MINISTERIO DE MINAS Y ENERGIA

SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN – SGSI

POLITICAS DE SEGURIDAD DE LA INFORMACIÓN

JUNIO DE 2012

Página 1 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
 TABLA DE CONTENIDO

INTRODUCCIÓN .................................................................................................... 3
1. OBJETIVO .......................................................................................................... 4
2. ALCANCE ........................................................................................................... 5
3. DEFINICIONES ................................................................................................... 6
4. POLÍTICAS ......................................................................................................... 7
4.1 Título de la política General: Política General de Seguridad de la
Información ......................................................................................................... 7
4.2 Titulo de la política: Gestión de Seguridad de la Información GSI. ......... 7
4.3 Titulo de la política: Organización para la seguridad en información ..... 8
4.4 Título de la política: Propiedad de la información ..................................... 8
4.5 Título de la política: Gestión de Riesgos ................................................... 9
4.6 Título de la política: Gestión de activos de información .......................... 9
4.7 Título de la política: Responsabilidad frente a la seguridad .................. 10
4.8 Título de la política: Seguridad con el personal ...................................... 10
4.9 Título de la política: Seguridad física ....................................................... 11
4.10 Título de política: Administración de redes y computadores .............. 12
4.11 Título de política: Control de acceso ...................................................... 13
4.12 Título de política: Uso y protección de los recursos ............................ 13
4.13 Título de política: Adquisición, desarrollo y mantenimiento de
software............................................................................................................. 14
4.14 Título de política: Gestión de Incidentes................................................ 14
4.15 Título de la política: Continuidad del Negocio ....................................... 15
4.16 Título de la política: Cumplimiento de Normatividad Legal .................. 15
4.17 Título de la política: Manejo de Correo Electrónico .............................. 16
4.18 Título de la política: Manejo de Internet ................................................. 16

Página 2 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
INTRODUCCIÓN

Este documento recopila las Políticas de Seguridad de los Activos de Información

definidas por el Ministerio de Minas y Energía y por tanto es el núcleo principal
para la protección de la información en el Ministerio.

Las políticas expresadas en este documento son la base para la implantación de

normas y procedimientos, y así garantizar la seguridad de la información en el
Ministerio de Minas y Energía en los servicios administrados por el Grupo de
Tecnologías de Información y Comunicación en el marco del Sistema de Gestión
de Seguridad de la Información.

La implantación de nuevas herramientas de hardware y software, de sistemas de

información y de otros recursos de información deben cumplir con las políticas
definidas en este documento, con el objeto de proteger la información.
.

Página 3 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
 1. OBJETIVO

El Grupo de Tecnologías de Información y Comunicación del Ministerio de Minas y

Energía, basa la administración de Seguridad de los Activos de Información en las
políticas contenidas en este documento y por lo tanto, el mismo se constituye en
la normativa que regula toda la administración de la Seguridad de los Activos de
Información. Con su divulgación se busca que toda comunidad de servidores
públicos, contratistas, y directivos conozcan ese marco normativo para que de
forma individual y colectiva, brinden su apoyo para la administración, utilización y
disponibilidad de información con niveles adecuados de seguridad.

Este documento permite establecer las políticas sobre las cuales se debe
direccionar el desarrollo de la seguridad de información del Ministerio de Minas y
Energía y los principios de actuación de todo el personal que tenga acceso o
responsabilidades sobre la información en ésta entidad.

Página 4 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
 2. ALCANCE

Una política de seguridad es una regla de definición general, independiente de los

ambientes tecnológicos, que representa los objetivos sobre los que se sustenta
el Modelo de Seguridad de los Activos de Información. Debe cumplir con una
directriz de la entidad en general, debe revisarse y está sujeta a modificaciones
ante cambios estructurales.

Para la definición de estas políticas se ha buscado cubrir todos los aspectos

administrativos y de control que deben acatar tanto el Grupo de Tecnologías de
Información y Comunicación, responsable del aspecto tecnológico de Seguridad
de los Activos de Información como el resto de personal que labore para el
Ministerio de Minas y Energía, contratistas y entidades que utilizan los servicios
provistos por el Ministerio, con el fin de lograr un adecuado nivel de
confidencialidad, integridad, disponibilidad y auditabilidad en la infraestructura de
información.

