Está en la página 1de 66

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Bogotá D.C., Febrero 2017


MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

TABLA DE CONTENIDO

1. INTRODUCCIÓN ----------------------------------------------------------------------------------------------------------- 5
2. OBJETIVO -------------------------------------------------------------------------------------------------------------------- 5
3. ALCANCE -------------------------------------------------------------------------------------------------------------------- 5
4. TÉRMINOS Y DEFINICIONES ------------------------------------------------------------------------------------------ 5
5. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES -------------------------------------------------------------- 13
5.1. Políticas de seguridad de la información ---------------------------------------------------------------------- 13
5.1.1. Política general de seguridad de la información. --------------------------------------------------- 13
5.1.2. Política de estructura organizacional de seguridad de la información ------------------------- 15
5.1.3. Política para uso de dispositivos móviles ------------------------------------------------------------- 16
5.1.4. Política de seguridad para los recursos humanos -------------------------------------------------- 17
5.1.5. Política de gestión de activos de Información ------------------------------------------------------- 19
5.1.6. Política de uso de los activos ---------------------------------------------------------------------------- 19
5.1.7. Política de uso de estaciones cliente. ----------------------------------------------------------------- 22
5.1.8. Política de uso de Internet. ------------------------------------------------------------------------------- 23
5.1.9. Política de clasificación de la información. ----------------------------------------------------------- 23
5.1.10. Política de manejo disposición de información, medios y equipos. ---------------------------- 24
5.1.11. Política de control de acceso. --------------------------------------------------------------------------- 25
5.1.12. Política de establecimiento, uso y protección de claves de acceso. --------------------------- 26
5.1.13. Política de uso de discos de red o carpetas virtuales. -------------------------------------------- 28
5.1.14. Política de uso de puntos de red de datos (red de área local – LAN). ------------------------ 29
5.1.15. Política de uso de impresoras y del servicio de Impresión. -------------------------------------- 29
5.1.16. Política de controles criptográficos --------------------------------------------------------------------- 30
5.1.17. Política de Seguridad Física ----------------------------------------------------------------------------- 31
5.1.18. Políticas de seguridad del centro de datos y centros de cableado. ---------------------------- 32
5.1.19. Políticas de seguridad de los Equipos----------------------------------------------------------------- 33
5.1.20. Política de escritorio y pantalla limpia. ---------------------------------------------------------------- 35
2
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.21. Política de Seguridad de las Operaciones de TIC. ------------------------------------------------- 36


5.1.22. Política de adquisición, desarrollo y mantenimiento de sistemas de información. --------- 36
5.1.23. Política de respaldo y restauración de información. ----------------------------------------------- 38
5.1.24. Política para realización de copias en estaciones de trabajo de usuario final. -------------- 40
5.1.25. Política de registro y seguimiento de eventos de sistemas de información y
comunicaciones. ---------------------------------------------------------------------------------------------------------- 41
5.1.26. Política de control de software operacional del DAPRE. ----------------------------------------- 41
5.1.27. Política de gestión de vulnerabilidades --------------------------------------------------------------- 42
5.1.28. Política de seguridad de las comunicaciones. ------------------------------------------------------- 42
5.1.29. Política para la Transferencia de Información. ------------------------------------------------------ 43
5.1.30. Política de uso de correo electrónico. ----------------------------------------------------------------- 43
5.1.31. Políticas específicas para Webmaster.---------------------------------------------------------------- 45
5.1.32. Políticas específicas para funcionarios y contratistas del Área de Tecnología y Sistemas
de la Información. --------------------------------------------------------------------------------------------------------- 46
5.1.33. Política de Tercerización u Outsourcing. ------------------------------------------------------------- 48
5.1.34. Política de Gestión de los Incidentes de la Seguridad de la Información --------------------- 49
5.1.35. Política para la Gestión de la Continuidad de Seguridad de la Información ----------------- 50
5.1.36. Política de cumplimiento de requisitos legales y contractuales --------------------------------- 50
5.1.37. Política de Revisiones de Seguridad de la Información ------------------------------------------- 52
5.1.38. Políticas específicas para usuarios del DAPRE. ---------------------------------------------------- 52
5.1.39. Política de retención y archivo de datos. ------------------------------------------------------------- 54
5.1.40. Política de uso de mensajería instantánea y redes sociales. ------------------------------------ 54
5.1.41. Política de tratamiento de datos personales --------------------------------------------------------- 55
5.2. Procedimientos que apoyan la Política de Seguridad------------------------------------------------------ 58
5.2.1. Procedimiento de control de documentos ------------------------------------------------------------ 59
5.2.2. Procedimiento de control de registros ----------------------------------------------------------------- 59
5.2.3. Procedimiento de auditoría interna --------------------------------------------------------------------- 59
5.2.4. Procedimiento de acción correctiva -------------------------------------------------------------------- 60
5.2.5. Procedimiento de acción preventiva ------------------------------------------------------------------- 60
5.2.6. Procedimiento de revisión del Manual de Política de Seguridad ------------------------------- 60
5.3. Gestión de los Incidentes de la Seguridad de la Información -------------------------------------------- 61
5.4. Proceso Disciplinario ----------------------------------------------------------------------------------------------- 61

3
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.5. Gestión de la Continuidad del Negocio ------------------------------------------------------------------------ 63


5.6. Cumplimiento --------------------------------------------------------------------------------------------------------- 64
5.7. Controles -------------------------------------------------------------------------------------------------------------- 64
5.8. Declaración de aplicabilidad -------------------------------------------------------------------------------------- 64
6. MARCO LEGAL ----------------------------------------------------------------------------------------------------------- 64
7. REQUISITOS TÉCNICOS ---------------------------------------------------------------------------------------------- 65
8. DOCUMENTOS ASOCIADOS ---------------------------------------------------------------------------------------- 66
9. RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------------------------- 66

4
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

1. INTRODUCCIÓN

El Departamento Administrativo de la Presidencia (DAPRE) determina la información como un activo de alta


importancia para la entidad que permite el desarrollo continuo de la misión y el cumplimiento del objetivo de la misma,
lo cual genera la necesidad de implementar reglas y medidas que permitan proteger la confidencialidad, integridad y
disponibilidad en todo el ciclo de vida de la información.

El presente manual se establece las políticas de seguridad de la información las cuales deben ser adoptadas por los
funcionarios, contratistas, personal en comisión administrativa, visitantes y terceros que presten sus servicios o
tengan algún tipo de relación del DAPRE; estas se encuentran enfocadas al cumplimiento de la normatividad legal
Colombiana vigente y a las buenas prácticas de seguridad de la información, basadas en la norma ISO 27001/2013
y al modelo de seguridad y privacidad de la información de la estrategia Gobierno en Línea (GEL) del Ministerio de
Tecnologías de la Información y las Comunicaciones de Colombia.

La seguridad de la información es para el DAPRE, una labor prioritaria que exhorta a todos a velar por el cumplimiento
de las políticas establecidas en el presente manual.

2. OBJETIVO

Establecer las políticas que regulan la seguridad de la información en el Departamento Administrativo de la


Presidencia de la República DAPRE y presentar en forma clara y coherente los elementos que conforman la política
de seguridad que deben conocer, acatar y cumplir todos los directivos, funcionarios, contratistas y terceros que
presten sus servicios o tengan algún tipo de relación con el DAPRE, bajo el liderazgo del Área de Tecnología y
Sistemas de la Información.

3. ALCANCE

Las Políticas de Seguridad de la Información son aplicables para todos los aspectos administrativos y de control que
deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algún
tipo de relación con el Departamento Administrativo de la Presidencia de la República - DAPRE, para el adecuado
cumplimiento de sus funciones y para conseguir un adecuado nivel de protección de las características de calidad y
seguridad de la información, aportando con su participación en la toma de medidas preventivas y correctivas, siendo
un punto clave para el logro del objetivo y la finalidad de dicho manual. Los usuarios tienen la obligación de dar
cumplimiento a las presentes políticas emitidas y aprobadas por el comité de seguridad de la información. (Dirección
General)

4. TÉRMINOS Y DEFINICIONES

Acción correctiva: Remediación de los requisitos o acciones que dieron origen al establecimiento de no una
conformidad, de tal forma que no se vuelva a presentar.

Acción preventiva: Disposición de operaciones que buscan de forma preliminar, que no se presente en su ejecución,
desarrollo e implementación una no conformidad.

Aceptación del Riesgo: Después de revisar las consecuencias que puede acarrear el riesgo, se toma la decisión
de afrontarlo.
5
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Activo: Según [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organización. También se entiende
por cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.
Es todo activo que contiene información, la cual posee un valor y es necesaria para realizar los procesos misionales
y operativos del DAPRE. Se pueden clasificar de la siguiente manera:

- Datos: Son todos aquellos elementos básicos de la información (en cualquier formato) que se generan,
recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word “listado de
personal.docx”

- Aplicaciones: Es todo el software que se utiliza para la gestión de la información. Ejemplo: SIGEPRE.

- Personal: Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y en general,
todos aquellos que tengan acceso de una manera u otra a los activos de información del DAPRE. Ejemplo:
Pedro Pérez.

- Servicios: Son tanto los servicios internos, aquellos que una parte de la organización suministra a otra,
como los externos, aquellos que la organización suministra a clientes y usuarios.
Ejemplo: Publicación de hojas de vida, solicitud de vacaciones.

- Tecnología: Son todos los equipos utilizados para gestionar la información y las comunicaciones
Ejemplo: equipo de cómputo, teléfonos, impresoras.

- Instalaciones: Son todos los lugares en los que se alojan los sistemas de información. Ejemplo: Oficina
Pagaduría.

- Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de información y que
no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire acondicionado, destructora de
papel.

Administración de riesgos: Gestión de riesgos, es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a través de una secuencia de actividades humanas que incluyen evaluación de riesgo, estrategias
de desarrollo para manejarlo y mitigación del riesgo utilizando recursos gerenciales. Las estrategias incluyen
transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las
consecuencias de un riesgo particular.

Administración de incidentes de seguridad: Procedimientos, estrategias y herramientas de control, enfocados a


una correcta evaluación de las amenazas existentes, en este caso hacia toda la infraestructura de TI, se basa en un
análisis continuo y mejorado del desempeño de todos los activos y recursos gerenciales que tiene la entidad.

Su objetivo principal es atender y orientar las acciones inmediatas para solucionar cualquier situación que cause una
interrupción de los diferentes servicios que presta la entidad, de manera rápida y eficaz. No se limita a la solución
de problemas específicos sino a buscar las causas que determinaron el incidente limitando el marco de acción de
futuras ocurrencias, su enfoque se base en tres pilares fundamentales:

• Detectar cualquier alteración en los servicios TI.


• Registrar y clasificar estas alteraciones.
• Asignar el personal encargado de restaurar el servicio.
6
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Alcance: Ámbito de la organización que queda sometido al Sistema de Gestión de Seguridad de la Información -
SGSI. Debe incluir la identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo
incluye una parte de la organización.

Alerta: Una notificación formal de que se ha producido un incidente relacionado con la seguridad de la información
que puede evolucionar hasta convertirse en desastre.

Amenaza: Según [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el cual puede causar el
daño a un sistema o la organización.

Análisis de riesgos: Según [ISO/lEC Guía 73:2002): Uso sistemático de la información para identificar fuentes y
estimar el riesgo.

Auditabilidad: Los activos de información deben tener controles que permitan su revisión. Permitir la reconstrucción,
revisión y análisis de la secuencia de eventos.

Auditor: Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha
realizado en un área particular.

Auditoria: Proceso planificado y sistemático en el cual un auditor obtiene evidencias objetivas que le permitan emitir
un juicio informado sobre el estado y efectividad del SGSI de una organización.

Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o sistema.

Autenticidad: Los activos de información solo pueden estar disponibles verificando la identidad de un sujeto o
recurso, es la propiedad que garantiza que la identidad de un sujeto o recurso es la que declara y se aplica a
entidades tales como usuarios, procesos, sistemas de información.

Base de datos de gestión de configuraciones (CMDB, Configuration Management Database): Es una base de
datos que contiene toda la información pertinente acerca de los componentes del sistema de información utilizado
en una organización de servicios de TI y las relaciones entre esos componentes. Una CMDB ofrece una vista
organizada de los datos y una forma de examinar los datos desde cualquier perspectiva que desee. En este contexto,
los componentes de un sistema de información se conocen como elementos de configuración (CI). Un CI puede ser
cualquier elemento imaginable de TI, incluyendo software, hardware, documentación y personal, así como cualquier
combinación de ellos. Los procesos de gestión de la configuración tratan de especificar, controlar y realizar
seguimiento de elementos de configuración y los cambios introducidos en ellos de manera integral y sistemática.

BS7799: Estándar británico de seguridad de la información, publicado por primera vez en 1995. En 1998, fue
publicada la segunda parte. La parte primera es un conjunto de buenas prácticas para la gestión de la seguridad de
la información –no es certificable- y la parte segunda especifica el sistema de gestión de seguridad de la información
-es certificable- Asimismo la parte primera es el origen de ISO 17799 e ISO 27002 Y la parte segunda de ISO 27001.
Como tal el estándar, ha sido derogado ya, por la aparición de estos últimos.

Características de la Información: las principales características desde enfoque de seguridad de información son:
confidencialidad, disponibilidad e integridad.

7
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la
auditoría, sirve de evidencia del plan de auditoría, asegura su continuidad y profundidad y reduce los prejuicios del
auditor y su carga de trabajo, Este tipo de listas también se pueden utilizar durante la implantación del SGSI para
facilitar su desarrollo.

CobiT - Control Objectives for Information and related Technology: – (Objetivos de Control para la
información y Tecnologías Relacionadas): Publicados y mantenidos por ISACA, sus siglas en inglés (Information
System Audit And Control Association) – Asociación de Auditoría y Control de Sistemas de Información Su misión es
investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnología de Información rectores,
actualizados, internacionales y generalmente aceptados para ser empleados por gerentes de empresas y auditores.

Compromiso de la Dirección: Alineamiento firme de la Dirección de la organización con el establecimiento,


implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI - Sistema de Gestión de la
Seguridad de la Información.

Computo forense: El cómputo forense, también llamado informática forense, computación forense, análisis forense
digital o examinación forense digital, es la aplicación de técnicas científicas y analíticas especializadas a
infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de
un proceso legal.

Confiabilidad: Se puede definir como la capacidad de un producto de realizar su función de la manera prevista, De
otra forma, la confiabilidad se puede definir también como la probabilidad en que un producto realizará su función
prevista sin incidentes por un período de tiempo especificado y bajo condiciones indicadas.

Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados, Según [ISO/lEC
13335-1:2004]:" característica/propiedad por la que la información no está disponible o revelada a individuos,
entidades, o procesos no autorizados.

Control: son todas aquellas políticas, procedimientos, prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido, (Nota: Control es también
utilizado como sinónimo de salvaguarda).

Control correctivo: Control que corrige un riesgo, error, omisión o acto deliberado antes de que produzca pérdidas.
Supone que la amenaza ya se ha materializado pero que se corrige.

Control detectivo: Control que detecta la aparición de un riesgo, error, omisión o acto deliberado. Supone que la
amenaza ya se ha materializado, pero por sí mismo no la corrige.

Control disuasorio: Control que reduce la posibilidad de materialización de una amenaza, p.ej., por medio de avisos
disuasorios.

Control preventivo: Control que evita que se produzca un riesgo, error, omisión o acto deliberado. Impide que una
amenaza llegue siquiera a materializarse.

Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organización -tras
el resultado de los procesos de evaluación y tratamiento de riesgos- además de la justificación tanto de su selección
como de la exclusión de controles incluidos en el anexo A de la norma.
8
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Denegación de servicios: Acción iniciada por agentes externos (personas, grupos, organizaciones) con el objetivo
de imposibilitar el acceso a los servicios y recursos de una organización durante un período indefinido de tiempo. La
mayoría de ocasiones se busca dejar fuera de servicio los servidores informáticos de una compañía o en su defecto
en situaciones más complejas ocasionar graves daños, para que no puedan utilizarse ni consultarse servicios
importantes. Un aspecto a resaltar es el gran daño a la imagen y reputación de las entidades que estas acciones
dejan en el ambiente público.

Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios
habituales de una organización durante el tiempo suficiente como para verse afectada de manera significativa.

Directiva: Según [ISO/lEC 13335-1: 2004): una descripción que clarifica qué debería ser hecho y cómo, con el
propósito de alcanzar los objetivos establecidos en las políticas.

Disponibilidad: Según [ISO/lEC 13335-1: 2004): característica o propiedad de permanecer accesible y disponible
para su uso cuando lo requiera una entidad autorizada.

Evaluación de riesgos: Según [ISO/lEC Guía 73:2002]: proceso de comparar el riesgo estimado contra un criterio
de riesgo dado con el objeto de determinar la importancia del riesgo.

Evento: Según [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica
una posible brecha en la política de seguridad de la información o fallo de las salvaguardas, o una situación anterior
desconocida que podría ser relevante para la seguridad.

Evidencia objetiva: Información, registro o declaración de hechos, cualitativa o cuantitativa, verificable y basada en
observación, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un
proceso o servicio o con la existencia e implementación de un elemento del sistema de seguridad de la información.

Gestión de claves: Controles referidos a la gestión de claves criptográficas.

Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los
riesgos que afecten a la información de la organización. Incluye la valoración de riesgos y el tratamiento de riesgos.
Según [ISO/lEC Guía 73:2002]: actividades coordinadas para dirigir y controlar una organización con respecto al
riesgo.

Gusano (Worm): Es un programa malicioso de computador que tiene la capacidad de duplicarse a sí mismo. A
diferencia del virus, no altera información, aunque casi siempre causan problemas de red debido al consumo de
ancho de banda y su gran facilidad para mutar.

Impacto: Resultado de un incidente de seguridad de la información.

