LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE INFORMACIÓN

1. OBJETIVO

Establecer los lineamientos para la protección de la información a transferir al interior y

exterior de la CGR.

2. ALCANCE

Estos lineamientos deben ser aplicados por todos los funcionarios, contratistas, pasantes,
personal en comisión, de la Contraloria General de la República, órganos de control,
sujetos de control entre otros .

3. TÉRMINOS Y DEFINICIONES

Activo: Según [ISO/lEC 13335-1: 2004] Cualquier cosa que tiene valor para la
organización. También se entiende por cualquier información o sistema relacionado con el
tratamiento de la misma que tenga valor para la organización.

Es todo activo que contiene información, la cual posee un valor y es necesaria para
realizar los procesos misionales y operativos de la CGR. Se pueden clasificar de la
siguiente manera:

Datos: Son todos aquellos elementos básicos de la información (en cualquier formato)
que se generan, recogen, gestionan, transmiten y destruyen en la CGR. Ejemplo: archivo
de Word “listado de personal.docx”

Aplicaciones: Es todo el software que se utiliza para la gestión de la información.

Ejemplo: SIGECI.

Personal: Es todo el personal de la CGR, el personal subcontratado, los clientes,

usuarios y en general, todos aquellos que tengan acceso de una manera u otra a los
activos de información de la CGR. Ejemplo: Pedro Pérez.

Servicios: Son tanto los servicios internos, aquellos que una parte de la organización
suministra a otra, como los externos, aquellos que la organización suministra a clientes y
usuarios. Ejemplo: Publicación de hojas de vida, solicitud de vacaciones.

Tecnología: Son todos los equipos utilizados para gestionar la información y las
comunicaciones Ejemplo: equipo de cómputo, teléfonos, impresoras. -Instalaciones: Son
todos los lugares en los que se alojan los sistemas de información. Ejemplo: Oficina
Pagaduría.

Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de
información y que no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo:
Aire acondicionado, destructora de papel.

Alcance: Ámbito de la organización que queda sometido al Sistema de Gestión de

Seguridad de la Información -SGSI. Debe incluir la identificación clara de las
dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte de
la organización.
Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o
sistema.

Autenticidad: Los activos de información solo pueden estar disponibles verificando la

identidad de un sujeto o recurso, es la propiedad que garantiza que la identidad de un
sujeto o recurso es la que declara y se aplica a entidades tales como usuarios, procesos,
sistemas de información

Características de la Información: las principales características desde el enfoque de la

seguridad de la información son: confidencialidad, disponibilidad e integridad.

Clausulas: Condiciones de un ejercicio contractual entre dos entidades de naturaleza

pública o privada.

Confiabilidad: Se puede definir como la capacidad de un producto de realizar su función

de la manera prevista, De otra forma, la confiabilidad se puede definir también como la
probabilidad en que un producto realizará su función prevista sin incidentes por un
período de tiempo especificado y bajo condiciones indicadas.

Confidencialidad: Acceso a la información por parte únicamente de quienes estén

autorizados, Según [ISO/lEC 13335-1: 2004]: "característica/propiedad por la que la
información no está disponible o revelada a individuos, entidades, o procesos no
autorizados”.

Control: son todas aquellas políticas, procedimientos, prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la información por
debajo del nivel de riesgo asumido, (Nota: Control es también utilizado como sinónimo de
salvaguarda).

Información: La información constituye un importante activo, esencial para las

actividades de una organización y, en consecuencia, necesita una protección adecuada.
La información puede existir de muchas maneras, es decir, puede estar impresa o escrita
en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por
medios electrónicos, se la puede mostrar en videos, o exponer oralmente en
conversaciones.

Política de seguridad: Documento que establece el compromiso de la Dirección y el

enfoque de la organización en la gestión de la seguridad de la información. Según
[ISO/lEC27001: 2013): intención y dirección general expresada formalmente por la
Dirección.

Transferencia de información: Es la transmisión de información en medio físico y/o

digital entre organizaciones, con el fin de automatizar servicios.

Vulnerabilidad: Debilidad en la seguridad de la información de una organización que

potencialmente permite que una amenaza afecte a un activo. Según [ISO/lEC 13335-1:
2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una
amenaza.
 4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES

La Entidad realizará transferencia de información con organizaciones gubernamentales y

privadas, basados en la necesidad de la Entidad que permita automatizar servicios,
fortaleciendo la gestión de la CGR.

La Entidad generará acuerdos de transferencia de información, previa solicitud a la

Dirección de Información, Análisis y Reacción Inmediata.

La transferencia de información deberá determinarse a través de un convenio

interadministrativo o contrato, el acuerdo de transferencia debe realizarse siguiendo lo
establecido en el Manual de Contratación de la CGR.

La transferencia de información al interior de la Entidad se realizará a través de los

medios oficiales de comunicación.

4.1. Transferencia de información en medio físico

La transferencia en medios físicos se realizará de acuerdo a lo establecido por la Entidad
en el Manual de Gestión Documental.