El Ministerio de Minas y Energía debe dotar al Grupo de Tecnologías de

Información y Comunicación, encargado de la Seguridad de los Activos de
Información, de los recursos humanos y técnicos necesarios para llevar a cabo la
completa difusión y entendimiento de las políticas de Seguridad de los Activos de
Información, por parte de toda la entidad.

Éste documento aplica a todos los servidores públicos, contratistas y entidades

con acceso a información del Ministerio de Minas y Energía de los servicios
prestados por el Grupo de Tecnologías de Información y Comunicación.

Página 5 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
 3. DEFINICIONES

Información: Datos relacionados que tienen significado para la organización1.

Además, es un activo que, como otros activos importantes del negocio, es
esencial para las actividades de la organización y, en consecuencia, necesita una
protección adecuada2.

Seguridad de la información: Preservación de la confidencialidad, integridad y

disponibilidad de la información.

Confidencialidad: Aseguramiento de que la información es accesible sólo

para quienes están autorizados.
Integridad: Salvaguardia de la exactitud y completitud de la información y sus
métodos de procesamiento.
Disponibilidad: Aseguramiento de que los usuarios autorizados tengan
acceso a la información y sus recursos asociados cuando lo requieran.

1
Adaptado y traducido de Principles of Information Warfare. Hutchinson W, Warren M. Journal of
Information Warfare, 2005.
2 Tomado de NTC ISO/IEC 17799:2005
Página 6 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
 4. POLÍTICAS

4.1 Título de la política General: Política General de Seguridad de

la Información
El Ministerio de Minas y Energía reconoce la información como un activo
estratégico para el cumplimiento de su misión y por lo tanto se compromete a su
cuidado y manejo apropiado, a fin de identificar y mitigar los riesgos de la
información institucional, disponiendo herramientas y recursos requeridos para
ello.

4.2 Titulo de la política: Sistema de Gestión de Seguridad de la

Información SGSI.
El Ministerio de Minas y Energía estableció como mecanismo de mejora continua
para la protección de la información, la Gestión de Seguridad de la Información
basado en la norma ISO 27001 con el fin de definir el marco general sobre el cual
se realiza la gestión para la protección de la información del Ministerio. En este
sentido, se tiene:
1. El Grupo de Tecnologías de Información y Comunicación es responsable
de implantar, mantener, operar y actualizar las políticas de seguridad de la
información para el Ministerio.

2. La asignación de los recursos necesarios que permitan tratar los riesgos de

la organización de acuerdo a los niveles aceptables establecidos.

3. Hacer seguimiento y tomar las acciones tanto preventivas como correctivas

necesarias para mantener la protección de la información en el Ministerio.

Página 7 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
4.3 Titulo de la política: Organización para la seguridad en
información
El Ministerio de Minas y Energía – Grupo de Tecnologías de Información y
Comunicación debe garantizar que las responsabilidades para la gestión de la
seguridad de los activos de información estén claramente asignadas en todos los
niveles organizacionales.

Para el desarrollo de las actividades se deben establecer y hacer cumplir los

lineamientos de la entidad en la materia, así como revisar las incidencias y
acciones a tomar en el Ministerio de Minas y Energía. La alta dirección debe
soportar al Coordinador del Grupo de Tecnologías de Información y Comunicación
y su equipo de trabajo en la implementación de las diferentes iniciativas de
seguridad de la información.

4.4 Título de la política: Propiedad de la información

El Ministerio de Minas y Energía establece la propiedad sobre los activos de
información que está relacionada con su actividad.

Los activos de información que son propiedad del Ministerio de Minas y Energía,
es entregada para su uso, operación o custodia a los servidores públicos,
contratistas o terceros, de acuerdo a la función específica y necesidades del
trabajo a realizar de acuerdo a lo establecido en el Ministerio, sin que esto altere
en ningún momento la propiedad de los mismos que seguirá estando a nombre
del Ministerio.

El Ministerio para su marco de gestión podrá establecer o designar a servidores

públicos de la entidad como propietarios de un activo de información, esto se
realiza únicamente, con el fin de asignar las responsabilidades operativas y de
Página 8 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
custodia sobre los diferentes activos, sin perjuicio a perder la propiedad de la
información como entidad.