Incidente: Según [ISO/lEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información
inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio
y amenazar la seguridad de la información.

Información: La información constituye un importante activo, esencial para las actividades de una organización y,
en consecuencia, necesita una protección adecuada. La información puede existir de muchas maneras, es decir

9
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

puede estar impresa o escrita en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por
medios electrónicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.

Ingeniería Social: Es la manipulación de las personas para conseguir que hagan que algo debilite la seguridad de
la red1 o faciliten información con clasificación confidencial o superior.

En el campo de la seguridad informática, es un método o forma de ataque con técnicas que buscan persuadir al
atacado ganando su confianza, obteniendo información privilegiada de carácter personal (contraseñas de cuentas
bancarias, datos personales), igualmente apropiarse de información vital para una organización. Existen en la
actualidad diversidad de medios para llevar a cabo esta actividad, un uso común es a través de correos electrónicos
o llamadas al lugar de trabajo o residencia, de ahí la importancia de tener una buena cultura digital respecto a que
información suministramos.

Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Según [ISOIIEC
13335-1: 2004]: propiedad/característica de salvaguardar la exactitud y completitud de los activos.

Inventario de activos: Lista de todos aquellos recursos (físicos, de información, software, documentos, servicios,
personas, reputación de la organización, etc.) dentro del alcance del SGSI, que tengan valor para la organización y
necesiten por tanto ser protegidos de potenciales riesgos.

IPS: Sistema de prevención de intrusos. Es un dispositivo que ejerce el control de acceso en una red informática
para proteger a los sistemas computacionales de ataques y abusos.

ISO: Organización Internacional de Normalización, con sede en Ginebra (Suiza). Es una agrupación de
organizaciones nacionales de normalización cuyo objetivo es establecer, promocionar y gestionar estándares.

ISO 17799: Código de buenas prácticas en gestión de la seguridad de la información adoptado por ISO transcribiendo
la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de julio de 2007. No
es certificable.

ISO 19011: "Guidelines for quality and/or environmental management systems auditing". Guía de utilidad para el
desarrollo de las funciones de auditor interno para un SGSI.

ISO 27001: Estándar para sistemas de gestión de la seguridad de la información adoptado por ISO transcribiendo la
segunda parte de BS 7799. Es certificable. Primera publicación en 2005, segunda publicación en 2013.

ISO 27002: Código de buenas prácticas en gestión de la seguridad de la información (transcripción de ISO 17799).
No es certificable. Cambio oficial de nomenclatura de ISO 17799:20005 a ISO 27002:20005 el 1 de julio de 2007.

ISO 9000: Normas de gestión y garantía de calidad definidas por la ISO.

ISO/lEC TR 13335-3: "Information technology. Guidelines for the management of IT Security .Techniques for the
management of IT Security." Guía de utilidad en la aplicación de metodologías de evaluación del riesgo.

1
Protección de activos: Seguridad de la Información, ASIS International, 2011, pag 233
10
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

ISO/lEC TR 18044: "Information technology. Security techniques. Information security incident management". Guía
de utilidad para la gestión de incidentes de seguridad de la información.

ITIL IT Infrastructure Library: Un marco de gestión de los servicios de tecnologías de la información.

Keyloggers: Son software o aplicaciones que almacenan información digitada mediante el teclado de un computador
por un usuario; es común relacionar este termino con malware del tipo daemon (demonio), es decir, actúa como un
proceso informático que no interactúa con el usuario, ya que se ejecuta en segundo plano. Usualmente puede ser
un tipo de software o un dispositivo hardware que se encarga de registrar las pulsaciones que se hacen con el
teclado, para posteriormente memorizarlas en un archivo o enviarlas a través de internet.
.
Legalidad: El principio de legalidad o Primacía de la ley es un principio fundamental del Derecho público conforme
al cual todo ejercicio del poder público debería estar sometido a la voluntad de la ley de su jurisdicción y no a la
voluntad de las personas (ej. el Estado sometido a la constitución o al Imperio de la ley). Por esta razón se dice que
el principio de legalidad establece la seguridad jurídica, Seguridad de Información, Seguridad informática y garantía
de la información.

No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algún
aspecto de un requerimiento de control que permita dudar de la adecuación de las medidas para preservar la
confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo menor.

No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias
objetivas, permita dudar seriamente de la adecuación de las medidas para preservar la confidencialidad, integridad
o disponibilidad de información sensible, o representa un riesgo inaceptable.

No repudio: Los activos de información deben tener la capacidad para probar que una acción o un evento han tenido
lugar, de modo que tal evento o acción no pueda ser negado posteriormente.

PDCA Plan-Do-Check-Act: Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar
(mantener y mejorar el SGSI).

Phishing: Tipo de delito encuadrado dentro del ámbito de las estafas, que se comete mediante el uso de un tipo de
ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser
una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria), mediante una aparente
comunicación oficial electrónica.

Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la continuación de las
principales funciones de la Entidad en el caso de un evento imprevisto que las ponga en peligro.

Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestión que define las acciones para reducir,
prevenir, transferir o asumir los riesgos de seguridad de la información inaceptables e implantar los controles
necesarios para proteger la misma.

Política de seguridad: Documento que establece el compromiso de la Dirección y el enfoque de la organización en


la gestión de la seguridad de la información. Según [ISO/lEC 27002:20005): intención y dirección general expresada
formalmente por la Dirección.
11
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Política de escritorio despejado: Se define como la política que establece e indica a los funcionarios, contratista y
demás colaboradores del DAPRE a asegurar la información pública reservada o información pública clasificada
(privada o semiprivada) en lugares que ofrezca la protección necesaria, así mismo los escritorios deben permanecer
libres de documentos o informaciones susceptibles de ser afectados en su integridad, confidencialidad y/o
disponibilidad.

Punto Único de Contacto (PUC): Entiéndase como mesa de ayuda de acuerdo a las mejores prácticas basadas en
ITIL.

Protección a la duplicidad: La protección de copia, también conocida como prevención de copia, es una medida
técnica diseñada para prevenir la duplicación de información. La protección de copia es a menudo tema de discusión
y se piensa que en ocasiones puede violar los derechos de copia de los usuarios, por ejemplo, el derecho a hacer
copias de seguridad de una videocinta que el usuario ha comprado de manera legal, el instalar un software de
computadora en varias computadoras, o el subir la música a reproductores de audio digital para facilitar el acceso y
escucharla.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus
consecuencias.

Riesgo Residual: Según [ISOIIEC Guía 73:2002] El riesgo que permanece tras el tratamiento del riesgo.

Salvaguarda: Véase: Control.

Segregación de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para reducir el riesgo de
un mal uso de los sistemas e informaciones deliberado o por negligencia.

Seguridad de la información: Según [ISO/lEC 27002:20005]: Preservación de la confidencialidad, integridad y


disponibilidad de la información; además, otras propiedades como autenticidad, responsabilidad, no repudio,
trazabilidad y fiabilidad pueden ser también consideradas.

Selección de controles: Proceso de elección de los controles que aseguren la reducción de los riesgos a un nivel
aceptable.

SGSI Sistema de Gestión de la Seguridad de la Información: Según [ISO/lEC 27001: 20005]: la parle de un
sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa,
mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización,
políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)

Servicios de tratamiento de información: Según [ISO/lEC 27002:20005]: cualquier sistema, servicio o


infraestructura de tratamiento de información o ubicaciones físicas utilizados para su alojamiento.

Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al
receptor. La acción de enviar dichos mensajes se denomina spamming. La vía más usada es el correo electrónico.

12
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad
docente o de control, aunque también puede ser utilizado con fines maliciosos.

Spoofing: Falsificación de la identidad origen en una sesión: la identidad es por una dirección IP o Mac Address.

Tratamiento de riesgos: Según [ISO/IEC Guía 73:2002]: Proceso de selección e implementación de medidas para
modificar el riesgo.

Trazabilidad: Propiedad que garantiza que las acciones de una entidad se puede rastrear únicamente hasta dicha
entidad.

Troyano: Aplicación que aparenta tener un uso legítimo pero que tiene funciones ocultas diseñadas para sobrepasar
los sistemas de seguridad.

Usuario: en el presente documento se emplea para referirse a directivos, funcionarios, contratistas, terceros y otros
colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas o aplicativos informáticos
disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.

Valoración de riesgos: Según [ISO/lEC Guía 73:2002]: Proceso completo de análisis y evaluación de riesgos.

Virus: Programas informáticos de carácter malicioso, que buscan alterar el normal funcionamiento de una red de
sistemas o computador personal, por lo general su acción es transparente al usuario y este tarda tiempo en descubrir
su infección; buscan dañar, modificar o destruir archivos o datos almacenados.

Vulnerabilidad: Debilidad en la seguridad de la información de una organización que potencialmente permite que
una amenaza afecte a un activo. Según [ISOIlEC 13335-1:2004]: debilidad de un activo o conjunto de activos que
puede ser explotado por una amenaza.

5. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES

5.1. Políticas de seguridad de la información

5.1.1. Política general de seguridad de la información.

El Departamento Administrativo de la Presidencia, como entidad del estado encargado de apoyar las labores de
gobierno del señor Presidente de la República de Colombia, establece que la información es un vital para el desarrollo
de las actividades de Gobierno, en razón a que es una herramienta de gran importancia para la toma de decisiones
y para preservar la Seguridad y Defensa Nacional, motivo por el cual, el DAPRE está comprometido a proteger los
activos de información de la entidad (Empleados, información y entorno laboral), orientando sus esfuerzos a la
preservación de la confidencialidad, integridad, disponibilidad, a la continuidad de las operaciones de gobernabilidad,
la administración y/o gestión de riesgos, la creación de cultura y conciencia de seguridad en los funcionarios,
contratistas, proveedores y personas que hagan uso de los activos de información del DAPRE, tomando como base
que la efectividad de esta política depende finalmente del comportamiento de las personas, (por lo que saben, lo que
sienten y de que estén dispuestos a realizar) y los controles establecidos en las políticas de seguridad descritas en
el presente documento, fundamentados en la norma técnica colombiana NTC-ISO-27001:2013 y el modelo de
seguridad y privacidad de la información.
13
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Las Políticas de Seguridad de la Información, surgen como una herramienta institucional de obligatorio cumplimiento
por parte de cada uno de los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algún
tipo de relación con el DAPRE.

Debido a la importancia y sensibilidad de la información, el DAPRE incluye el sistema de seguridad de la información


dentro del sistema de gestión de la Presidencia de la Republica de tal forma que le permita generar la mejora continua
del sistema de seguridad, basados en la gestión de riesgos y continuidad de la entidad.

Objetivo:
Definir las pautas para asegurar una adecuada protección y seguridad de la información del DAPRE, para el proceso
de Tecnología y Sistemas de la Información quien las establecerá dentro del plan estratégico de tecnologías de la
información y las desarrollará con los recursos asignados, con el fin de certificar los procesos bajo la norma NTC-
ISO-27001:2013 como primera fase del proceso de certificación de la entidad.

Aplicabilidad:

Estas políticas aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores, Secretarios,
Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la información que
permitan el cumplimiento de los propósitos generales del DAPRE.

Directrices:

 Se debe verificar que se definan, implementen, revisen y actualicen las políticas de seguridad de la información.

 Se debe establecer un programa que permita el fomento continuo de la creación de cultura y conciencia de
seguridad en los funcionarios, contratistas, proveedores, personas, usuarios de los sistemas de información y
telecomunicaciones del DAPRE.

 Todos los usuarios de los sistemas de información y telecomunicaciones del DAPRE, tienen la responsabilidad
y obligación de cumplir con las políticas, normas, procedimientos y buenas prácticas de seguridad de la
información establecidas en el presente manual de la política de seguridad de la información.

 Diseñar, programar y realizar los programas de auditoría del sistema de gestión de seguridad de la información,
los cuales estarán a cargo de la Oficina de Control Interno.

 Todo aplicativo informático o software debe ser comprado o aprobado por el Área de Tecnología y Sistemas de
la Información en concordancia con la política de adquisición de bienes de la entidad de acuerdo con lo definido
en el proceso C-BS-07 Adquisición de Bienes y Servicios.

 El DAPRE debe contar con un firewall o dispositivo de seguridad perimetral para la conexión a Internet o cuando
sea inevitable para la conexión a otras redes en outsourcing o de terceros.

 La conexión remota a la red de área local del DAPRE debe realizarse a través de una conexión VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada, por el Área de Tecnología y
Sistemas de Información.

 Los jefes de área o dependencia deben asegurarse que todos los procedimientos de seguridad de la información
14
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

dentro de su área de responsabilidad, se realizan correctamente para lograr el cumplimiento de las políticas y
estándares de seguridad de la información del DAPRE.

 El DAPRE en caso de tener un servicio de transferencia de archivos deberá realizarlo empleando protocolos
seguros. Cuando el origen sea el DAPRE hacia entidades externas, el DAPRE establecerá los controles
necesarios para preservar la seguridad de la información; cuando el origen de la transferencia sea una entidad
externa, se acordarán las políticas y controles de seguridad de la información con esa entidad; en todo caso se
deben revisar y proponer controles en concordancia con las políticas de seguridad de la información del DAPRE;
los resultados de la revisión de requerimientos de seguridad se documentarán y preservarán para futuras
referencias o para demostrar el cumplimiento con las políticas y con los controles de seguridad del DAPRE.

 El DAPRE debe mantener correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-IS09001
y las normas NTC-IS0 9001 y NTC-IS0 27001. Se utilizan los requisitos: 5.1.d Compromisos de la dirección y
5.6 Revisión por la dirección del Manual de la Política para la Seguridad de la Información del Departamento
Administrativo de la Presidencia de la República en intervalos planificados, para asegurar su conveniencia,
eficiencia y eficacia continua (Ver M-DE-02 Manual del SIGEPRE)

 El comité de seguridad de la Información del DAPRE definirá de acuerdo a la clasificación de la información, qué
datos deben ser cifrados y dará las directrices necesarias para la implementación de los respectivos controles
(dispositivos a emplear, mecanismos de administración de claves, políticas de uso de sistemas de cifrado de
datos).

5.1.2. Política de estructura organizacional de seguridad de la información

El DAPRE creará un esquema de seguridad de la información definiendo y estableciendo roles y responsabilidades


que involucren las actividades de operación, gestión y administración de la seguridad de la información.

Objetivo:
Definir el programa de seguridad de la información en el Departamento Administrativo de la Presidencia donde se
describan roles y responsabilidades para operación, gestión y administración de seguridad de la información.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de
la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Crear el Comité de Seguridad de la Información, y asignar el rol de Oficial de seguridad de la información y su


equipo de apoyo, junto con los roles, funciones y responsabilidades respectivamente.

 El Área de Tecnología y Sistemas de Información debe establecer los roles, funciones y responsabilidades de
operación y administración de los sistemas de información del DAPRE a los funcionarios disponibles en el
DAPRE, estos roles, funciones y responsabilidades, deberán estar debidamente documentadas y distribuidas.
15
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El Comité de Seguridad de la Información recomendará al Director y/o Subdirector de Operaciones del DAPRE
tomar contacto con las autoridades para reportar incidentes de seguridad que así lo amerite, así mismo se debe
definir los responsables para establecer mencionado contacto, permitiendo apoyar la gestión de incidentes de
seguridad y la planificación de contingencias.

 El Departamento Administrativo de la Presidencia, establecerá acuerdos de cooperación de seguridad de


información con entidades de seguridad del estado.

 El Área de Tecnología y Sistemas de Información asistirá a foros, conversatorios, conferencias de interés


especial en seguridad de la información.

 Los proyectos desarrollados por el Departamento Administrativo de la Presidencia deberá incorporar dentro de
la planeación y desarrollo, el cumplimiento de la política de seguridad de la información, valoración de riesgos y
los controles a estos.

5.1.3. Política para uso de dispositivos móviles

Objetivo:
Establecer las directrices de uso y manejo de dispositivos móviles (teléfonos móviles, teléfonos inteligentes “smart
phones”, tabletas), entre otros, suministrados por la entidad y personales que hagan uso de los servicios de
información del DAPRE.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios y en general a todos los usuarios de la información que
cumplan con los propósitos generales del DAPRE que tengan asignado un dispositivo.

Directrices:

 Los dispositivos móviles (teléfonos móviles, teléfonos inteligentes (smart phones) tabletas, entre otros), son
una herramienta de trabajo que se deben utilizar únicamente para facilitar las comunicaciones de los
usuarios de la entidad.

 Los dispositivos móviles institucionales deben estar integrados a una plataforma de administración
controlada por el Área de Tecnología y Sistemas de Información.

 Los usuarios de dispositivos móviles institucionales deben tener instaladas únicamente las aplicaciones
distribuidas, autorizadas y configuradas por el administrador de la plataforma.

 Los dispositivos móviles asignados por el DAPRE deben tener la configuración realizada por el Área de
Tecnología y Sistemas de Información, así mismo solo podrá configurarse únicamente las cuentas de correo
electrónico asignadas al usuario por la entidad.

 El sistema de mensajería instantánea autorizado para los dispositivos móviles institucionales son Microsoft
Lync, deberá ser federada por el Área de Tecnología y Sistemas de Información.
16
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 En el caso del nivel directivo se autoriza el uso de WhatsApp únicamente en dispositivos suministrados por
el DAPRE, no se permite por esta aplicación, el envío de fotografías, audios y videos clasificados como
información pública reservada o información pública clasificada (privada o semiprivada).

 Los sistemas de mensajería instantánea para dispositivos móviles institucionales a implementar en el


DAPRE debe incluir métodos de cifrado de extremo a extremo de la comunicación.

 Los dispositivos móviles deben tener contraseña de ingreso y bloqueo del equipo de manera automática y
manual, tener activado la función de borrado remoto, cifrar la memoria de almacenamiento.

