar que los datos requeridos
de los beneficiarios slo puedan ser entregada a terceros, previo consentimiento de los
titulares de los mismos, salvo en los casos que lo disponga una ley o sea una solicitud
de los entes de control.
Los propietarios de los activos de informacin, o a quien ellos deleguen, deben verificar
que el intercambio de informacin con terceros deje registro del tipo de informacin
intercambiada, el emisor y receptor de la misma y la fecha de entrega/recepcin.
Los terceros con quienes se intercambia informacin del ICETEX deben darle manejo
adecuado a la informacin recibida, en cumplimiento de las Polticas de seguridad del
instituto, de las condiciones contractuales establecidas y del Procedimiento de
intercambio de informacin.
Los terceros con quienes se intercambia informacin del instituto deben destruir de
manera segura la informacin suministrada, una vez esta cumpla con la funcin para la
cual fue enviada y demostrar la realizacin de las actividades de destruccin.
Los usuarios no deben utilizar el correo electrnico como medio para enviar o recibir
informacin sensible del instituto o de sus beneficiarios.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 59 de 73
Los desarrolladores deben utilizar usar los protocolos sugeridos por la Direccin de
Tecnologa y la Oficina de Riesgos en los aplicativos desarrollados.
Los propietarios de los sistemas de informacin deben aprobar las migraciones entre los
ambientes de desarrollo, pruebas y produccin de sistemas de informacin nuevos y/o
de cambios o nuevas funcionalidades.
La Direccin de Tecnologa debe implantar los controles necesarios para asegurar que
las migraciones entre los ambientes de desarrollo, pruebas y produccin han sido
aprobadas, de acuerdo con el procedimiento de control de cambios.
sistema de informacin estn actualizados con todos los parches generados para las
versiones en uso y que estn ejecutando la ltima versin aprobada del sistema.
Los desarrolladores deben construir los aplicativos de tal manera que efecten las
validaciones de datos de entrada y la generacin de los datos de salida de manera
confiable, utilizando rutinas de validacin centralizadas y estandarizadas.
Los desarrolladores deben asegurar que los sistemas de informacin construidos validen
la informacin suministrada por los usuarios antes de procesarla, teniendo en cuenta
aspectos como: tipos de datos, rangos vlidos, longitud, listas de caracteres aceptados,
caracteres considerados peligrosos y caracteres de alteracin de rutas, entre otros.
Los desarrolladores deben remover todas las funcionalidades y archivos que no sean
necesarios para los aplicativos, previo a la puesta en produccin.
Los desarrolladores deben evitar incluir las cadenas de conexin a las bases de datos
en el cdigo de los aplicativos. Dichas cadenas de conexin deben estar en archivos de
configuracin independientes, los cuales se recomienda que estn cifrados.
Los desarrolladores deben certificar el cierre de la conexin a las bases de datos desde
los aplicativos tan pronto como estas no sean requeridas.
Los desarrolladores deben proteger el cdigo fuente de los aplicativos construidos, de tal
forma de que no pueda ser descargado ni modificado por los usuarios.
Los desarrolladores deben asegurar que no se permite que los aplicativos desarrollados
ejecuten comandos directamente en el sistema operativo.
La Oficina de Riesgos debe verificar que las pruebas de seguridad sobre los sistemas de
informacin se realicen de acuerdo con las metodologas definidas, contando con
pruebas debidamente documentadas.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 64 de 73
La Direccin de Tecnologa debe mitigar los riesgos relacionados con terceras partes
que tengan acceso a los sistemas de informacin y la plataforma tecnolgica del
ICETEX.
La Oficina de Riesgos debe evaluar y aprobar los accesos a la informacin del instituto
requeridos por terceras partes.
La Oficina de Riesgos debe identificar y monitorear los riesgos relacionados con terceras
partes o los servicios provistos por ellas, haciendo extensiva esta actividad a la cadena
de suministro de los servicios de tecnologa o comunicaciones provistos.
Los Supervisores de contratos con terceros deben divulgar las polticas, normas y
procedimientos de seguridad de la informacin del ICETEX a dichos terceros, as como
velar porque el acceso a la informacin y a los recursos de almacenamiento o
procesamiento de la misma, por parte de los terceros se realice de manera segura, de
acuerdo con las polticas, normas y procedimientos de seguridad de la informacin.
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 66 de 73
La Alta Direccin o a quien delegue, son los nicos autorizados para reportar incidentes de
seguridad ante las autoridades; as mismo, son los nicos canales de comunicacin
autorizados para hacer pronunciamientos oficiales ante entidades externas.
La Oficina de Riesgos debe evaluar todos los incidentes de seguridad de acuerdo a sus
circunstancias particulares y escalar al Comit de Seguridad de la Informacin aquellos
en los que se considere pertinente.
Es responsabilidad de los funcionarios del ICETEX y del personal provisto por terceras
partes reportar cualquier evento o incidente relacionado con la informacin y/o los
recursos tecnolgicos con la mayor prontitud posible.
El Comit SARO-SARLAFT, junto con la Oficina de Riesgos, deben liderar los temas
relacionados con la continuidad del negocio y la recuperacin ante desastres
La Oficina de Riesgos debe realizar los anlisis de impacto al negocio y los anlisis de
riesgos de continuidad para, posteriormente proponer posibles estrategias de
recuperacin en caso de activarse el plan de contingencia o continuidad, con las
consideraciones de seguridad de la informacin a que haya lugar.
El Comit SARO-SARLAFT, junto con la Oficina de Riesgos, producto del anlisis BIA
deben seleccionar las estrategias de recuperacin ms convenientes para el instituto.
Los usuarios deben cumplir con las leyes de derechos de autor y acuerdos de
licenciamiento de software. Es ilegal duplicar software o su documentacin sin la
autorizacin del propietario de los derechos de autor y, su reproduccin no autorizada es
una violacin de ley; no obstante, puede distribuirse un nmero de copias bajo una
licencia otorgada.
Se establecern los trminos, condiciones y finalidades para las cuales el ICETEX, como
responsable de los datos personales obtenidos a travs de sus distintos canales de
atencin, tratar la informacin de todas las personas que en algn momento, por razones
de la actividad que desarrolla el instituto, hayan suministrado datos personales. En caso de
delegar a un tercero el tratamiento de datos personales, el ICETEX exigir al tercero la
Cdigo:
Versin: 3 MANUAL DE POLTICAS DE SEGURIDAD DE LA
Fecha: INFORMACIN
Pgina: 72 de 73
Las reas que procesan datos personales de beneficiarios, proveedores u otras terceras
partes deben acoger las directrices tcnicas y procedimientos establecidos para enviar a
los beneficiarios, proveedores u otros terceros mensajes, a travs de correo electrnico
y/o mensajes de texto.
Los usuarios de los portales del ICETEX deben asumir la responsabilidad individual
sobre la clave de acceso a dichos portales que les es suministrada; as mismo, deben
cambiar de manera peridica esta clave de acceso.
Los usuarios de los portales del ICETEX deben contar con controles de seguridad en
sus equipos de cmputo o redes privadas para acceder a los portales del ICETEX.
Los usuarios de los portales del ICETEX deben aceptar el suministro de datos
personales que pueda hacer el instituto a los terceros delegados para el tratamiento de
datos personales, a entidades judiciales y dems entes del Estado que, en ejercicio de
sus funciones, solicitan esta informacin; de igual manera, deben aceptar que pueden
ser objeto de procesos de auditoria interna o externa.