4.5 Título de la política: Gestión de Riesgos

El Ministerio de Minas y Energía deberá realizar todas las acciones tendientes a
minimizar los riesgos de la entidad, especialmente los relacionados con la
información de la organización. En este sentido, establece un marco gestión de
riesgos tomando como base la metodología establecida. Así mismo, en este
marco, el Ministerio se compromete a seguir un proceso continuo de revisión de
los riesgos de seguridad en el marco de la Gestión de Seguridad de la
Información con el fin de evaluar los activos de información identificados y sus
medios de procesamiento que se encuentran gestionando la prestación de los
servicios del Grupo con el fin de llevar los riesgos que afectan a la organización a
los niveles esperados establecidos.

Este proceso incluye como mínimo etapas de:

 Identificación de vulnerabilidades y amenazas sobre los activos de
información.
 Identificación de Riesgos, Evaluación de Riesgos
 Monitoreo
 Planes de Acción / Tratamiento
 Criterios de Aceptación de riesgos

4.6 Título de la política: Gestión de activos de información

Toda la información de los procesos del Ministerio de Minas y Energía, así como
los activos donde ésta se almacena y se procesa deben ser:
 Inventariados
 Asignados a un responsable,

Página 9 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
  Protegidos y clasificados. De acuerdo con la clasificación se deben
establecer los niveles de protección orientados a determinar a quién se le
permite el manejo de la información, el nivel de acceso a la misma y los
procedimientos para su manipulación.
 La clasificación debe revisarse periódicamente y cuando se presenten
cambios en la información o en la estructura que puedan afectarla.

Se designa la responsabilidad a cada funcionario del Ministerio de la protección

de la información que se encuentra a su cargo o aquella sobre la cual tiene
acceso de acuerdo a las funciones propias definidas en el objetivo de la misma,
de tal forma que se mantengan los niveles de protección a lo largo del ciclo de
vida de la información en el ámbito del Ministerio.

4.7 Título de la política: Responsabilidad frente a la seguridad

La seguridad de información es una obligación y responsabilidad de todos y cada
uno de los servidores públicos del Ministerio en su día a día. El Ministerio
establece para todos los involucrados, los roles y responsabilidades frente a la
protección de la información.

Los usuarios y custodios de los activos de información del Ministerio de Minas y

Energía son responsables por el uso apropiado, protección y privacidad de estos
activos. Los sistemas de información del Ministerio generarán y mantendrán un
apropiado registro de logs de auditoría para identificar usuarios, y documentar los
eventos relacionados con eventos de seguridad.

4.8 Título de la política: Seguridad con el personal

Desde el planteamiento de la vinculación del personal para apoyar actividades del
Grupo de Tecnologías de Información y Comunicación, se deben tener controles y
medidas administrativas que permitan verificar no sólo la idoneidad del personal a
Página 10 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
contratar en un cargo específico, sino también: su identidad, ética profesional y
conducta. Los términos y condiciones de empleo deben incluir y establecer el rol
y la responsabilidad del servidor público por la seguridad de información del
Ministerio y el ejercicio de su cargo, así como aceptación del marco normativo y
legal definido en el Ministerio y aclarar que estos elementos van más allá de la
finalización de la relación laboral, asimismo, se debe garantizar el entendimiento
de dichos términos por el servidor público mediante la firma de un acuerdo de
confidencialidad, el cual se hace extensivo a aquellos contratistas y terceros que
tengan acceso a la información del Ministerio de Minas y Energía.

Se deben establecer mecanismos de divulgación y capacitación en seguridad de

la información y de los diferentes procedimientos frente a la protección de la
información. Los servidores públicos deben cooperar en los esfuerzos por
proteger la información y son responsables de actualizarse en la materia, así
como consultar con el encargado de la seguridad de la información en la entidad
en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo
exonerará del proceso disciplinario correspondiente a violaciones de las
directrices o normas de seguridad.

4.9 Título de la política: Seguridad física

Se deberá dar tratamiento a amenazas tales como acceso no autorizado, robo,
pérdida, daño, entre otros (riesgos físicos y ambientales) que puedan afectar los
activos de información, medios de procesamientos y comunicaciones así como las
instalaciones donde que se encuentran ubicados.