 Los dispositivos móviles institucionales deben tener únicamente la tarjeta sim asignada por la entidad, de
igual forma la tarjeta sim únicamente debe instalarse en los equipos asignados por la entidad.

 Ante la pérdida del equipo, ya sea por extravío o hurto, deberá informar de manera inmediata al PUC del
Área de Tecnología y Sistema de Información, y continuar con el procedimiento administrativo por perdida
de elementos establecido por la entidad.

 Los teléfonos móviles y/o teléfonos inteligentes institucionales, debe permanecer encendidos y cargados
durante las horas laborales o de acuerdo a la responsabilidad y requerimientos propios del cargo.

 Es responsabilidad del usuario hacer buen uso del dispositivo suministrado por el DAPRE con el fin de
realizar actividades propias de su cargo o funciones asignadas en la entidad.

 Los usuarios no están autorizados a cambiar la configuración, ni a la desinstalación de software de los


equipos móviles institucionales posterior a su recibo; únicamente se deben aceptar y aplicar las
actualizaciones.

 Los usuarios de dispositivos móviles asignados por la entidad, deben evitar hacer uso de estos en lugares
con algún riesgo de seguridad, evitando el extravío o hurto del equipo.

 Los usuarios de dispositivos móviles institucionales no deben conectarlos en computadores y/o puertos USB
de uso público (Restaurantes, café internet, aeropuertos, etc.).

 Los usuarios de dispositivos móviles institucionales deben mantener desactivados las funciones de redes
inalámbricas WiFi, puertos infrarrojos, puerto Bluetooth.
 Los usuarios de dispositivos móviles institucionales NO deben hacer uso de redes inalámbricas públicas.

 En caso de requerir instalación de aplicaciones adicionales en el dispositivo móvil institucional se debe


solicitar al comité de seguridad de la Información para su aprobación.

5.1.4. Política de seguridad para los recursos humanos

Objetivo:

17
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Asegurar que los funcionarios, contratistas y demás colaboradores del DAPRE, entiendan sus responsabilidades y
las funciones de sus roles y usuarios, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado
de la información y de las instalaciones.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios y en general a todos los usuarios de la información que
cumplan con los propósitos generales del DAPRE que tengan asignado un dispositivo.

Directrices:

 Se debe asegurar que los funcionarios, contratistas y demás colaboradores del DAPRE, adopten sus
responsabilidades en relación con las políticas de seguridad de la información del DAPRE y actúen de
manera consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso
inadecuado de la información o los equipos empleados para el tratamiento de la información

 Los candidatos, aspirantes, contratistas y proveedores deben dar aprobación al DAPRE para el tratamiento
de sus datos personales de acuerdo a la Ley 1032 de 2006, por el cual se dictan disposiciones generales
del Habeas Data y se regula el manejo de la información contenida en base de datos personales.

 Se debe realizar un estudio de seguridad detallado el cual será desarrollado por la Casa Militar a los
candidatos, aspirantes, contratistas y proveedores.

 La Casa Militar deberá informar al Área de Talento Humano la aprobación o no aprobación de los estudios
de seguridad realizados a los candidatos, aspirantes, contratistas y proveedores.

 El Área de Talento Humano deberá verificar la competencia necesaria de los candidatos o aspirantes a
ocupar la vacante disponible.

 Se debe dar cumplimiento a la normatividad vigente que regula el empleo público, y al Manual Específico
de Funciones, Competencias Laborales y Requisitos de los empleos de la Planta de Personal del
Departamento Administrativo de la Presidencia de la República.

 A la firma del contrato laboral o posesión del cargo el funcionario debe firmar un acuerdo de confidencialidad
para con el DAPRE.

 Se debe capacitar y sensibilizar a los funcionarios durante la inducción sobre las políticas de seguridad de
la información.

 Los funcionarios del DAPRE deben cumplir con el manual de Excelencia Ética y Buen Gobierno.

 En situaciones de incumplimiento y/o violaciones a las políticas de seguridad de la información se deberá


tramitar el cumplimiento de la ley 734 de 2013, ley 200 de 1995 y demás normas que reglamenten los
procesos disciplinarios para los empleados del estado.

18
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.5. Política de gestión de activos de Información

Objetivo:
Establecer la forma en que se logra y mantiene la protección adecuada de los activos de información.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios y en general a todos los usuarios de la información que
cumplan con los propósitos generales del DAPRE que tengan asignado un dispositivo.

Directrices:

 Inventario de activos de información

El DAPRE mantendrá un inventario actualizado de sus activos de información, bajo la responsabilidad


de cada propietario de información y centralizado por el Área de Tecnología y Sistemas de la
Información.

Una parte de los activos de información se mantendrá en una base de datos CMDB bajo la
responsabilidad del Área de Tecnología y Sistemas de la Información. (Base de datos de gestión de
configuraciones - Configuration Management Database CMDB).

 Propietarios de los activos de información

El DAPRE es el dueño de la propiedad intelectual de los avances tecnológicos e intelectuales


desarrollados por los funcionarios del DAPRE y los contratistas, derivadas del objeto del cumplimiento
de funciones y/o tareas asignadas, como las necesarias para el cumplimiento del objeto del contrato.

El DAPRE es propietario de los activos de información y los administradores de estos activos son los
funcionarios, contratistas o demás colaboradores del DAPRE (denominados “usuarios”) que estén
autorizados y sean responsables por la información de los procesos a su cargo, de los sistemas de
información o aplicaciones informáticas, hardware o infraestructura de Tecnología y Sistemas de
Información (TIC).

5.1.6. Política de uso de los activos

Objetivo:
Lograr y mantener la protección adecuada de los activos de información mediante la asignación a los usuarios finales
que deban administrarlos de acuerdo a sus roles y funciones.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:
19
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Los activos de información pertenecen al DAPRE y el uso de los mismos debe emplearse exclusivamente
con propósitos laborales.

 Los usuarios2 deberán utilizar únicamente los programas y equipos autorizados por el Área de Tecnología
y Sistemas de Información.

 El DAPRE proporcionará al usuario, los equipos informáticos y los programas instalados en ellos; los
datos/información creados, almacenados y recibidos, serán propiedad del DAPRE, los funcionarios solo
podrán realizar backup de sus archivos personales o de información pública, para copiar cualquier tipo de
información clasificada o reservada debe pedir autorización a su jefe inmediato, de acuerdo a las normas
sobre clasificación de la información de acuerdo a los niveles de seguridad establecidos por el DAPRE; Su
copia, sustracción, daño intencional o utilización para fines distintos a las labores propias de la Institución,
serán sancionadas de acuerdo con las normas y legislación vigentes.

 Periódicamente, el Área de Tecnología y Sistemas de la Información efectuará la revisión de los programas


utilizados en cada dependencia. La descarga, instalación o uso de aplicativos o programas informáticos NO
autorizados será considera como una violación a las Políticas de Seguridad de la Información del DAPRE.

 Todos los requerimientos de aplicativos, sistemas y equipos informáticos deben ser solicitados por el Jefe
de la dependencia a través del Punto Único de Contacto (PUC) del Área de Tecnología y Sistemas de
Información.

 Estarán bajo custodia del Área de Tecnología y Sistemas de la Información los medios
magnéticos/electrónicos (disquetes, CDs u otros) que vengan originalmente con el software y sus
respectivos manuales y licencias de uso, adicionalmente las claves para descargar el software de
fabricantes de sus páginas web o sitios en internet y los passwords de administración de los equipos
informáticos, sistemas de información o aplicativos.

 En caso de ser necesario y previa autorización del comité de seguridad de la Información del DAPRE, los
funcionarios del DAPRE podrán acceder a revisar cualquier tipo de activo de información y material que los
usuarios creen, almacenen, envíen o reciban, a través de Internet o de cualquier otra red o medio, en los
equipos informáticos a su uso.
 Los recursos informáticos del DAPRE no podrán ser utilizados, sin previa autorización escrita, para divulgar,
propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas
destructivos (virus), propaganda política, material religioso o cualquier otro uso que no esté autorizado.

 Los usuarios no deben realizar intencionalmente actos que impliquen un mal uso de los recursos
tecnológicos o que vayan en contravía de las políticas de seguridad de la información entre ellos envíos o
reenvíos masivos de correos electrónicos o spam, practica de juegos en línea, uso permanente de redes
sociales personales, conexión de periféricos o equipos que causen molestia a compañeros de trabajo, etc.

 Los usuarios no podrán efectuar ninguna de las siguientes labores sin previa autorización del Área de
Tecnología y Sistemas de la Información:

2 Funcionarios, contratistas y otros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas y/o aplicativos
informáticos disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.
20
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

o Instalar software en cualquier equipo del DAPRE;


o Bajar o descargar software de Internet u otro servicio en línea en cualquier equipo del DAPRE;
o Modificar, revisar, transformar o adaptar cualquier software propiedad del DAPRE;
o Descompilar o realizar ingeniería inversa en cualquier software de propiedad del DAPRE.
o Copiar o distribuir cualquier software de propiedad del DAPRE.
o Cambiar la configuración de hardware de propiedad del DAPRE

 El usuario deberá informar al Jefe Inmediato de cualquier violación de las políticas de seguridad, uso
indebido y debilidades de seguridad de la información del DAPRE que tenga conocimiento y al Área de
Tecnologías de la Tecnología y Sistemas de Información del DAPRE a través del PUC (Punto Único de
Contacto).

 El usuario será responsable de todas las transacciones o acciones efectuadas con su “cuenta de usuario”.

 Ningún usuario deberá acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuario
o clave de otro usuario.

 Los usuarios no están autorizados para hacer uso de redes externas a través de dispositivos personales en
las instalaciones de la entidad (modem USB, router, wifi público, etc), esto compromete la seguridad de los
recursos informáticos del DAPRE.

 El Área de Tecnología y Sistemas de Información del DAPRE, es el área responsable de realizar el


aseguramiento de los accesos a internet, acceso a redes de terceros y a las redes de la entidad; esta
responsabilidad incluye, pero no se limita a prevenir que intrusos tengan acceso a los recursos informáticos
y a prevenir la introducción y propagación de virus.

 Todo archivo o material descargado o recibido a través de medio magnético/electrónico o descarga de


Internet o de cualquier red externa, deberá ser revisado para detección de virus y otros programas
maliciosos antes de ser instalados en la infraestructura TIC del DAPRE.

 Todos los archivos provenientes de equipos externos al DAPRE, deben ser revisados para detección de
virus antes de su utilización dentro de la red del DAPRE.

 Todo cambio a la infraestructura informática deberá estar controlado y será realizado de acuerdo con los
procedimientos de gestión de cambios del Área de Tecnología y Sistemas de Información del DAPRE (P-
TI-22 Procedimiento de control de cambios).

 La información del DAPRE debe ser respaldada de forma frecuente, debe ser almacenada en lugares
apropiados en los cuales se pueda garantizar que la información este segura y podrá ser recuperada en
caso de un desastre o de incidentes con los equipos de procesamiento.

 Los funcionarios deberán realizar la devolución de todos los activos físicos y/o electrónicos asignados por
el DAPRE en el proceso de desvinculación, de igual manera deberán documentar y entregar al DAPRE los
conocimientos importantes que posee de la labor que ejecutan.

21
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.7. Política de uso de estaciones cliente.

Objetivo:
Garantizar que la seguridad es parte integral de los activos de información y la correcta utilización por los usuarios
finales.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 La instalación de software en los computadores suministrados por el DAPRE, es una función exclusiva del
Área de Tecnología y Sistemas de Información el cual mantendrá una lista actualizada del software
autorizado para instalar en los computadores.

 Se definirán dos (2) perfiles de Administradores locales:

1. Desarrolladores de aplicaciones.
2. Usuarios que necesitan utilizar software específico, que por su naturaleza requieren permisos de
administrador local para su ejecución.

 Los usuarios que hagan uso de equipos institucionales en préstamo, NO deberán almacenar información
en estos dispositivos y deberán borrar aquellos que copien en estos al terminar su uso.

 Los usuarios no deben mantener almacenados en los discos duros de las estaciones cliente o discos
virtuales de red, archivos de vídeo, música y fotos que no sean de carácter institucional.

 En el Disco C:\ de las estaciones cliente se tiene configurado el sistema operativo, aplicaciones y perfil de
usuario. El usuario deberá abstenerse de realizar modificaciones a éstos archivos.

 Los usuarios podrán trabajar sus documentos institucionales en borrador en la estación cliente asignada
por el DAPRE y deberán ubicar copias y documentos finales en las carpetas virtuales centralizadas que se
establezca para cumplir con las tablas de retención documental TRD de la Entidad.

 El préstamo de equipos de cómputo, computadores portátiles y vídeo proyectores se debe tramitar a través
de la mesa de ayuda con anticipación y se proveerá de acuerdo a la disponibilidad.

 Los equipos que ingresan temporalmente al DAPRE que son de propiedad de terceros: deben ser
registrados en los controles de acceso de la entidad para poder realizar su retiro; posteiormente el DAPRE
no se hará responsable en caso de pérdida o daño de algún equipo informático de uso personal o que haya
sido ingresado a sus instalaciones.

 El Área de Tecnología y Sistemas de la Información no prestará servicio de soporte técnico (revisión,


mantenimiento, reparación, configuración y manejo e información) a equipos que no sean del DAPRE.
22
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.8. Política de uso de Internet.

Objetivo:
Establecer unos lineamientos que garanticen la navegación segura y el uso adecuado de la red por parte de los
usuarios finales, evitando errores, pérdidas, modificaciones no autorizadas o uso inadecuado de la información en
las aplicaciones WEB.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 La infraestructura, servicios y tecnologías usados para acceder a internet son propiedad del DAPRE, por lo
tanto se reserva el derecho de monitorear el tráfico de internet y el acceso la información.

 La navegación en Internet debe realizarse de forma razonable y con propósitos laborales.

 No se permite la navegación a sitios con contenidos contrarios a la ley o a las políticas del DAPRE o que
representen peligro para la entidad como: pornografía, terrorismo, hacktivismo, segregación racial u otras
fuentes definidas por el DAPRE. El acceso a este tipo de contenidos con propósitos de estudio de seguridad
o de investigación, debe contar con la autorización expresa del comité de seguridad de la Información del
DAPRE.

 El Área de Tecnología y Sistemas de Información administrará autorización de navegación a los usuarios


del DAPRE, previa solicitud del Jefe de la dependencia.

 El Área de Tecnología y Sistemas de Información implementará de herramientas para evitar la descarga de


software no autorizado y/o código malicioso en los equipos institucionales.
 La descarga de archivos de Internet debe ser con propósitos laborales y de forma razonable para no afectar
el servicio, en forma específica el usuario debe cumplir los requerimientos de la política de uso de internet
descrita en este manual.

 Los usuarios de los activos de información del DAPRE tienen prohibido el acceso a redes sociales, sistemas
de mensajería instantánea y cuentas de correo no institucional.

5.1.9. Política de clasificación de la información.

Objetivo:
Asegurar que la información recibe el nivel de protección apropiado de acuerdo al tipo de clasificación establecido
por la ley y el DAPRE.

Aplicabilidad:

23
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Estas políticas se aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores, Secretarios,
Jefes de Oficina y Jefes de Área, de acuerdo al documento G-GD-02 Guía para la clasificación de la información
de acuerdo a sus niveles de seguridad.

Directrices:

 Se considera información toda forma de comunicación o representación de conocimiento o datos digitales,


escritos en cualquier medio, ya sea magnético, papel, visual u otro que genere el DAPRE como por ejemplo:

o Formularios / comprobantes propios o de terceros.


o Información en los sistemas, equipos informáticos, medios magnéticos/electrónicos o medios físicos
como papel.
o Otros soportes magnéticos/electrónicos removibles, móviles o fijos.
o Información o conocimiento transmitido de manera verbal o por cualquier otro medio de comunicación.

 Los usuarios responsables de la información del DAPRE, deben identificar los riesgos a los que está
expuesta la información de sus áreas, teniendo en cuenta que la información pueda ser copiada, divulgada,
modificada o destruida física o digitalmente por personal interno o externo.

 Un activo de información es un elemento definible e identificable que almacena registros, datos o


información en cualquier tipo de medio y que es reconocida como “Valiosa” para el DAPRE; Independiente
del tipo de activo, se deben considerar las siguientes características.

1. El activo de información es reconocido como valioso para el DAPRE.


2. No es fácilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o la
combinación de los anteriores.
3. Forma parte de la identidad de la organización y sin el cual el DAPRE puede estar en algún nivel de
riesgo. (La determinación del nivel y tipo de riesgo se estima sobre la base del modelo MECI del
DAPRE).
4. Los niveles de clasificación de la información valiosa que se ha establecido son: INFORMACIÓN
PÚBLICA RESERVADA, INFORMACIÓN PÚBLICA CLASIFICADA (PRIVADA Y SEMI-PRIVADA) e
INFORMACIÓN PÚBLICA.
5. Los aspectos detallados de la política de clasificación, tratamiento y control de la información se
encuentran en el documento G-GD-02 “Guía para la clasificación de la información de acuerdo con
sus niveles de seguridad”.

 Se debe monitorear periódicamente la aplicación de la Guía para la clasificación de la información de


acuerdo con sus niveles de seguridad G-GD-02.

5.1.10. Política de manejo disposición de información, medios y equipos.

Objetivo:
Contrarrestar las interrupciones en las actividades del DAPRE, proteger sus procesos críticos contra los efectos de
fallas importantes en los sistemas de información o contra desastres y propender por su recuperación oportuna,
permitiendo la confidencialidad, integridad y disponibilidad de la información.

24
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Los medios y equipos donde se almacena, procesa o comunica la información, deben mantenerse con las
medidas de protección físicas y lógicas, que permitan su monitoreo y correcto estado de funcionamiento,
para ello se debe realizar los mantenimientos preventivos y correctivos que se requieran.

 Se debe realizar la aplicación del procedimiento de borrado seguro definido por le DAPRE

 Está restringido del uso de medios removibles de almacenamiento, por lo cual se deshabilita la funcionalidad
de los puertos USB, unidades ópticas de grabación en todos los equipos de cómputo institucionales; la
autorización de uso de los medios removibles debe ser tramitada a través de la Subdirección de
Operaciones de DAPRE.

 Se debe implementar el procedimiento para la transferencia de medios físicos.

5.1.11. Política de control de acceso.

Objetivo:
Definir las pautas generales para asegurar un acceso controlado, físico o lógico, a la información de la plataforma
informática del DAPRE, así como el uso de medios de computación móvil.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:
 La Casa Militar definirá el procedimiento de acceso físico (Altos Directivos, Directivos, Funcionarios,
visitantes, contratistas, proveedores) a las instalaciones de Gobierno bajo la administración del DAPRE en
coordinación con el Área Administrativa y el Área de Tecnología y Sistemas de Información.

 El Área de Tecnología y Sistemas de Información, establecerá un programa de mantenimiento integral de


los sistemas de control de acceso y sistema de video seguridad (Circuito cerrado de televisión CCTV), así
mismo administrará estas plataformas.

 El Área de Tecnología y Sistemas de Información establecerá el procedimiento para establecer los niveles
de acceso para usuarios de los servicios y sistemas de información del DAPRE.

 El Área de Tecnología y Sistemas de Información establecerá las configuraciones de las políticas en los
sistemas de tecnología y comunicaciones para el control de acceso a los activos de información.

25
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El DAPRE proporcionará a los funcionarios, personal en comisión permanente y contratistas (personas


naturales) todos los recursos tecnológicos necesarios para que puedan desempeñar las funciones para las
cuales fueron contratados, por tal motivo no se permite conectar a la red o instalar dispositivos fijos o
móviles, tales como: computadores portátiles, tablets, enrutadores, agendas electrónicas, celulares
inteligentes, access point, el Área de Tecnología y Sistemas de Información podrá realizar la mencionada
conexión previa solicitud del interesado.

 Todo usuario a los servicios de red del DAPRE deberá diligenciar y firmar el formato F-TI-08 recibo del
usuario, previa verificación de firma de acuerdo de confidencialidad.

 El DAPRE suministrará a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas
de información a los que hayan sido autorizados, las claves son de uso personal e intransferible.

 Es responsabilidad del usuario el manejo apropiado a las claves asignadas de los servicios de red y de
acceso a la red estas claves de acceso y usuarios son personales e intransferibles.

 El comité de seguridad de la Información establecerá el listado software autorizado para uso en los sistemas
de información y comunicaciones del DAPRE

 Solo usuarios designados por el Área de Tecnología y Sistemas de Información estarán autorizados para
instalar software y/o hardware en los equipos, servidores e infraestructura de telecomunicaciones del
DAPRE, así como el uso de herramientas que permitan realizar tareas de mantenimiento, revisión de
software, recuperar datos perdidos, eliminar software maliciosos.

 Todo trabajo a realizarse en los servidores del DAPRE con información de la entidad, por parte de sus
funcionarios o contratistas, se debe realizar en las instalaciones, no se podrá realizar ninguna actividad de
tipo remoto sin la debida aprobación del Jefe del Área de Tecnología y Sistemas de Información DAPRE.

 El Área de Tecnología y Sistemas de Información debe generar el lineamiento para restringir y auditar el
acceso a los códigos fuentes de los programas y elementos asociados como (diseños, especificaciones,
librerías de fuentes de programas, planes de verificación y planes de validación).
 El Área de Tecnología y Sistemas de Información establecerá el procedimiento de registro, cancelación y
periodicidad de revisión y ajuste a permisos de acceso a la red y servicios de red, asignados a los usuarios
de los sistemas de información y comunicaciones del DAPRE, tomando como base los múltiples factores
de riesgo existentes en la seguridad de la información.

 La conexión remota a la red de área local del DAPRE debe ser hecha a través de una conexión VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada.

5.1.12. Política de establecimiento, uso y protección de claves de acceso.

Objetivo:
Controlar el acceso a la información.

Aplicabilidad:
26
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Se debe concienciar y controlar a los usuarios para que apliquen buenas prácticas de seguridad en la
selección, uso y protección de claves o contraseñas, las cuales constituyen un medio de validación de la
identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las
instalaciones, equipos o servicios informáticos.

 Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para la
utilización de los equipos o servicios informáticos de la Entidad.

 Los usuarios deben tener en cuenta los siguientes aspectos:

o No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo almacenadas en un


macro o en una clave de función.

o El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta o su jefe inmediato.

o Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no
estén en uso.

o Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un equipo o sistema
informático, en forma consecutiva por cinco veces.

o La clave de acceso será desbloqueada sólo por el PUC (Punto Único de Contacto), luego de la solicitud
formal por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivación debe
ser documentada y comunicada al PUC.

Las claves o contraseñas deben:

Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni
tener información personal, ni productos a resaltar de su entidad, evite asociarla con fechas especiales, por ejemplo:
fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc.

Nunca utilice sus contraseñas personales en el entorno laboral

Tener mínimo diez caracteres alfanuméricos.

Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.

Cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de Tecnología y Sistemas de Información.

Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres anteriores.
27
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta de usuario.

No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos.

No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.

No ser reveladas a ninguna persona, incluyendo al personal del Área de Tecnología y Sistemas de Información.

No regístralas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma
segura y el método de almacenamiento este aprobado.

5.1.13. Política de uso de discos de red o carpetas virtuales.

Objetivo:
Asegurar la operación correcta y segura de los discos de red o carpetas virtuales.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Para que los usuarios tengan acceso a la información ubicada en los discos de red, el jefe inmediato deberá
enviar un correo autorizando el acceso y permisos, correspondientes al rol y funciones a desempeñar, a la
mesa de ayuda del Área de Tecnología y Sistemas de Información del DAPRE. Los usuarios tendrán
permisos de escritura, lectura o modificación de información en los discos de red, dependiendo de sus
funciones y su rol.

 La información institucional que se trabaje en las estaciones cliente de cada usuario debe ser trasladada
periódicamente a los discos de red por ser información institucional.

 La información almacenada en cualquiera de los discos de red debe ser de carácter institucional.

 Está prohibido almacenar archivos con contenido que atente contra la moral y las buenas costumbres de la
entidad o las personas, como pornografía, propaganda racista, terrorista o cualquier software ilegal o
malicioso, ya sea en medios de almacenamiento de estaciones de trabajo, computadores de escritorio o
portátiles, tablets, celulares inteligentes, etc. o en los discos de red.

 Se prohíbe extraer, divulgar o publicar información de cualquiera de los discos de red o estaciones de
trabajo, sin expresa autorización de su jefe inmediato.

 Se prohíbe el uso de la información de los discos de red con fines publicitarios, de imagen negativa, lucrativa
o comercial.

28
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 La responsabilidad de generar las copias de respaldo de la información de los discos de red, está a cargo
del Área de Tecnología y Sistemas de la Información.

 La responsabilidad de custodiar la información en copias de respaldo controladas, fuera de las instalaciones


del DAPRE, estará a cargo del Área de Tecnología y Sistemas de la Información.

5.1.14. Política de uso de puntos de red de datos (red de área local – LAN).

Objetivo:
Asegurar la operación correcta y segura de los puntos de red.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Los usuarios deberán emplear los puntos de red, para la conexión de equipos informáticos Institucionales.

 Los equipos de uso personal, que no son de propiedad del DAPRE, solo tendrán acceso a servicios limitados
destinados a invitados o visitantes, estos equipos deben ser conectados a los puntos de acceso autorizados
y definidos por el Área de Tecnología y Sistemas de la Información del DAPRE.

 La instalación, activación y gestión de los puntos de red es responsabilidad del Área de Tecnología y
Sistemas de la Información.

5.1.15. Política de uso de impresoras y del servicio de Impresión.

Objetivo:
Asegurar la operación correcta y segura de las impresoras y del servicio de impresión.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Los documentos que se impriman en las impresoras del DAPRE deben ser de carácter institucional.

 Es responsabilidad del usuario conocer el adecuado manejo de los equipos de impresión (escáner y
fotocopiado) para que no se afecte su correcto funcionamiento.

29
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Ningún usuario debe realizar labores de reparación o mantenimiento de las impresoras. En caso de
presentarse alguna falla, esta se debe reportar a la mesa de ayuda (PUC) del Área de Tecnología y Sistemas
de la Información.

 Los funcionarios en el momento de realizar impresiones de documentos con clasificación pública reservada
o información pública clasificada (privada o semiprivada), debe mantener control de la impresora, por lo cual
no la deberán dejar desatendida, preservando la confidencialidad de la información.

5.1.16. Política de controles criptográficos

Objetivo:
Implementar actividades para proteger activos de información clasificada, fortaleciendo la confidencialidad,
disponibilidad e integridad, mediante el uso de herramientas criptográficas.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Área de Tecnología y Sistemas de Información debe verificar los sistemas o aplicaciones que realicen
y/o permitan la transmisión de información pública reservada o información pública clasificada (privada o
semiprivada), lo realicen mediante herramientas de cifrado de datos.

 El Área de Tecnología y Sistemas de Información proveerá la herramienta de encripción datos a los


usuarios, previa solicitud formal.

 La asignación de la clave para el cifrado de la información en la herramienta, debe ser establecida por el
usuario que administra dicha información, teniendo siempre presente que en caso de olvidar la clave, la
información cifrada no es recuperable.

 La contraseña de cifrado debe cumplir con la política de establecimiento de contraseñas del DAPRE. ver
manual M-TI-01 en el numeral 4.1.24 Política de establecimiento, uso y protección de claves de acceso.

 Asegurar que la información clasificada como pública reservada o información pública clasificada (privada
o semiprivada), sea protegida por el usuario final generador de la información, con el uso de la herramienta
de encripción para transferencias de archivos con esta clasificación, por medio de los sistemas de
información y comunicaciones.

 El Área de Tecnología y Sistemas de Información debe transmitir y/o almacenar la información clasificada
como pública reservada o información pública clasificada (privada o semiprivada) con técnicas de cifrado.

 En la fase de planeación y gestión de proyectos se debe clasificar la información de acuerdo a la guía para
la Calificación de la Información G-GD-02, así como la compartimentación de la información (acceso limitado

30
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

a información a funcionarios públicos o contratistas que deben conocer dicha información para adelantar
ciertas tareas en el proyecto).

 El Área de Tecnología y Sistemas de Información establecerá los lineamientos de administración, protección


y ciclo de vida de las llaves criptográficas.

 Los usuarios del DAPRE que usen las herramientas criptográficas, deben dar cumplimiento a los acuerdos
y legislación existente Nacional y/o Internacional.

5.1.17. Política de Seguridad Física

Objetivo:
Implementar el programa de seguridad física de para el acceso a las instalaciones, centros de datos y centros de
cableado que permita fortalecer la integridad, disponibilidad e integridad la información

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 La Casa Militar y el Área Administrativa debe implementar un sistema de seguridad física para las
instalaciones del DAPRE.

 El Área de Tecnología y Sistemas de Información debe implementar barreras y sistemas de control de


acceso a las instalaciones, centros de datos y centros de cableado del DAPRE, así como la asignación de
niveles de acceso.

 El Área de Tecnología y Sistemas de Información debe implementar alarmas de detección de intrusos a los
centros de datos y centros de cableado del DAPRE.

 El Área Administrativa del DAPRE debe mantener actualizado es programa de seguridad física de las
instalaciones, así como el programa de mantenimiento de las barreras de seguridad (Perimetrales e
internas) de las instalaciones pertenecientes a la Entidad.

 La Casa Militar informará las debilidades que encuentren a nivel de barreras físicas a la Subdirección de
Operaciones del DAPRE para aprobación y corrección.

 El Área Administrativa del DAPRE, implementará y mantendrá en operación sistemas de control de incendio,
así como planes integrales a las instalaciones para prevenir inundaciones o humedad en los centros de
datos y centros de cableado.

 El Área de Tecnología y Sistemas de Información, deberá implementar protecciones que eviten ó mitiguen
daños causados por incendios, inundaciones y otros desastres naturales o generados por el hombre a los
centros de datos y centros de cableado.
31
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 No está permitido el uso de equipo fotográfico, de video, de audio u otro dispositivo de grabación de audio
o video al interior de los centros de datos, centros de cableados, centros de control.

5.1.18. Políticas de seguridad del centro de datos y centros de cableado.

Objetivo:
Asegurar la protección de la información en las redes y la protección de la infraestructura de soporte.

Aplicabilidad:
Estas políticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a terceros
que estén encargados de cualquier parte o sistema de la plataforma informática.

Directrices:

 No se permite el ingreso al centro de datos, al personal que no esté expresamente autorizado. Se debe
llevar un control de ingreso y salida del personal que visita el centro de datos. En el centro de datos debe
disponerse de una planilla para el registro, la cual debe ser diligenciada en lapicero de tinta al iniciar y
finalizar la actividad a realizar.

 El Área de Tecnología y Sistemas de la Información debe garantizar que el control de acceso al centro de
datos del DAPRE, exija doble autenticación para aprobación de acceso con dispositivos electrónicos.

 El Área de Tecnología y Sistemas de la Información deberá garantizar que todos los equipos de los centros
de datos cuenten con un sistema alterno de respaldo de energía

 La limpieza y aseo del centro de datos estará a cargo del Área Administrativa y debe efectuarse en presencia
de un funcionario y/o contratista del Área de Tecnología y Sistemas de la Información del DAPRE. El
personal de limpieza debe ser ilustrado con respecto a las precauciones mínimas a seguir durante el proceso
de limpieza. Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no sean
estrictamente necesarios para su labor de limpieza y aseo.

 En las instalaciones del centro de datos o de los centros de cableado, no se debe fumar, comer o beber; de
igual forma se debe eliminar la permanencia de papelería y materiales inflamables o combustibles que
generen riesgo de propagación de fuego, así como mantener el orden y limpieza en todos los equipos y
elementos que se encuentren en este espacio.

 El centro de datos debe estar provisto de:


o Señalización adecuada de todos y cada uno de los diferentes equipos y elementos, así como luces de
emergencia y de evacuación, cumpliendo las normas de seguridad industrial y de salud ocupacional.
o Pisos elaborados con materiales no combustibles.
o Sistema de refrigeración por aire acondicionado de precisión. Este equipo debe ser redundante para
que en caso de falla se pueda continuar con la refrigeración.
o Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de garantizar
el servicio de energía eléctrica durante una falla momentánea del fluido eléctrico de la red pública.
o Alarmas de detección de humo y sistemas automáticos de extinción de fuego, conectada a un sistema
central. Los detectores deberán ser probados de acuerdo a las recomendaciones del fabricante o al
32
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

menos una vez cada 6 meses y estas pruebas deberán estar previstas en los procedimientos de
mantenimiento y de control.
o Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad de
detener el fuego generado por equipo eléctrico, papel o químicos especiales.

 El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.

 Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas técnicas.

 La grabación de vídeo en las instalaciones del centro de datos debe estar expresamente autorizada por el
comité de seguridad de la Información y exclusivamente con fines institucionales.

 Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadas por
un funcionario y/o contratista autorizado del DAPRE.

 Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere
ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicará dentro del centro
de datos.

 Cuando se requiera realizar alguna actividad sobre algún armario (rack), este debe quedar ordenado,
cerrado y con llave, cuando se finalice la actividad.

 Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben
permanecer apagadas.

 Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas
que se puedan presentar.

5.1.19. Políticas de seguridad de los Equipos

Objetivo:
Asegurar la protección de la información en los equipos.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Instalación de equipos de procesamiento y almacenamiento

Los equipos de procesamiento y almacenamiento deben ser instalados en las áreas de trabajo seguras
definidas por el Área de Tecnología y Sistemas de Información.

33
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Protecciones en el suministro de energía

A la red de energía regulada de los puestos de trabajo solo se pueden conectar equipos como
computadores, pantallas; los otros elementos deberán conectarse a la red no regulada. Esta labor debe ser
revisada por el área Administrativa.

El Área Administrativa del DAPRE debe implementar sistemas redundantes de alimentación eléctrica, como
por ejemplo: plantas generadoras de energía que permita soportar la operación de los sistemas de
información durante una falta de suministro de un proveedor de energía.

 Seguridad del cableado

Los cables deben estar claramente marcados para identificar fácilmente los elementos conectados y evitar
desconexiones erróneas.

Deben existir planos que describan las conexiones del cableado.

El acceso a los centros de cableado (Racks), debe estar protegido.

El Área de Tecnología y Sistemas de Información establecerá un programa de revisiones y/o inspecciones


físicas al cableado, con el fin de detectar dispositivos no autorizados.

 Mantenimiento de los Equipos

El DAPRE debe mantener contratos de soporte y mantenimiento de los equipos críticos.

Las actividades de mantenimiento tanto preventivo como correctivo deben registrarse para cada elemento.

Las actividades de mantenimiento de los servidores, elementos de comunicaciones, energía o cualquiera


que pueda ocasionar una suspensión en el servicio, deben ser realizadas y programadas.

Los equipos que requieran salir de las instalaciones del DAPRE para reparación o mantenimiento, deben
estar debidamente autorizados por el DAPRE y se debe garantizar que en dichos elementos no se encuentra
información clasificada de acuerdo a los niveles de clasificación de la información pública reservada o
información pública clasificada (privada o semiprivada).

Para que los equipos puedan salir de las instalaciones, se debe suministrar un nivel mínimo de seguridad,
que al menos cumpla con los requerimientos internos de la entidad, teniendo en cuenta los diferentes riesgos
que se pueden presentar al trabajar en un ambiente que no cuenta con las protecciones ofrecidas en el
interior del DAPRE.

Los equipos retirados de la entidad deben ser protegidos, no se deben dejar sin vigilancia en lugares
públicos, de igual forma se debe continuar con las recomendaciones de uso de los fabricantes de estos y la
conexión con los sistemas de información del DAPRE debe cumplir con la política de control acceso.

Cuando un dispositivo vaya a ser reasignado o retirado de servicio debe contar con aprobación del Área de
Tecnología y Sistemas de Información, así mismo debe garantizarse la eliminación de toda información
34
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

residente en los elementos utilizados para el almacenamiento, procesamiento y transporte de la información,


utilizando herramientas para realizar sobre-escrituras sobre la información existente o la presencia de
campos magnéticos de alta intensidad (P-TI-12 Procedimiento de borrado seguro para equipos). Este
proceso puede además incluir, una vez realizado el proceso anterior, la destrucción física del medio,
utilizando impacto, fuerzas o condiciones extremas.

 Ingreso y retiro de activos de información de terceros.

El retiro e ingreso de todo activo de información de propiedad de los usuarios del DAPRE, utilizados para
fines personales, se realizará mediante los procedimientos establecidos por el sistema de seguridad física.
El DAPRE no se hace responsable de los bienes o los problemas que se presenten al conectarse a la red
eléctrica del Departamento.

El retiro e ingreso de todo activo de información de los visitantes que presten servicios al DAPRE
(consultores, pasantes, visitantes, etc.) será registrado e inspeccionado en los controles de accesos de las
instalaciones de la Entidad. El personal de seguridad y vigilancia en los controles de acceso verificarán y
registrarán las características de identificación del activo de información.

El traslado entre dependencias del DAPRE de todo activo de información, está a cargo del área
Administrativa, para el control de inventarios.

 Normas de protección

Los funcionarios que hagan uso de los equipos del DAPRE, no deben dejar desatendidos los equipos de
cómputo en sitios públicos y deben transportarlos en lugares visibles bajo medidas que le provean seguridad
física.

Los computadores portátiles siempre deben ser transportados como equipaje de mano, evitando golpes,
exponerlo a líquidos, y prevenir la perdida y/o hurto.

5.1.20. Política de escritorio y pantalla limpia.

Objetivo:
Definir las pautas generales para reducir el riesgo de acceso no autorizado, pérdida y daño de la información durante
y fuera del horario de trabajo normal de los usuarios.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El personal del DAPRE debe conservar su escritorio libre de información, propia de la entidad, que pueda
ser alcanzada, copiada o utilizada por terceros o por personal que no tenga autorización para su uso o
conocimiento.
35
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El personal del DAPRE debe bloquear la pantalla de su computador con el protector de pantalla, en los
momentos que no esté utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de trabajo.

 Los usuarios de los sistemas de información y comunicaciones del DAPRE deberán cerrar las aplicaciones
y servicios de red cuando ya no los necesite.

 Los usuarios a los que el DAPRE les asigne equipos móviles como computadores, teléfonos inteligentes,
tablets, deben activar el bloqueo de teclas o pantalla, que permita evitar el acceso no autorizado a estos
dispositivos.

 Al imprimir documentos con información pública reservada y/o pública clasificada (semi-privada o privada),
deben ser retirados de la impresora inmediatamente y no se deben dejar en el escritorio sin custodia.

 No se debe utilizar fotocopiadoras, escáneres, equipos de fax, cámaras digitales y en general equipos
tecnológicos que se encuentren desatendidos.

 La información pública reservada o información pública clasificada (privada o semiprivada) que se encuentre
en medio físico, debe permanecer almacenada en una caja fuerte o gabinete de seguridad.

5.1.21. Política de Seguridad de las Operaciones de TIC.

Objetivo:
Definir las reglas para asegurar las operaciones correctas y seguras de las instalaciones de procesamiento del
DAPRE, con el fin de robustecer la continuidad de los sistemas de TIC.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Área de Tecnología y Sistemas de Información debe elaborar las guías de operación de todos los activos
de información, así mismo dejarlas a disposición de los usuarios que los requiera.

 El Área de Tecnología y Sistemas de Información debe generar un programa de seguimiento a la gestión


de capacidad de los recursos de red de sistemas de información y comunicaciones, generando proyecciones
de crecimiento y expansión asegurando la disponibilidad de los servicios.

 El Área de Tecnología y Sistemas de Información debe implementar el procedimiento para la realización de


auditorías técnicas a los sistemas operativos del DAPRE, las cuales se deben realizar periódicamente.

5.1.22. Política de adquisición, desarrollo y mantenimiento de sistemas de información.

36
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Objetivo:
Garantizar que la seguridad es parte integral de los sistemas de información.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 Asegurar que los sistemas de información o aplicativos informáticos incluyen controles de seguridad y
cumplen con las políticas de seguridad de la información.

 En caso de desarrollos propios el Área de Tecnología y Sistemas de Información debe separar los ambientes
de desarrollo, prueba y producción, en diferentes procesadores y dominios.

 El Área de Tecnología y Sistemas de Información deberá realizar pruebas de funcionamiento y de seguridad


a los nuevos sistemas, actualizaciones y/o aplicaciones en ambiente de pruebas, para validar la necesidad
y operatividad de estos, previo a la aprobación e implementación.

 El Área de Tecnología y Sistemas de Información desarrollará y/o adquirirá el software requerido por el
DAPRE; de manera coordinada con el Área que tiene manifieste la necesidad del software, el Área de
Tecnología y Sistemas de Información establecerá claramente los requerimientos funcionales,
operacionales y especificaciones técnicas para la adquisición o desarrollo de sistemas de información y/o
comunicaciones, contemplando requerimientos de seguridad de la información.

 Se debe verificar que los desarrollos de la entidad estén completamente documentados, igualmente todas
las versiones de los desarrollos se deben preservar adecuadamente en varios medios y guardar copia de
respaldo externa a la entidad, adicionalmente se deben ser registrados ante la Dirección General de
Derechos de Autor del Ministerio del Interior y de Justicia.

 Desarrollar estrategias para analizar la seguridad en los sistemas de información, como no usar datos
sensibles en ambientes de prueba y usar diferentes perfiles para pruebas y producción.

 Todo nuevo hardware y software que se vaya a adquirir y conectar a la plataforma tecnológica del DAPRE,
por cualquier dependencia o proyecto del DAPRE, deberá ser gestionado por el Área de Tecnología y
Sistemas de Información para su correcto funcionamiento.

 La compra de una licencia de un programa permitirá al DAPRE realizar una copia de seguridad, para ser
utilizada en caso de que el medio se averíe.

 Cualquier otra copia del programa original será considerada como una copia no autorizada y su utilización
conlleva a las sanciones administrativas y legales pertinentes.

 El Área de Tecnología y Sistemas de Información será la única dependencia autorizada para realizar copia
de seguridad del software original.

 La instalación del software en los activos informáticos del DAPRE, se realizará únicamente a través del PUC
del Área de Tecnología y Sistemas de Información.
37
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El Área de Tecnología y Sistemas de Información implementará reglas y herramientas que restrinjan la


instalación de software no autorizado en los activos de información del DAPRE.

 El software proporcionado por el DAPRE no puede ser copiado o suministrado a terceros.

 En los equipos del DAPRE se podrá utilizar el software licenciado por el Área de Tecnología y Sistemas de
Información y el adquirido o licenciado por los proyectos o programas que se encuentran en el DAPRE.

 Para la adquisición y actualización de software, es necesario efectuar la solicitud al Área de Tecnología y


Sistemas de Información con su justificación, quien analizará las propuestas presentadas para su evaluación
y aprobación.

 El software que se adquiera a través de proyectos o programas, debe quedar licenciado a nombre del
Departamento Administrativo de la Presidencia de la República.

 Se debe establecer los lineamientos para la supervisión y seguimiento a las actividades de desarrollo
contratado, los cuales deben quedar inmersos en las clausulas y/o especificaciones técnicas de los
contratos a ejecutar por el DAPRE.

 Se encuentra prohibido el uso e instalación de juegos en los computadores del DAPRE.

 Se presentarán para dar de baja el software de acuerdo con los lineamientos dados por la Entidad.

 El Área de Tecnología y Sistemas de Información debe implementar actividades para la protección contra
códigos maliciosos y de reparación.
 El Área de Tecnología y Sistemas de Información debe implementar métodos y/o técnicas para el desarrollo
de software seguro, estas deben incluir definiciones y requerimientos de seguridad, buenas prácticas para
desarrollo de software seguro, que le permita a los desarrolladores aplicarlas de manera clara y eficiente.

 El Área de Tecnología y Sistemas de Información debe implementar y aplicar metodologías que permitan
proteger las transacciones de los servicios de aplicaciones del DAPRE.

 Se debe implementar el procedimiento de control de cambios de los sistemas de información del DAPRE,
basados en el ciclo de vida, asegurando la integridad desde las primeras etapas de diseño, pasando por
mantenimiento.

5.1.23. Política de respaldo y restauración de información.

Objetivo:
Proporcionar medios de respaldo adecuados para asegurar que toda la información esencial y el software, se pueda
recuperar después de una falla.

Aplicabilidad:
Esta política será aplicada por los administradores de tecnología, encargados de sistemas de información y jefes de
área que decidan sobre la disponibilidad en integridad de los datos.
38
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Directrices:

 La información de cada sistema debe ser respaldada sobre un medio de almacenamiento como cinta,
cartucho, CD, DVD, etc.

 Los administradores de los servidores, los sistemas de información o los equipos de comunicaciones, son
los responsables de definir la frecuencia de respaldo y los requerimientos de seguridad de la información
(codificación); de igual manera el administrador del sistema de respaldo, es el responsable de realizar los
respaldos periódicos.

 Todas las copias de información crítica deben ser almacenadas en un área adecuada y con control de
acceso.

 Las copias de respaldo se guardaran únicamente con el objetivo de restaurar el sistema luego de la infección
de un virus informático, defectos en los discos de almacenamiento, problemas de los servidores o
computadores, materialización de amenazas, catástrofes y por requerimiento legal.

 Debe ser desarrollado un plan de emergencia para todas las aplicaciones que manejen información crítica;
el dueño de la información debe asegurar que el plan es adecuado, frecuentemente actualizado y
periódicamente probado y revisado.

 Ningún tipo de información institucional puede ser almacenada en forma exclusiva en los discos duros de
las estaciones de trabajo; por lo tanto, es obligación de los usuarios finales realizar las copias en las carpetas
destinadas para este fin.

 Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera
de las instalaciones del DAPRE.

 La restauración de copias de respaldo en ambientes de producción debe estar debidamente aprobada por
el propietario de la información.

 Semanalmente los administradores de infraestructura del DAPRE, verificarán la correcta ejecución de los
procesos de backup, suministrarán las cintas requeridas para cada trabajo y controlarán la vida útil de cada
cinta o medio empleado.

 El Área de Tecnología y Sistemas de la Información debe mantener un inventario actualizado de las copias
de respaldo de la información y los aplicativos o sistemas del DAPRE.

 Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro3 y posteriormente serán
eliminados o destruidos de forma adecuada.

 Es responsabilidad de cada dependencia mantener depurada la información de las carpetas virtuales para
la optimización del uso de los recursos de almacenamiento que entrega el DAPRE a los usuarios.

3
El borrado seguro se ejecuta cuando al borrar un archivo o formatear un dispositivo de almacenamiento, alguna utilidad de borrado escribe
ceros (o) sobre el archivo, no permitiendo que éste se pueda recuperar posteriormente. Tomado de:
http://es.wikipedia.org/wiki/Borrado_de_archivos

39
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.24. Política para realización de copias en estaciones de trabajo de usuario final.

Objetivo:
Asegurar la operación de realización de copias de información en estaciones de trabajo de usuario final.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 De acuerdo a lo previsto por el artículo 91 de la Ley 23 de 1982, los derechos de autor sobre las obras
creadas por los empleados y funcionarios en virtud de su vinculación a la Entidad pública correspondiente,
en este caso al Departamento Administrativo de la Presidencia de la República, son de propiedad de ésta
con las excepciones que la misma ley han señalado.

 En el evento de retiro de un funcionario o traslado de dependencia, previa notificación del Área de Talento
Humano, el Área de Tecnología y Sistemas de Información generará una copia de la información contenida
en el equipo asignado al perfil del usuario (C:\usuarios\nombre-usuario), a una unidad de almacenamiento.

 Una vez esta información se encuentre ubicada en la unidad de almacenamiento, se le realiza copia de
seguridad mensual en cinta magnética, la cual es enviada al custodio de medios magnéticos, para conservar
esta información en el tiempo.

 Si el jefe de la dependencia de la cual se retira el usuario requiere copia de esta información, debe realizar
solicitud al Área de Tecnología y Sistemas de Información, quien escalará la solicitud ante el comité de
seguridad de la Información, quien evaluara la pertinencia de la copia.

 Se debe seguir el procedimiento P-TI-12 Procedimiento de Borrado Seguro para equipos Final, a fin
garantizar la copia de la información para la entidad y la eliminación de la información almacenada en el
disco local.

 Ningún usuario final debe realizar copias de la información contenida en la estación de trabajo a medios
extraíbles de información, excepto aquellos que se encuentren habilitados los privilegios de escritura por
puertos USB y el cliente DLP instalado el cual mantendrá un registro de los archivos copiados.

 En caso de presentarse alguna falla en los equipos de cómputo, se debe reportar a la mesa de ayuda del
Área de Tecnología y Sistemas de Información y en caso de requerirse copia de la información, ésta se
realizará de manera temporal durante las diferentes labores de reparación o mantenimiento.

 Ningún usuario debe utilizar equipo diferente al asignado para copiar algún tipo de archivo, excepto al
autorizado por jefe inmediato.

40
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.25. Política de registro y seguimiento de eventos de sistemas de información y


comunicaciones.

Objetivo:
Preservar la integridad, confidencialidad y disponibilidad de los registros de eventos (logs) generados por los
sistemas de información y comunicaciones del DAPRE.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Área de Tecnología y Sistemas de Información debe implementar los lineamientos para elaborar,
preservar y revisar los registros de actividades (logs) de los usuarios de los sistemas del DAPRE.

 Los profesionales del Área de Tecnología y Sistemas de Información, no están facultados para modificar,
borrar o desactivar registros (logs) de sus actividades propias, ni de los usuarios de los sistemas de
información y telecomunicaciones, de igual forma se deben realizar las configuraciones de seguridad
necesarias para evitar la eliminación o cambios no autorizados a los registros de información.

 El acceso a los registros (logs) es restringido, por lo cual su consulta por usuarios se debe realizar con
previa autorización del Área de Tecnología y Sistemas de Información.

 La consulta y copia de la información de registros que se requiera con fines probatorios debe ser solicitada
por autoridad judicial a la Subdirección de Operaciones.

 El Área de Tecnología y Sistemas de Información deberá realizar copias de respaldo de los registros de
auditoria.

 El Área de Tecnología y Sistemas de Información debe proteger y auditar periódicamente los registros de
actividades (logs) de los administradores de los sistemas de información y telecomunicaciones

 El Área de Tecnología y Sistemas de Información debe implementar la sincronización de relojes de los


sistemas de información a un único servidor NTP (Nertwork Time Protocol – protocolo de tiempo en la red).

5.1.26. Política de control de software operacional del DAPRE.

Objetivo:
Generar acciones que permitan preservar la integridad de los sistemas operativos pertenecientes al Departamento
Administrativo de la Presidencia.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.
41
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Directrices:

 El Área de Tecnología y Sistemas de Información definirá e implementará el procedimiento de instalación y


actualización de software sobre los sistemas operativos del DAPRE, dentro del cual se debe prever una
estrategia de retroceso, registros de auditoria, control y copia de versiones, control de cambio, pruebas en
su respectivo ambiente y configuraciones de seguridad.

5.1.27. Política de gestión de vulnerabilidades

Objetivo:
Evitar la utilización de vulnerabilidades técnicas de los sistemas de información y comunicaciones del DAPRE, e
implementar los lineamientos para gestión de vulnerabilidades.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Área de Tecnología y Sistemas de Información en coordinación con el CSIRT (Computer Security Incident
Response Team) Equipo de respuesta a incidentes de seguridad informática de la Casa Militar, realizará
pruebas técnicas de vulnerabilidad en los sistemas de información y comunicaciones del DAPRE.

 El Área de Tecnología y Sistemas de Información implementará un programa de gestión de vulnerabilidades


técnicas que incluya el plan de tratamiento de vulnerabilidades, el cual deberá ser aprobado por el comité
de seguridad de la Información.

5.1.28. Política de seguridad de las comunicaciones.

Objetivo:
Implementar mecanismos de control que permitan mantener la disponibilidad de las redes de datos, sistemas de
comunicaciones e instalaciones de procesamiento del DAPRE.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Área de Tecnología y Sistemas de Información debe implementar medidas para asegurar la disponibilidad
de los recursos y servicios de red del DAPRE.

42
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El Área de Tecnología y Sistemas de Información debe crear los estándares técnicos de configuración de
la Red del DAPRE y configuración de seguridad y de dispositivos de seguridad.

 El Área de Tecnología y Sistemas de Información debe interconectar las instalaciones de gobierno bajo el
cumplimiento los estándares de técnicos de configuración y de seguridad de las redes y servicios del
DAPRE.

 El Área de Tecnología y Sistemas de Información debe implementar sistemas de protección entre las
redes del DAPRE y las redes externas no administradas por la entidad.

 El Área de Tecnología y Sistemas de Información debe identificar y documentar los servicios, protocolos y
puertos autorizados en las redes de datos e inhabilitar o eliminar los servicios, protocolos y puertos no
utilizados.

 El Área de Tecnología y Sistemas de Información debe segmentar la red, de modo que permita separar los
grupos de servicios de información.

5.1.29. Política para la Transferencia de Información.

Objetivo:
Proteger la información transferida al interior y exterior del DAPRE.

Aplicabilidad:
Estas son políticas que aplican a los Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos
los usuarios de la información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Área de Tecnología y Sistemas de Información debe implementar las herramientas necesarias para
asegurar la transferencia de información al interior y exterior del DAPRE, contra interceptación, copiado,
modificación, enrutado y destrucción.

 El Área de Tecnología y Sistemas de Información, deberá controlar las acciones para reenvío automático
de correo electrónico a direcciones de correo externo.

 Los funcionarios del DAPRE que traten temas o información clasificada como información pública reservada
o información pública clasificada (privada o semiprivada), lo deberán hacer en lugares seguros y/o por
medios de comunicación seguros.

 Se debe establecer el procedimiento para la transferencia de información en medios físicos a nivel interno,
externo del DAPRE y a terceros.

5.1.30. Política de uso de correo electrónico.

43
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información del DAPRE, en el servicio y
uso del servicio de correo electrónico por parte de los usuarios autorizados.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

Esta política define y distingue el uso de correo electrónico aceptable/apropiado e inaceptable/inapropiado y


establece las directrices para el uso seguro del servicio.

Los funcionarios del DAPRE deberán hacer uso del correo electrónico institucional suministrado por el Área de
Tecnología y Sistemas de Información, para desarrollar las actividades oficiales inherentes al cargo asignado.

La cuenta de correo oficial para el cumplimiento de las funciones desempeñadas para el DAPRE, es la cuenta de
correo electrónico institucional suministrado por el Área de Tecnología y Sistemas de Información.

 Servicio de correo electrónico:

Permite a los usuarios del DAPRE, el intercambio de mensajes, a través de una cuenta de correo electrónico
institucional, que facilita el desarrollo de sus funciones.

Principios guía

 Los usuarios del correo electrónico corporativo son responsables de evitar prácticas o usos del correo que
puedan comprometer la seguridad de la información.

 Los servicios de correo electrónico corporativo se emplean para servir a una finalidad operativa y
administrativa en relación con la entidad. Todos los correos electrónicos procesados por los sistemas, redes
y demás infraestructura TIC del DAPRE se consideran bajo el control de la entidad.

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en el DAPRE y no
debe utilizarse para ningún otro fin.

No está autorizado el envío de cadenas de correo, envío de correos masivos con archivos adjuntos de gran tamaño
que puedan congestionar la red.

No está autorizado el envío de correos con contenido que atenten contra la integridad y dignidad de las personas y
el buen nombre de la entidad.

Cuando un funcionario, contratista o colaborador al que le haya sido autorizado el uso de una cuenta de correo
electrónico y se retire del DAPRE, su cuenta de correo será desactivada.

Los correos electrónicos deben contener la siguiente nota respecto al manejo del contenido:
44
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

El contenido de este mensaje y sus anexos son propiedad del Departamento Administrativo de la
Presidencia de la República, es únicamente para el uso del destinatario ya que puede contener
información pública reservada o información pública clasificada (privada o semiprivada), las cuales
no son de carácter público. Si usted no es el destinatario, se informa que cualquier uso, difusión,
distribución o copiado de esta comunicación está prohibido. Cualquier revisión, retransmisión,
diseminación o uso del mismo, así como cualquier acción que se tome respecto a la información
contenida, por personas o entidades diferentes al propósito original de la misma, es ilegal.

Si usted es el destinatario, le solicitamos dar un manejo adecuado a la información; de presentarse


cualquier suceso anómalo, por favor informarlo al correo soportes@presidencia.gov.co.

El tamaño del buzón de correo electrónico estará determinado por el rol desempeñado por el usuario en el DAPRE.
Cada área deberá solicitar la creación de las cuentas electrónicas, sin embargo las áreas de Recursos Humanos y
de Contratación son las responsables de solicitar la modificación o cancelación de las cuentas electrónicas Área de
Tecnología y Sistemas de Información del DAPRE.

Las cuentas de correo electrónico son propiedad del DAPRE, las cuales son asignadas a personas que tengan algún
tipo de vinculación laboral con la entidad, ya sea como personal de planta, en comisión permanente, contratistas,
consultores o personal temporal, quienes deben utilizar este servicio única y exclusivamente para las tareas propias
de la función desarrollada en la Entidad y no debe utilizarse para ningún otro fin.

Cada usuario es responsable del contenido del mensaje enviado y de cualquier otra información adjunta al mismo,
de acuerdo a la clasificación de la información establecida por el DAPRE.

Todos los mensajes pueden ser sujetos a análisis y conservación permanente por parte de la Entidad.

Todo usuario es responsable por la destrucción de los mensajes cuyo origen sea desconocido y por lo tanto asumirá
la responsabilidad y las consecuencias que puede ocasionar la ejecución de cualquier archivo adjunto. En estos
casos no se debe contestar dichos mensajes, ni abrir los archivos adjuntos y se debe reenviar el correo a la cuenta
soportes@presidencia.gov.co con la frase “correo sospechoso” en el asunto.

El único servicio de correo electrónico autorizado en la entidad es el asignado por el Área de Tecnología y Sistemas
de Información.

5.1.31. Políticas específicas para Webmaster.

Objetivo:
Proteger la integridad de las páginas Web institucionales, el software y la información contenida.

Aplicabilidad:
Estas políticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a terceros
que se encuentren desempeñando el rol de Webmaster.

Directrices:

45
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Los responsables de los contenidos de las páginas Web (webmasters), deben preparar y depurar la
información de su Área o dependencia y reportar a la mesa de ayuda (PUC) los requerimientos de
actualización de la versión del software; deben disponer de un archivo actualizado con la información de la
página inicial del sitio; y deben registrar la autorización de publicación por parte del funcionario autorizado
y coordinar con el administrador web del Área de Tecnología y Sistemas de la Información los lineamientos
del sitio.

 Se deberá seguir la Política Editorial y Actualización de Contenidos Web, que permita auditar la publicación
o modificación de información oficial en las páginas web.

 Las claves de acceso de los responsables de los contenidos de las páginas Web (webmasters), son
estrictamente confidenciales, personales e intransferibles.

5.1.32. Políticas específicas para funcionarios y contratistas del Área de Tecnología y


Sistemas de la Información.

Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información del DAPRE por parte de los
funcionarios y contratistas de TI de la entidad.

Aplicabilidad:
Estas políticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a terceros
que estén encargados de cualquier sistema de información.

Directrices:

 El personal del Área de Tecnología y Sistemas de la Información no debe dar a conocer su clave de usuario
a terceros de los sistemas de información, sin previa autorización del Jefe del Área de Tecnología y Sistemas
de la Información.

 Los usuarios y claves de los administradores de sistemas y del personal del Área de Tecnología y Sistemas
de la Información son de uso personal e intransferible.

 El personal del Área de Tecnología y Sistemas de la Información debe emplear obligatoriamente las claves o
contraseñas con un alto nivel de complejidad y utilizar los servicios de autenticación fuerte que posee la entidad
de acuerdo al rol asignado.

 Los administradores de los sistemas de información deben seguir las políticas de cambio de clave y utilizar
procedimiento de salvaguarda o custodia de las claves o contraseñas en un sitio seguro. A este lugar solo
debe tener acceso el Jefe del Área de Tecnología y Sistemas de Información o el Asesor para la de Seguridad
de la Información.

 Los documentos y en general la información de procedimientos, seriales, software etc. deben mantenerse
custodiados en todo momento para evitar el acceso a personas no autorizadas.

46
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Para el cambio o retiro de equipos de funcionarios, se deben seguir políticas de saneamiento, es decir llevar
a cabo mejores prácticas para la eliminación de la información de acuerdo al software disponible en la entidad.
Ej: Formateo seguro, destrucción total de documentos o borrado seguro de equipos electrónicos.

 Los funcionarios encargados de realizar la instalación o distribución de software, sólo instalarán productos con
licencia y software autorizado.

 Los funcionarios del Área de Tecnología y Sistemas de Información no deben otorgar privilegios especiales a
los usuarios sobre las estaciones de trabajo, sin la autorización correspondiente del Jefe del Área de
Tecnología y Sistemas de Información y el registro en el sistema de la mesa de ayuda (PUC).

 Los funcionarios del Área de Tecnología y Sistemas de Información se obligan a no revelar a terceras
personas, la información a la que tengan acceso en el ejercicio de sus funciones de acuerdo con la guía de
clasificación de la información según sus niveles de seguridad. En consecuencia, se obligan a mantenerla de
manera confidencial y privada y a protegerla para evitar su divulgación.

 Los funcionarios del Área de Tecnología y Sistemas de Información no utilizarán la información para fines
comerciales o diferentes al ejercicio de sus funciones.

 Toda licencia de software o aplicativo informático y sus medios, se deben guardar y relacionar de tal forma
que asegure su protección y disposición en un futuro.

 Las copias licenciadas y registradas del software adquirido, deben ser únicamente instaladas en los equipos y
servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las políticas del proveedor
y de la entidad.

 La copia de programas o documentación, requiere tener la aprobación escrita del DAPRE y del proveedor si
éste lo exige.

 El personal del Área de Tecnología y Sistemas de Información debe velar por que se cumpla con el registro
en la bitácora de acceso al datacenter, de las personas que ingresen y que hayan sido autorizadas previamente
por la jefatura del área o por quien ésta delegue.

 Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en los servidores; no
se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado oficialmente por la entidad a través
del Comité de seguridad de la Información establecido en resolución 1009 del 27 de diciembre de 2016 o el
Asesor para la de Seguridad Informática.

 Aquellos servicios y actividades que no son esenciales para el normal funcionamiento de los sistemas de
información, deben ser aprobados oficialmente por la entidad, a través del Comité de seguridad de la
Información, cuyas funciones se encuentran en la resolución 1009 del 27 de diciembre de 2016 y deben ser
asegurados mediante controles que permitan la preservación de la seguridad de la información.

 El acceso a cualquier servicio, servidor o sistema de información debe ser autenticado y autorizado.

47
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Todos los servidores deben ser configurados con el mínimo de servicios necesarios y obligatorios para
desarrollar las funciones designadas.

 Las pruebas de laboratorio o piloto deben ser autorizadas por el Comité de Seguridad de la Información, para
sistemas de información, de software tipo freeware o shareware o de sistemas que necesiten conexión a
internet; estas deben ser realizadas sin conexión a la red LAN de la entidad y con una conexión separada de
internet o en su defecto con una dirección IP diferente a las direcciones públicas de producción.

5.1.33. Política de Tercerización u Outsourcing.

Objetivo:
Mantener la seguridad de la información y los servicios de procesamiento de información, a los cuales tienen acceso
terceras partes, entidades externas o que son procesados, comunicados o dirigidos por estas.

Aplicabilidad:
Estas son políticas que aplican a contratistas, proveedores de outsourcing, consultores y contratistas externos,
personal temporal y en general a todos los usuarios de la información que realicen estas tareas en el DAPRE.

Directrices:
 Se deben establecer criterios de selección que contemplen la experiencia y reputación de terceras partes,
certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compañía, seguimiento de
estándares de gestión de calidad y de seguridad y otros criterios que resulten de un análisis de riesgos de
la selección y los criterios establecidos por la entidad.

 Se debe establecer mecanismos de control en las relaciones contractuales, con el objetivo de asegurar que
la información a la que tengan acceso o servicios que sean provistos por los proveedores o contratistas,
cumplan con las políticas de seguridad de la información del DAPRE, las cuales deben se divulgadas por
los funcionarios responsables de la realización y/o firma de contratos o convenios.

 En los contratos o acuerdos con los proveedores y/o contratistas se debe incluir una causal de terminación
del acuerdo o contrato de servicios, por el no cumplimiento de las políticas de seguridad de la información

 Los contratistas, oferentes y/o proveedores deben aceptar y firmar el acuerdo de confidencialidad
establecido por el DAPRE.

 El Área de Tecnología y Sistemas de la Información deberá mitigar los riesgos de seguridad con referencia
al acceso de los proveedores y/o contratistas a los sistemas de información del DAPRE.

 Se debe identificar y monitorear los riesgos relacionados con los contratistas o proveedores en relación a
los objetos contractuales, incluyendo la cadena de suministro de los servicios de tecnología y comunicación.

 Se deben identificar los riesgos para la información y los servicios de procesamiento de información que
involucren partes externas al DAPRE. El resultado del análisis de riesgos será la base para el
establecimiento de los controles y debe ser presentado al Comité de seguridad de la Información antes

48
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

iniciar el estudio de mercado y publicación del proyecto de pliegos del contrato de outsourcing en el portal
de contratación.

 Los funcionarios del DAPRE que fungen como supervisores de contratos relacionados con sistemas de
información deberán realizar seguimiento, control y revisión de los servicios suministrados por los
proveedores y/o contratistas.

 Se deben establecer mecanismos o condiciones con los contratistas o proveedores que permitan realizar la
gestión de cambios en los servicios suministrados.

5.1.34. Política de Gestión de los Incidentes de la Seguridad de la Información

Objetivo:

Asegurar que los eventos e incidentes de seguridad que se presenten con los activos de información, sean
comunicados y atendidos oportunamente, empleando los procedimientos definidos, con el fin de que se tomen
oportunamente las acciones correctivas

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El DAPRE establecerá responsables y procedimientos de gestión para el tratamiento de incidentes de


seguridad de la información asegurando una respuesta rápida, eficaz y eficiente, quienes investigarán y
solucionarán los incidentes presentados, implementando las acciones necesarias para evitar su repetición,
así mismo debe escalar los incidentes de acuerdo con la criticidad del mismo.

 El único canal acreditado para reportar incidentes de seguridad ante las autoridades y el pronunciamiento
oficial ante entidades externas de la Presidencia de la República es el Director del Departamento
Administrativo o el funcionario que este delegue.

 El DAPRE designa al CSIRT (Computer Security Incident Response) Equipo de respuesta a incidentes de
seguridad informática de la Casa Militar y al Área de Tecnología y Sistemas de Información para responder
a los eventos o incidentes de seguridad de la información; debe generarse el procedimiento de respuesta.

 El CSIRT (Computer Security Incident Response) Equipo de respuesta a incidentes de seguridad informática
de la Casa Militar es el encargado de catalogar los eventos o incidentes de seguridad de la información.

 Se debe establecer la implementación de lecciones aprendidas al término del análisis y solución de


incidentes de seguridad de la información, estos deben ser socializados a los interesados conservando la
confidencialidad de estas, así mismo, estas deben ser utilizadas como herramienta para la toma de
decisiones y revisiones de la política de seguridad.

49
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El CSIRT (Computer Security Incident Response) Equipo de respuesta a incidentes de seguridad informática
debe establecer el procedimiento para la recolección de evidencia, siguiendo los lineamientos jurídicos
vigentes en Colombia y estándares internacionales.

5.1.35. Política para la Gestión de la Continuidad de Seguridad de la Información

Objetivo:
Asegurar la continuidad de la seguridad de la información en situaciones de crisis o desastres

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El Departamento Administrativo de la Presidencia establecerá el Plan de Continuidad del Negocio para la


entidad, este debe incluir el plan de recuperación de desastres.

 Se debe generar el plan de continuidad de seguridad de la información, documentado e implementando


procesos y procedimientos para asegurar la continuidad requerida por la Entidad.

 El Área de Tecnología y Sistemas de Información elaborará el plan de recuperación de desastres para los
sistemas de información y comunicación del DAPRE, el cual debe incluir mínimo procedimientos,
condiciones de seguridad, recuperación y retorno a la normalidad.

 El plan de continuidad del negocio de la entidad se debe verificar, revisar y evaluar, por la Oficina de Control
Interno durante el desarrollo del plan anual de auditorías.

 El DAPRE propenderá por la implementación de una plataforma tecnológica redundante que satisfaga los
requerimientos de disponibilidad necesarios para la Entidad, así como programación y ejecución de pruebas
de funcionalidad de esta.

 El Área de Tecnología y Sistemas de Información debe analizar y establecer los requerimientos mínimos de
redundancia para los sistemas de información críticos del DAPRE junto con la plataforma tecnológica que
los soporta, de igual forma deberá investigar, evaluar y probar las soluciones de tecnología que supla la
necesidad de la Entidad.

5.1.36. Política de cumplimiento de requisitos legales y contractuales

Objetivo:
Prevenir el incumplimiento de obligaciones legales relacionadas con seguridad de la información.

Aplicabilidad:
50
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan

Directrices:

 El Departamento Administrativo de la Presidencia respeta y acata las normas legales existentes


relacionadas con seguridad de la información, para lo cual realizará una continua revisión, identificación,
documentación y cumplimiento de la legislación y requisitos contractuales aplicables para la entidad,
relacionada con la seguridad de la información.

 El DAPRE establecerá el procedimiento para protección de derechos de autor y propiedad intelectual, razón
por la cual propenderá porque el software instalado en los recursos de la plataforma tecnológica cumpla
con los requerimientos legales y de licenciamiento aplicables.

 El Área de Tecnología y Sistemas de Información deberá garantizar que todo el software que se ejecute los
activos de información del DAPRE esté protegido por derechos de autor y requiera licencia de uso o, sea
software de libre distribución y uso.

 Los usuarios y/o funcionarios del DAPRE deben cumplir con las leyes de derechos de autor y acuerdos de
licenciamiento de software, se recuerda que es ilegal duplicar software, duplicar documentación sin la
autorización del propietario bajo los principios de derechos de autor y, la reproducción no autorizada es una
violación a la ley.

 El DAPRE protegerá y retendrá los registros de información de acuerdo al Manual de Gestión Documental
G-GD-01, a la Guía de Clasificación de la Información G-GD-02.

 El Área Tecnología y Sistemas de Información realizará el procedimiento de back up los registros alojados
en los sistemas de información.

 El DAPRE implementará los lineamientos para asegurar la privacidad y protección de datos personales,
definiendo claramente los deberes en las actividades de recolección, procesamiento y transmisión de los
mismos.

 Las Dependencias del Departamento Administrativo de la Presidencia que tratan con datos personales de
funcionarios, proveedores, contratistas, u otras personas deben obtener la autorización para el tratamiento
de datos personales que permita recolectar, transferir, almacenar, usar, circular, suprimir, compartir,
actualizar y transmitir dichos datos personales en el desarrollo de las actividades de la Entidad, así mismo
los Jefes de dependencias deben asegurar que tendrán acceso a los datos personales únicamente los
funcionarios que tengan una necesidad laboral legitima.

 El DAPRE a través del Área Tecnología y Sistemas de Información debe implementar métodos y
herramientas que permitan proteger la información personal de los funcionarios, proveedores u otras
terceras partes almacenada en bases de datos o cualquier otro tipo de almacenamiento o repositorio
previniendo su divulgación, alteración o eliminación sin la autorización.

51
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

5.1.37. Política de Revisiones de Seguridad de la Información

Objetivo:
Garantizar el funcionamiento del sistema de gestión de seguridad de la información de acuerdo a las políticas y
procedimientos implementados en el DAPRE.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan

Directrices:

 El DAPRE planeará y realizará auditorias con personal externo a la entidad al sistema de gestión de
seguridad de la información, para la verificación y cumplimiento de objetivos, controles, políticas y
procedimientos de seguridad de la Información.

 Los Altos Directivos, Altos Consejeros, Consejeros Presidenciales, Directores, Secretarios, Jefes de Oficina,
Jefes de Área, deben verificar y supervisar el cumplimiento de las políticas de seguridad de la información
en su área de responsabilidad.

 El DAPRE asignará un funcionario para realizar revisiones esporádicas no programadas con el fin verificar
el cumplimiento de las políticas de seguridad de la información en las instalaciones de gobierno

 El Área Tecnología y Sistemas de Información debe establecer el procedimiento para revisar periódicamente
los sistemas de información con el herramientas automáticas y especialistas técnicos.

5.1.38. Políticas específicas para usuarios del DAPRE.

Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información del DAPRE por parte de los
usuarios de la entidad.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El DAPRE suministra una cuota de almacenamiento de la información en un servidor de archivos con los
permisos necesarios para que cada usuario guarde la información que crea importante y sobre ella se
garantizará la disponibilidad en caso de un daño en el equipo asignado, esta información será guardada
durante un máximo de 2 años; es de aclarar que el usuario final deberá copiar la información necesaria en
la carpeta destinada para este fin (“Mi Arbolito”) la cual tiene un acceso directo en el escritorio del PC.
52
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 El DAPRE instalará copia de los programas que han sido adquiridos legalmente en los equipos asignados
en las cantidades requeridas para suplir las necesidades. El uso de programas sin su respectiva licencia y
autorización del DAPRE (imágenes, vídeos, software o música), obtenidos a partir de otras fuentes (internet,
dispositivos de almacenamiento externo), puede implicar amenazas legales y de seguridad de la información
para la entidad, por lo que ésta práctica no está autorizada.

 Todo el software usado en la plataforma tecnológica del DAPRE debe tener su respectiva licencia y acorde
con los derechos de autor.

 El DAPRE no se hace responsable por las copias no autorizadas de programas instalados o ejecutados en
los equipos asignados a sus funcionarios o contratistas.

 El uso de dispositivos de almacenamiento externo (dispositivos móviles, DVD, CD, memorias USB, agendas
electrónicas, celulares, etc.) pueden ocasionalmente generar riesgos para la entidad al ser conectados a los
computadores, ya que son susceptibles de transmisión de virus informáticos o pueden ser utilizados para la
extracción de información no autorizada. Para utilizar dispositivos de almacenamiento externo se debe
obtener aprobación formal e individual de la Subdirección de Operaciones del DAPRE.

 Los programas instalados en los equipos, son de propiedad del DAPRE, la copia no autorizada de
programas o de su documentación, implica una violación a la política general del DAPRE. Aquellos
funcionarios, contratistas o demás colaboradores que utilicen copias no autorizadas de programas o su
respectiva documentación, quedarán sujetos a las acciones disciplinarias establecidas por el DAPRE o las
sanciones que especifique la ley.

 El DAPRE se reserva el derecho de proteger su buen nombre y sus inversiones en hardware y software,
fomentando controles internos para prevenir el uso o la realización de copias no autorizadas de los
programas de propiedad de la entidad. Se incluirá valoraciones periódicas del uso de los programas,
auditorías anunciadas y no anunciadas.

 Los recursos tecnológicos y de software asignados a los funcionarios del DAPRE son responsabilidad de
cada funcionario.

 Los usuarios son los responsables de la información que administran en sus equipos personales y deben
abstenerse de almacenar en ellos información institucional, de acuerdo con la guía de clasificación de la
información.

 Los usuarios solo tendrán acceso a los datos y recursos autorizados por el DAPRE, y serán responsables
disciplinaria y legalmente de la divulgación no autorizada de esta información.

 Es responsabilidad de cada usuario proteger la información que está contenida en documentos, formatos,
listados, etc., los cuales son el resultado de los procesos informáticos; adicionalmente se deben proteger
los datos de entrada de estos procesos.

 Los dispositivos electrónicos (computadores, impresoras, fotocopiadoras, escáner, etc.) solo deben
utilizarse para los fines autorizados por la entidad.

53
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Cualquier evento o posible incidente que afecte la seguridad de la información, debe ser reportado
inmediatamente a la mesa de ayuda (PUC – Punto Único de Contacto) del Área de Tecnología y Sistemas
de la Información del DAPRE o al CSIRT (Computer Security Incident Response) Equipo de respuesta a
incidentes de seguridad informática.

 Los jefes de las diferentes áreas del DAPRE, en conjunto con el comité de seguridad de la Información
propiciarán actividades para concienciar al personal sobre las precauciones necesarias que deben realizar
los usuarios finales, para evitar revelar información confidencial cuando se hace una llamada telefónica, que
pueda ser interceptada mediante acceso físico a la línea o al auricular o ser escuchada por personas que
se encuentren cerca. Lo anterior debe aplicar también cuando el funcionario, contratista o colaborador se
encuentre en sitios públicos como restaurantes, transporte público, ascensores, etc.

 Los datos de los sistemas de información y aplicaciones no deben intercambiarse utilizando archivos
compartidos en los computadores, discos virtuales, CD, DVD, medios removibles; deben usarse los mismos
servicios del sistema de información, los cuales están controlados y auditados.

5.1.39. Política de retención y archivo de datos.

Objetivo:
Mantener la integridad y disponibilidad de la información y de los servicios de procesamiento de información.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 La política de retención de archivos debe establecer cuánto tiempo se deben mantener almacenados los
archivos en el DAPRE de acuerdo a las tablas de retención documental.

 Las reglas y los principios generales que regulan la función archivística del Estado, se encuentran definidos
por la Ley, la cual es aplicable a la administración pública en sus diferentes niveles producidos en función
de su misión y naturaleza.

 La ley prevé el uso de las tecnologías de la información y las comunicaciones en la administración,


conservación de archivos y en la elaboración e implantación de programas de gestión de documentos.

5.1.40. Política de uso de mensajería instantánea y redes sociales.

Objetivo:
Definir las pautas generales para asegurar una adecuada protección de la información de la Presidencia de la
República, en el uso del servicio de mensajería instantánea y de las redes sociales, por parte de los usuarios
autorizados.
54
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

 El uso de servicios de mensajería instantánea y el acceso a redes sociales estarán autorizados solo para
un grupo reducido de usuarios, teniendo en cuenta sus funciones y para facilitar canales de comunicación
con la ciudadanía.

 No se permite el envío de mensajes con contenido que atente contra la integridad de las personas o
instituciones o cualquier contenido que represente riesgo de código malicioso.

 La información que se publique o divulgue por cualquier medio de Internet, de cualquier funcionario,
contratista o colaborador del DAPRE, que sea creado a nombre personal en redes sociales como: twitter®,
facebook®, youtube® likedink®, blogs, instaram, etc, se considera fuera del alcance del SGSI y por lo tanto
su confiabilidad, integridad y disponibilidad y los daños y perjuicios que pueda llegar a causar serán de
completa responsabilidad de la persona que las haya generado.

 Toda información distribuida en las redes sociales que sean originadas por la entidad deben ser autorizadas
por los jefes de área para ser socializadas y con un vocabulario institucional.

 No se debe utilizar el nombre de la entidad en las redes sociales para difamar o afectar la imagen y
reputación de los seguidores cuando responden comentarios en contra de la filosofía de la institución.

5.1.41. Política de tratamiento de datos personales

Objetivo: Establecer los lineamientos para administración y tratamiento de datos personales en el Departamento
Administrativo de la Presidencia de la República.

Aplicabilidad:
Estas son políticas que aplican a la Alta Dirección, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de Área, funcionarios, contratistas, y en general a todos los usuarios de la
información que cumplan con los propósitos generales del DAPRE.

Directrices:

Finalidades y tratamiento al cual serán sometidos los datos personales: Los datos personales que el DAPRE
recolecte, almacene, use, circule y suprima, serán utilizados para alguna de las siguientes finalidades:

 En relación con la naturaleza y las funciones propias del DAPRE: El Tratamiento de los datos se
realizará con la finalidad de obtener y generar datos históricos, estadísticas en cumplimiento a la naturaleza
de las funciones del DAPRE.

 En relación con el funcionamiento del DAPRE


55
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Recurso Humano:

El Tratamiento de los datos se realizará para la vinculación, desempeño de funciones o prestación de


servicios, retiro o terminación, (incluye, entre otros, funcionarios, exfuncionarios, judicantes, practicantes y
aspirantes a cargos).

 Proveedores y Contratistas:

El Tratamiento de los datos se realizará para los fines relacionados con el desarrollo el proceso de gestión
contractual de productos o servicios que la entidad requiera para su funcionamiento de acuerdo a la
normatividad vigente.

 Seguridad en instalaciones del DAPRE


El Tratamiento se realizará para seguridad de las personas, los bienes e instalaciones de gobierno bajo la
responsabilidad del DAPRE.

 Derechos de los titulares:

 Conocer, actualizar y rectificar sus datos personales frente al responsable y encargado del
tratamiento. Este derecho se podrá ejercer entre otros ante datos parciales, inexactos, incompletos,
fraccionados, que induzcan a error, o aquellos cuyo tratamiento esté expresamente prohibido o no
haya sido autorizado.

 Solicitar prueba de la autorización otorgada al DAPRE como responsable y encargado del


tratamiento, salvo cuando expresamente se exceptúe como requisito para el Tratamiento, de
conformidad con lo previsto en el artículo 10 de la Ley 1581 de 2012.

 Ser informado por el DAPRE como responsable del tratamiento y encargado del tratamiento, previa
solicitud, respecto del uso que le ha dado a los datos personales del Titular.

 Presentar ante el DAPRE quejas por infracciones a lo dispuesto en la Ley 1581 de 2012 y las
demás normas que la modifiquen, adicionen o complementen.

 Revocar la autorización y/o solicitar la supresión del dato personal cuando en el tratamiento no se
respeten los principios, derechos y garantías constitucionales y legales. La revocatoria y/o
supresión procederá cuando el DAPRE haya determinado que en el tratamiento el responsable o
encargado han incurrido en conductas contrarias a la Ley 1581 de 2012 y a la Constitución.

 Acceder en forma gratuita a sus datos personales que hayan sido objeto de tratamiento.

 Datos sensibles:

El Titular tiene derecho a optar por no suministrar cualquier información sensible solicitada por el DAPRE,
relacionada, entre otros, con datos sobre su origen racial o étnico, la pertenencia a sindicatos,
organizaciones sociales o de derechos humanos, convicciones políticas, religiosas, de la vida sexual,
biométricos o datos de salud.

56
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Datos de menores de edad:

El suministro de los datos personales de menores de edad es facultativo y debe realizarse con autorización
de los padres de familia o representantes legales del menor.

 Autorización del titular:

Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa,
expresa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de
consulta y verificación posterior.

 Casos en que no se requiere la autorización:

La autorización del Titular no será necesaria cuando se trate de:

 Información requerida por el DAPRE en ejercicio de sus funciones legales o por orden judicial.

 Datos de naturaleza pública.

 Casos de urgencia médica o sanitaria.

 Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos.

 Datos relacionados con el Registro Civil de las Personas.

 Atención de peticiones, consultas y reclamos:

Para realizar peticiones, consultas o reclamos con el fin de ejercer los derechos a conocer, actualizar,
rectificar, suprimir los datos o revocar la autorización otorgada, el Titular o sus causahabientes pueden
utilizar cualquiera de los siguientes canales de comunicación:

Dirección: Calle 7 No 6 - 54, Bogotá D.C., Colombia.


Horario de atención: De lunes a viernes en el horario de atención al público (8:15 AM a 5:45 PM)
Conmutador: Tel: (571) 5629300
Correo electrónico: contacto@presidencia.gov.co

 Procedimiento para ejercer los derechos:

 Consultas

Se absolverán en un término máximo de diez (10) días hábiles contados a partir de la fecha de su recibo.

Cuando no fuere posible responder la consulta dentro de dicho término, se informará al interesado antes
del vencimiento de los 10 días, expresando los motivos de la demora y señalando la fecha en que se
atenderá su solicitud, la cual en ningún caso podrá superar los cinco (5) días hábiles siguientes al
vencimiento del primer plazo.

57
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Reclamos

Los Titulares o sus causahabientes que consideren que la información contenida en una base de datos de
la entidad debe ser objeto de corrección, actualización o supresión, o que adviertan el presunto
incumplimiento de cualquiera de los deberes contenidos en la Ley 1581 de 2012, podrán presentar un
reclamo ante el DAPRE, a través de cualquiera de los canales de comunicación descritos anteriormente; y
éste deberá contener la siguiente información:

 Nombre e identificación del Titular

 La descripción precisa y completa de los hechos que dan lugar al reclamo

 La dirección física o electrónica para remitir la respuesta e informar sobre el estado del trámite
 Los documentos y demás pruebas que se pretendan hacer valer.

En caso de que el DAPRE no sea competente para resolver el reclamo presentado ante la misma, dará
traslado a quien corresponda en un término máximo de dos (2) días hábiles e informará de la situación al
interesado.

Si el reclamo resulta incompleto, el DAPRE requerirá al interesado dentro de los cinco (5) días siguientes a
su recepción para que subsane las fallas. Transcurridos dos (2) meses desde la fecha del requerimiento,
sin que el peticionario presente la información solicitada, se entenderá que ha desistido de aquél.

Una vez recibido el reclamo completo, el DAPRE incluirá en la respectiva base de datos una leyenda que
diga “reclamo en trámite” y el motivo del mismo, en un término no mayor a dos (2) días hábiles. Dicha
leyenda se mantendrá hasta que el reclamo sea decidido.

El término máximo para atender el reclamo será de quince (15) días hábiles contados a partir del día
siguiente a la fecha de su recibo, y si no fuere posible responder en dicho término, el DAPRE informará al
interesado los motivos de la demora y la fecha en que aquél se atenderá, sin llegar a superar, en ningún
caso, los ocho (8) días hábiles siguientes al vencimiento del primer término.

 Fecha de entrada en vigencia de la política de tratamiento de la información y periodo de vigencia


de las bases de datos del DAPRE:

La presente política rige a partir de su expedición y las bases de datos sujetas a tratamiento se mantendrán
vigentes mientras ello resulte necesario para las finalidades establecidas en el punto 2 de la misma.

5.2. Procedimientos que apoyan la Política de Seguridad

Los procedimientos son uno de los elementos dentro de la documentación del Manual de la Política de Seguridad
para las Tecnologías de la Información y las comunicaciones. Un procedimiento describe de forma más detallada lo
que se hace en las actividades de un proceso, en él, se especifica cómo se deben desarrollar las actividades, cuáles
son los recursos, el método y el objetivo que se pretende lograr o el valor agregado que genera y caracteriza el
proceso.

58
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

También es recomendable el uso de instructivos para detallar aún más las tareas y acciones puntuales que se deben
desarrollar dentro de un procedimiento, como son los instructivos de trabajo y de operación; los primeros para la
ejecución de la tarea por la persona y los segundos para la manipulación o la operación de un equipo.

Los usuarios del DAPRE pueden consultar las descripciones detalladas de cada procedimiento a través del sistema
integrado de gestión SIGEPRE o en el Área de Tecnología y Sistemas de Información del DAPRE.

5.2.1. Procedimiento de control de documentos

Garantiza que la organización cuente con los documentos estrictamente necesarios a partir de su perfil de actuación
en cada momento y maneja la dinámica del mejoramiento, mostrando la realidad que atraviesa la entidad en cada
momento, porque incorpora la eficacia de las diferentes acciones, a través de la revisión documental y del
cumplimiento de los requisitos idénticos en los diferentes modelos de gestión, sobre el control de documentos. Así
mismo, busca garantizar que los documentos en uso, sean confiables y se mantengan actualizados, una vez se
evidencie la eficacia de las acciones correctivas, preventivas y de mejora que hacen que los procesos se ajusten y
evolucionen; de igual manera que los documentos existentes en el momento de la evaluación y comprobación del
cambio que se implementó como solución a un problema, riesgo o a una oportunidad se conserven.

De acuerdo a la correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-ISO 9001 y las normas
NTC-ISO 9001 y NTC-ISO 27001 se utiliza la Guía de Apoyo para Caracterización de Procesos y Procedimiento de
Generación y Control de Documentos, Proceso Direccionamiento Estratégico, Ver M-DE-02 Manual del SIGEPRE.
Ver G-DE-01 Guía para la Elaboración y Control de Documentos. Ver P-DE-05 Generación y Control de
Documentos del SIGEPRE.

5.2.2. Procedimiento de control de registros

Está definido para evidenciar las acciones realizadas y los resultados obtenidos en la ejecución de las actividades,
con el fin de analizar los datos, y lo que es más importante, para la toma de decisiones, de tal forma que registro que
no aporta valor o no lleva a una decisión de mejora o de acción, no se debe tener en el sistema, ya que lo único que
haría es desgastar a la organización y generar residuos sólidos como papel mal utilizado.

De acuerdo a la correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-ISO 9001 y NTC-ISO 27001 se utiliza el Procedimiento de control de registros. Proceso gestión documental.
Ver M-DE-02 Manual del SIGEPRE. Ver procedimiento P-GD-08 Control de registros.

5.2.3. Procedimiento de auditoría interna

La auditoría interna es una herramienta para la alta dirección, en el momento de determinar la eficacia y la eficiencia
del sistema de gestión, a través de la identificación de las fortalezas y debilidades. Esta es la razón por la cual se
recomienda siempre realizar auditorías internas antes de llevar a cabo la revisión gerencial, ya que para esta última
se requiere información sobre el sistema y los procesos, de tal manera que se pueda evaluar la adecuación, la
conveniencia y la eficacia del sistema de gestión.

59
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

Se hacen auditorias para evaluar la conformidad con las políticas de la organización, para evaluar el nivel de
implementación del sistema de gestión, para evaluar el estado de mantenimiento y la capacidad de mejoramiento
del sistema de gestión.

De acuerdo a la correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-IS09001 y NTC-IS027001 se utiliza el documento administración de auditorías internas al SIGEPRE. Proceso
evaluación control y mejoramiento. Ver M-DE-02 Manual del SIGEPRE. Ver procedimiento P-EM-01 Auditorías
internas.

5.2.4. Procedimiento de acción correctiva

El objetivo de este procedimiento es definir los lineamientos para eliminar la causa de no conformidades asociadas
con los requisitos de la política de seguridad del DAPRE, así como: definir los lineamientos para identificar, registrar,
controlar, desarrollar, implantar y dar seguimiento a las acciones correctivas necesarias para evitar que se repita la
no conformidad.

De acuerdo a la correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-IS09001 y NTC-IS027001 se utiliza el procedimiento de elaboración y seguimiento de planes de mejoramiento.

Proceso evaluación control y mejoramiento. Ver M-DE-02 Manual del SIGEPRE. Ver el P-EM-06 Procedimiento
de elaboración y seguimiento de planes de mejoramiento.

5.2.5. Procedimiento de acción preventiva

El objetivo de este procedimiento es definir los lineamientos para identificar, registrar, controlar, desarrollar, implantar
y dar seguimiento a las acciones preventivas generadas por la detección de una no conformidad real o potencial en
el sistema de gestión de seguridad de la información y eliminar sus causas.

De acuerdo a la correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-ISO 9001 y las normas
NTC-ISO 9001 y NTC-ISO 27001 se utiliza el procedimiento de elaboración y seguimiento de planes de
mejoramiento.

Proceso de evaluación, control y mejoramiento. Ver M-DE-02 Manual del SIGEPRE. Ver el P-EM-06 Procedimiento
de elaboración y seguimiento de planes de mejoramiento.

5.2.6. Procedimiento de revisión del Manual de Política de Seguridad

El objetivo de este procedimiento es el de revisar, por parte de la dirección o su representante, el Manual de la


Política para la Tecnología y Sistemas de Información - Tics del Departamento Administrativo de la Presidencia de
la República en intervalos planificados, para asegurar su conveniencia, eficiencia y eficacia continua.

60
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

De acuerdo a la correspondencia y vínculos técnicos entre las normas NTCGP1000 y NTC-ISO 9001 y las normas
NTC-ISO 9001 y NTC-ISO 27001 se utilizan los requisitos: 5.1.d Compromisos de la dirección y 5.6 Revisión por la
dirección del Manual Ver M-DE-02 Manual del SIGEPRE.

5.3. Gestión de los Incidentes de la Seguridad de la Información

Asegurar que los eventos e incidentes de seguridad que se presenten con los activos de información, sean
comunicados y atendidos oportunamente, empleando los procedimientos definidos, con el fin de que se tomen
oportunamente las acciones correctivas.

5.4. Proceso Disciplinario

Dentro de la estrategia de seguridad de la información del DAPRE, está establecido un proceso disciplinario formal
para los funcionarios que hayan cometido alguna violación de la Política de Seguridad de la Información. El proceso
disciplinario también se debería utilizar como disuasión para evitar que los funcionarios, contratistas y los otros
colaboradores del DAPRE violen las políticas y los procedimientos de seguridad de la información, así como para
cualquier otra violación de la seguridad. Las investigaciones disciplinarias corresponden a actividades pertenecientes
al proceso de gestión del Área de Talento Humano Ver P-TH-08 Procedimiento Disciplinario Ordinario. Ver M-
DE-02 Manual del SIGEPRE.

Actuaciones que conllevan a la violación de la seguridad de la información establecidas por el DAPRE:

 No firmar los acuerdos de confidencialidad o de entrega de información o de activos de información.


 Ingresar a carpetas de otros procesos, unidades, grupos o áreas, sin autorización y no reportarlo al punto
único de contacto o al CSIRT (Computer Security Incident Response) - Equipo de respuesta a incidentes
de seguridad informática.
 No reportar los incidentes de seguridad o las violaciones a las políticas de seguridad, cuando se tenga
conocimiento de ello.
 No actualizar la información de los activos de información a su cargo.
 Clasificar y registrar de manera inadecuada la información, desconociendo los estándares establecidos para
este fin.
 No guardar de forma segura la información cuando se ausenta de su puesto de trabajo o al terminar la
jornada laboral, “documentos impresos que contengan información pública reservada, información pública
clasificada (privada o semiprivada)”.
 No guardar la información digital, producto del procesamiento de la información perteneciente al DAPRE.
 Dejar información pública reservada, en carpetas compartidas o en lugares distintos al servidor de archivos,
obviando las medidas de seguridad.
 Dejar las gavetas abiertas o con las llaves puestas en los escritorios,
 Dejar los computadores encendidos en horas no laborables.
 Permitir que personas ajenas al DAPRE, deambulen sin acompañamiento, al interior de las instalaciones,
en áreas no destinadas al público.
 Almacenar en los discos duros de los computadores personales de los usuarios, la información de la entidad.
 Solicitar cambio de contraseña de otro usuario, sin la debida autorización del titular o su jefe inmediato.

61
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Hacer uso de la red de datos de la institución, para obtener, mantener o difundir en los equipos de sistemas,
material pornográfico (penalizado por la ley) u ofensivo, cadenas de correos y correos masivos no
autorizados.
 Utilización de software no relacionados con la actividad laboral y que pueda degradar el desempeño de la
plataforma tecnológica institucional.
 Recepcionar o enviar información institucional a través de correos electrónicos personales, diferentes a los
asignados por la institución.
 Enviar información pública reservada o información pública clasificada (privada o semiprivada) por correo,
copia impresa o electrónica sin la debida autorización y sin la utilización de los protocolos establecidos para
la divulgación.
 Utilizar equipos electrónicos o tecnológicos desatendidos o que a través de sistemas de interconexión
inalámbrica, sirvan para transmitir, recepcionar y almacenar datos.
 Usar dispositivos de almacenamiento externo en los computadores, cuya autorización no haya sido otorgada
por el Área de Tecnología y Sistemas de Información del DAPRE.
 Permitir el acceso de funcionarios a la red corporativa, sin la autorización Área de Tecnología y Sistemas
de Información del DAPRE.
 Utilización de servicios disponibles a través de internet, como FTP y Telnet, no permitidos por el DAPRE o
de protocolos y servicios que no se requieran y que puedan generar riesgo para la seguridad.
 Negligencia en el cuidado de los equipos, dispositivos portátiles o móviles entregados para actividades
propias del DAPRE.
 No cumplir con las actividades designadas para la protección de los activos de información del DAPRE.
 Destruir o desechar de forma incorrecta la documentación institucional.
 Descuidar documentación con información pública reservada o clasificada de la entidad, sin las medidas
apropiadas de seguridad que garanticen su protección.
 Registrar información pública reservada o clasificada, en pos-it, apuntes, agendas, libretas, etc. Sin el
debido cuidado.
 Almacenar información pública reservada o clasificada, en cualquier dispositivo de almacenamiento que no
permanezca al DAPRE o conectar computadores portátiles u otros sistemas eléctricos o electrónicos
personales a la red de datos de DAPRE, sin la debida autorización.
 Archivar información pública reservada o clasificada, sin claves de seguridad o cifrado de datos.
 Promoción o mantenimiento de negocios personales, o utilización de los recursos tecnológicos del DAPRE
para beneficio personal.
 El que sin autorización acceda en todo o parte del sistema informático o se mantenga dentro del mismo en
contra de la voluntad del DAPRE.
 El que impida u obstaculice el funcionamiento o el acceso normal al sistema informático, los datos
informáticos o las redes de telecomunicaciones del DAPRE, sin estar autorizado.
 El que destruya, dañe, borre, deteriore o suprima datos informáticos o un sistema de tratamiento de
información del DAPRE.
 El que distribuya, envíe, introduzca software malicioso u otros programas de computación de efectos
dañinos en la plataforma tecnológica del DAPRE.
 El que viole datos personales de las bases de datos del DAPRE.
 El que superando las medidas de seguridad informática suplante un usuario ante los sistemas de
autenticación y autorización establecidos por el DAPRE.
 No mantener la confidencialidad de las contraseñas de acceso a la red de datos, los recursos tecnológicos
o los sistemas de información del DAPRE o permitir que otras personas accedan con el usuario y clave del
titular a éstos.
62
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

 Permitir el acceso u otorgar privilegios de acceso a las redes de datos del DAPRE a personas no
autorizadas.
 Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a cualquier computador
del DAPRE o de terceros.
 Ejecutar acciones tendientes a eludir o variar los controles establecidos por el DAPRE.
 Retirar de las instalaciones de la institución, estaciones de trabajo o computadores portátiles que contengan
información institucional sin la autorización pertinente.
 Sustraer de las instalaciones del DAPRE, documentos con información institucional calificada como
información pública reservada o clasificada, o abandonarlos en lugares públicos o de fácil acceso.
 Entregar, enseñar y divulgar información institucional, calificada como información pública reservada y
clasificada a personas o entidades no autorizadas.
 No realizar el borrado seguro de la información en equipos o dispositivos de almacenamiento del DAPRE,
para traslado, reasignación o para disposición final.
 Ejecución de cualquier acción que pretenda difamar, abusar, afectar la reputación o presentar una mala
imagen del DAPRE o de alguno de sus funcionarios.
 Realizar cambios no autorizados en la plataforma tecnológica del DAPRE.
 Acceder, almacenar o distribuir pornografía infantil.
 Instalar programas o software no autorizados en las estaciones de trabajo o equipos portátiles
institucionales, cuyo uso no esté autorizado por el Área de Tecnología y Sistemas de Información del
DAPRE.
 Copiar sin autorización los programas del DAPRE, o violar los derechos de autor o acuerdos de
licenciamiento.

5.5. Gestión de la Continuidad del Negocio

Es el conjunto de procedimientos y estrategias definidos para contrarrestar las interrupciones en las actividades
misionales de la entidad, para proteger sus procesos críticos contra fallas mayores en los sistemas de información o
contra desastres y asegurar que las operaciones se recuperen oportuna y ordenadamente, generando un impacto
mínimo o nulo ante una contingencia.

Prevenir interrupciones en las actividades de la plataforma informática del DAPRE que van en detrimento de los
procesos críticos de TI afectados por situaciones no previstas o desastres.

Se debe desarrollar e implantar un Plan de Continuidad para asegurar que los procesos misionales de TI del DAPRE
podrán ser restaurados dentro de escalas de tiempo razonables.

El DAPRE deberá tener definido un plan de acción que permita mantener la continuidad del negocio teniendo en
cuenta los siguientes aspectos:

 Identificación y asignación de prioridades a los procesos críticos de TI del DAPRE de acuerdo con su
impacto en el cumplimiento de la misión de la entidad.
 Documentación de la estrategia de continuidad del negocio.
 Documentación del plan de recuperación del negocio de acuerdo con la estrategia definida anteriormente.
 Plan de pruebas de la estrategia de continuidad del negocio.

63
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

La continuidad del negocio deberá ser gestionada por la Subdirección del DAPRE.

La alta dirección del DAPRE será la responsable de velar por la implantación de las medidas relativas a ésta.
Igualmente, es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.

La alta dirección del Departamento, se encargará de la definición y actualización de las normas, políticas,
procedimientos y estándares relacionados con la continuidad del negocio, igualmente velará por la implantación y
cumplimiento de las mismas.

5.6. Cumplimiento

Los diferentes aspectos contemplados en este Manual son de obligatorio cumplimiento para todos los funcionarios,
personal en comisión permanente, contratistas y otros colaboradores del DAPRE. En caso de que se violen las
políticas de seguridad ya sea de forma intencional o por negligencia, el DAPRE tomará las acciones disciplinarias y
legales correspondientes.

El Manual de la Política de Seguridad de la Información debe prevenir el incumplimiento de las leyes, estatutos,
regulaciones u obligaciones contractuales que se relacionen con los controles de seguridad.

5.7. Controles

El Manual de la Política de Seguridad de la Información del DAPRE esta soportado en un conjunto de procedimientos
que se encuentran documentados en archivos complementarios a este manual. Los usuarios de los servicios y
recursos de tecnología del DAPRE pueden consultar los procedimientos a través del Área de Tecnología y Sistemas
de Información y/o en el SIGEPRE.

5.8. Declaración de aplicabilidad

La Declaración de Aplicabilidad (Statement of Applicability - SOA) referenciado en el numeral 6.1.3d del estándar
ISO 27001 es un documento que lista los objetivos y controles que se van a implementar en la Entidad, así como las
justificaciones de aquellos controles que no van a ser implementados.

Para el caso específico del DAPRE, este tipo de análisis se hace evaluando el cumplimiento de la norma ISO 27002,
para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestión de la seguridad
de la información que este estándar especifica; y una vez se complete este análisis ya se puede realizar la
Declaración de aplicabilidad.

6. MARCO LEGAL

• Constitución Política de Colombia 1991. Artículo 15. Reconoce como Derecho Fundamental el
Habeas Data.
• Artículo 20. Libertad de Información.
64
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

• Código Penal Colombiano - Decreto 599 de 2000


• Ley 906 de 2004, Código de Procedimiento Penal.
• Ley 87 de 1993, por la cual se dictan Normas para el ejercicio de control interno en las entidades
y organismos del Estado, y demás normas que la modifiquen.
• Decreto 1599 de 2005, por el cual se adopta el Modelo Estándar de Control Interno MECI para el
Estado Colombiano.
• Ley 734 de 2002, del Congreso de la República de Colombia, Código Disciplinario Único.
• Ley 23 de 1982 de Propiedad Intelectual - Derechos de Autor.
• Ley 594 de 2000 - Ley General de Archivos.
• Ley 80 de 1993, Ley 1150 de 2007 y decretos reglamentarios.
• Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del
comercio electrónico y de las firmas digitales y se establecen las entidades de certificación y se
dictan otras disposiciones.
• Directiva presidencial 02 del año 2000, Presidencia de la República de Colombia, Gobierno en
línea.
• Ley 1032 de 2006, por el cual se dictan disposiciones generales del Habeas Data y se regula el
manejo de la información contenida en base de datos personales.
Ley 1266 de 2007, por la cual se dictan disposiciones generales del Habeas Data y se regula el
manejo de la información contenida en base de datos personales.
• Ley 1273 de 2009, "Delitos Informáticos" protección de la información y los datos.
• Ley 1437 de 2011, "Código de procedimiento administrativo y de lo contencioso administrativo".
• Ley 1581 de 2012, "Protección de Datos personales".
• Decreto 2609 de 2012, por la cual se reglamenta la ley 594 de 200 y ley 1437 de 2011
• Decreto 1377 de 2013, por la cual se reglamenta la ley 1581 de 2012
• Ley 1712 de 2014, “De transparencia y del derecho de acceso a la información pública nacional”
• Ley 962 de 2005. “Simplificación y Racionalización de Trámite. Atributos de seguridad en la
Información electrónica de entidades públicas;”
• Ley 1150 de 2007. “Seguridad de la información electrónica en contratación en línea”
• Ley 1341 de 2009. “Tecnologías de la Información y aplicación de seguridad”.
• Decreto 2952 de 2010. “Por el cual se reglamentan los artículos 12 y 13 de la Ley 1266 de
2008”
• Decreto 886 de 2014. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”
• Decreto 1083 de 2015. “Por el cual se reglamenta el artículo 25 de la Ley 1581 de 2012”
• CONPES 3701 de 2011 Lineamientos de Política para Ciberseguridad y Ciberdefensa
• CONPES 3854 de 2016 Política Nacional de Seguridad digital.

7. REQUISITOS TÉCNICOS

• Norma Técnica Colombiana NTC/ISO 27001:2013 Sistemas de gestión de la seguridad de la


información
• Norma Técnica Colombiana NTC/ISO 17799 Código de práctica para la gestión de la seguridad de
la información.
65
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN

Proceso asociado: Tecnologías de Información y Comunicaciones Código: M-TI-01 Versión 07

• ISO/lEC 27005 Information technology Systems- Security techniques- information security risk
management.
• Modelo Estándar de Control Interno MECI 1000 2da versión "Subsistema:
• Control de Gestión; Componente: Actividades de Control; Elemento: Monitoreo y
• Revisión e Información"
• Norma Técnica Colombiana NTC - ISO 19011 "Directrices para la Auditoria de los Sistemas de
Gestión de la Calidad y/o Ambiental"

8. DOCUMENTOS ASOCIADOS

Pueden ser consultados en el SIGEPRE

9. RESPONSABLE DEL DOCUMENTO

Jefe Área de Tecnología y Sistemas de Información

66