4.2. Transferencia de información digital

La elaboración de las condiciones y estudios previos para el convenio interadministrativo
o contrato para el acuerdo de transferencia de información digital con entidades u
organizaciones externas deberá realizarse de acuerdo al procedimiento Estudios previos
para contratación directa.

4.3. Características mínimas para la transferencia de información.

El acuerdo de transferencia de información con organizaciones deberá contener clausulas
donde se establezcan las herramientas a utilizar para asegurar la transferencia de
información.

Definir los mecanismos a utilizar para evitar la interceptación, copiado, modificación y/o
destrucción de información.

Especificar el método de enrutado y autenticación detallada para la transferencia de

información.

Establecer claramente en el acuerdo de transferencia de información, para conocer

quienes asumirán los costos de servicios y licenciamiento necesarios.

Incluir acuerdos de confidencialidad de la información, compromiso y reserva, el

cumplimiento de la normatividad vigente nacional e internacional para el tratamiento de la
información. ser

La Contraloria General de la Republica se reservará el derecho de suspender de manera

unilateral los servicios que hacen parte del objeto del acuerdo, así como la terminación
unilateral del mismo.
El acatamiento total de la política de seguridad de la información establecida por La
Contraloria General de la Republica, de obligatorio cumplimiento, el cual deberá ser
notificado y acatado por los funcionarios que tengan acceso a las actividades del acuerdo
de transferencia de información.

La transferencia de información digital será liderada por la Oficina de Sistemas e

Informática, con la coordinación de la Dirección de Información, Análisis y Reacción
Inmediata.

La Oficina de Sistemas e Informática, implementará las herramientas seguras para la

transferencia de información al interior de la Entidad.

La Oficina de Sistemas e Informática debe implementar las herramientas necesarias para

asegurar la transferencia de información al interior y exterior de la CGR, contra
interceptación, copiado, modificación, enrutado y destrucción.

La Oficina de Sistemas e Informática, deberá controlar las acciones para reenvío

automático de correo electrónico a direcciones de correo externo.

Los funcionarios de la CGR que traten temas o información clasificada como información
pública reservada o información pública clasificada (privada o semiprivada), lo deberán
hacer en lugares seguros y/o por medios de comunicación seguros establecidos por la
Entidad.

5. CARACTERÍSTICAS TÉCNICAS MINIMAS

Objetivo: Mantener la seguridad de la información transferida al interior o exterior de la

institución.

Descripción de Implementación: Se debe establecer la norma de comunicaciones

seguras, así como todos los procedimientos necesarios para su implementación, los que
deben incluir, al menos, lo siguiente:

1. Medidas de protección para la transferencia de información a través de cualquier

medio de comunicación, incluyendo los de transporte físico.

2. Medidas para la protección de la información transferida contra la intercepción,

copia, modificación y/o destrucción.

3. Medidas para la detección y protección contra el código malicioso que se pueda

transmitir por medios electrónicos, alineadas a la Política de Protección contra
Códigos Maliciosos.

4. Los lineamientos para el uso aceptable de los mecanismos de transferencia de

información, en relación a la Política de Responsabilidad por los Activos.

5. Uso de controles criptográficos para proteger la información transferida, alineado a

la Política de Controles Criptográficos.
 I. Mecanismos de cifrado para proteger la información de la institución (por
ejemplo, cifrado de discos duros, respaldos u otros).

II. Uso y gestión de firmas digitales en la institución, para la validez de las

comunicaciones e información para terceros.

III. Uso y gestión de certificados digitales en la institución, ya sea para firma

electrónica, firma electrónica avanzada u otros usos.

IV. Uso de mecanismos criptográficos para el establecimiento de canales

seguros para comunicaciones, tales como correo electrónico, VPN,
SSL/TLS (HTTPS), IPSec, SSHu otros, incluyendo el uso y gestión de
llaves y certificados digitales para estos fines.

V. Listado de algoritmos o protocolos criptográficos inseguros, y de uso

prohibido en las instituciones, salvo en caso de excepciones debidamente
justificadas por la autoridad competente. Este listado debe contener, al
menos, los siguientes:
a) MD4, MD5, SHA-1 individuales.
b) DES, 3DES.
c) RC4.
d) RSA o DSA con largo de llaves igual o inferior a 1024-bits.
e) Criptografía basada en curvas elípticas con largo de llaves igual o
inferior a 160-bits.
f) Cualquier tipo de algoritmo criptográfico “casero” o
implementaciones “caseras” de algoritmos criptográficos existentes.

VI. Uso de algoritmos o protocolos criptográficos seguros, para ser usados en

aseguramiento, cifrado y firma de correo, archivos, discos duros; debe
contener, al menos, los siguientes:
a) MD5 y SHA-1 conjuntos, SHA-256 o superior
b) RSA o DSA con largo de llaves igual o inferior a 2048-bits o
superior.
c) ECDSA algoritmo ed25519 o NIST P-256 o superior.
d) es necesario validar si Azure puede expedir certificados X.509 para
validación interna

6.Disponer de controles adicionales para los mensajes que no se puedan autenticar.