Deben establecerse y mantenerse áreas seguras para la gestión, almacenamiento

y procesamiento de información y sus medios de procesamiento ubicadas en el
Ministerio especialmente aquellos espacios físicos que ocupa el Grupo de
Tecnologías de Información y Comunicación.
Página 11 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
Estas áreas deben contar con protecciones físicas y ambientales acordes con los
activos que protegen, incluyendo perímetros de seguridad, controles de acceso
físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los
equipos, seguridad en el suministro eléctrico y cableado, condiciones ambientales
de operación y sistemas de contención, detección y extinción de incendios
adecuados, que preserven el medio ambiente. Esta seguridad debe conservarse
en los momentos de mantenimiento, cuando la información o los equipos que la
contienen salen de la entidad o cuando se eliminan o dan de baja.

4.10 Título de política: Administración de redes y computadores

Deben documentarse los procedimientos y responsabilidades de administración y
seguridad pertinentes a uno de los ambientes tecnológicos que soportan el
servicio de prestado por el Grupo de Tecnologías de Información y Comunicación,
garantizando un adecuado control de cambios y el seguimiento a los estándares
de seguridad definidos y a los incidentes de seguridad que se presenten.

Se debe contar con una visión de riesgo, identificar y definir que las funciones de
mayor riesgo para los activos de información sean segregadas de manera
adecuada y garantizar que la planificación y aprobación de los sistemas de
información sean adecuadas y consideren las necesidades futuras.

Se deben considerar protecciones contra software malicioso y se debe garantizar

que el mantenimiento, la administración de la red, el cuidado de los medios de
almacenamiento y la seguridad en el intercambio de información sean adecuados
esto en el marco de la evaluación de riesgos.

Página 12 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
4.11 Título de política: Control de acceso
Deben establecerse, mantenerse y actualizarse medidas de control de acceso a
nivel de red, instalaciones, sistemas operativos, bases de datos y aplicaciones, los
controles deben estar soportados por una cultura de seguridad en la entidad y
limitar el acceso de los usuarios hacia los activos de información al mínimo
requerido (Principio de Mínimo privilegio) para la realización de su trabajo, de
acuerdo con el tratamiento correspondiente al nivel de clasificación de cada
activo. Además, deben permitir identificar de manera inequívoca cada usuario y
hacer seguimiento de las actividades que éste realiza.

Para el acceso a los servicios de información el jefe de cada dependencia deberá

realizar la solicitud al Coordinador del Grupo de Tecnologías de Información y
Comunicación, especificando los datos exactos de la persona y a que servicios
debe darse acceso.

4.12 Título de política: Uso y protección de los recursos

Los usuarios de la información y de los servicios brindados por el Ministerio de
Minas y Energía, son responsables de un adecuado y racional uso de las
herramientas y servicios que apoyan las funciones a ser desarrolladas en el
Ministerio. Es decir, los elementos brindados no deberán ser usados para
propósitos diferentes para los cuales fue definido o que no tengan un enfoque al
establecido del usuario con el Ministerio.

Ningún usuario deberá compartir las claves o permitir acceso no autorizado a las
cuentas otorgadas para utilizar los servicios brindados por el Grupo de
Tecnologías de Información y Comunicación y así mismo es responsable por el
manejo adecuado de la información y las acciones que por mal uso se deriven de
esos accesos. Por lo tanto, el usuario deberá establecer las medidas de
Página 13 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
protección adecuadas sobre esto y reportar cualquier anomalía identificada a las
personas que administran los servicios de acuerdo con los procedimientos
establecidos.

Se establecen las cuentas de acceso como un elemento intransferible y de

carácter individual, el usuario asume la responsabilidad sobre el uso y mal uso
que se de sobre los sistemas de información por no mantener un adecuado
control sobre estos elementos.

4.13 Título de política: Adquisición, desarrollo y mantenimiento

de software
El Grupo de Tecnologías de Información y Comunicación responsable de estas
actividades en el Ministerio, debe incorporar en sus procesos de desarrollo la
formalización de una metodología que apoye los procesos de software de tal
forma que se haga un adecuado análisis e implementación de los requerimientos
de seguridad del software, ya sea interno o adquirido, que es utilizada para
soportar sus actividades.

Se deben establecer controles para cifrar la información que sea considerada

confidencial (De acuerdo a lo establecido como niveles de clasificación de la
información) y evitar la posibilidad de repudio de una acción por parte de un
usuario del sistema. Igualmente, se deben asegurar los archivos del sistema y
mantener un control adecuado de los cambios que puedan presentarse.

4.14 Título de política: Gestión de Incidentes

El Grupo de Tecnologías de Información y Comunicación del Ministerio de Minas y
Energía debe asegurar que se realiza una adecuada evaluación del impacto en el
negocio de los incidentes de seguridad relevantes. Para esto se deben establecer

Página 14 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
los procedimientos de preparación, detección y análisis, contención / respuesta,
erradicación y recuperación.

Todos los servidores públicos, contratistas y demás personal interno o externo

que tenga un vínculo con el Ministerio y que maneje activos de información, debe
reportar como incidente de seguridad cualquier evento que pueda afectar los
criterios de confidencialidad, integridad y disponibilidad de los activos o aquellos
aspectos que sean sospechosos o derivados del mal uso de los recursos de la
entidad, según el procedimiento de manejo de incidentes, a través del sistema
Centro de Atención Tecnológica - CAT, ya institucionalizada en el MME para tal
fin.

4.15 Título de la política: Continuidad del Negocio

El Ministerio de Minas y Energía desarrollará esfuerzos tendientes a garantizar la
continuidad de las operaciones para sus procesos con el fin de mantener su
misión y brindar los servicios a la entidad.

Para esto deberá evaluar el impacto de eventos que afectan los procesos de la
entidad que tienen soporte en la infraestructura tecnológica que esta administra,
así mismo, deberá desarrollar planes de continuidad para aquellos servicios que
son críticos para el Ministerio. Los planes deben considerar medidas tanto
técnicas como administrativas y de vínculo con entidades externas, probarse y
revisarse de manera periódica.

4.16 Título de la política: Cumplimiento de Normatividad Legal

El Ministerio de Minas y Energía se compromete a ejercer su misión manteniendo
el cumplimiento de la ley y demás aspectos legales y regulatorios.

Página 15 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
Se debe garantizar que la gestión de la seguridad dé cumplimiento en su misión
como prestadora de servicios en el Ministerio a la legislación vigente. Para esto,
debe analizar los requisitos legales aplicables a la información que se gestiona,
incluyendo los derechos de propiedad intelectual, los tiempos de retención de
registros, la privacidad de información, el uso inadecuado de recursos de
procesamiento, el uso de criptografía, datos personales, la recolección de
evidencia. Para esto deberá apoyarse en la Oficina Asesora Jurídica para definir
estos temas.

La entidad sólo debe utilizar información o elementos de procesamiento cuando

tenga claro que es un elemento autorizado, que se tienen las correspondientes
licencias de uso, y que fue adquirido e implementado cumpliendo con todos los
procedimientos de la organización.

4.17 Título de la política: Manejo de Correo Electrónico

La comunicación por correo electrónico entre el Ministerio de Minas y Energía y
sus clientes internos o externos, debe efectuarse mediante el uso del sistema
homologado por la entidad (correo electrónico de la entidad). Toda información
transmitida por este medio es considerada como propiedad de la entidad.

Los servidores públicos y contratistas no podrán enviar correos internos o

externos, que puedan perjudicar la imagen de la entidad, así mismo, estos son
responsables del contenido de las comunicaciones enviadas y recibidas, por lo
cual se debe revisar y validar la información a enviar a través del correo
electrónico institucional, con el fin de no cometer errores o imprudencias.

4.18 Título de la política: Manejo de Internet

La utilización de los servicios de internet ofrecidos por el Ministerio de Minas y
Energía, debe estar limitado a asuntos laborales. El uso y mal empleo de los
Página 16 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
servicios por los servidores públicos y contratistas dará lugar a sanciones
disciplinarias.

El uso de redes sociales está prohibido dentro de la entidad, teniendo en cuenta

que esto genera problemas de seguridad, el Grupo de Tecnologías de Información
y Comunicación, debe garantizar que las dependencias responsables de publicar
información institucional a través de estos medios lo pueda hacer.

Está prohibido el ingreso a páginas que atenten contra la moral y las buenas
costumbres, así mismo, no se debe ingresar a páginas de dudosa procedencia.

_________________________________
MARTHA LUCIA TORRES GIRALDO
Coordinadora Grupo de Tecnologías
de Información y Comunicación

Página 17 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia