Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PoliticaSeguridadInformacion 22jun2012 PDF
PoliticaSeguridadInformacion 22jun2012 PDF
JUNIO DE 2012
Página 1 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
TABLA DE CONTENIDO
INTRODUCCIÓN .................................................................................................... 3
1. OBJETIVO .......................................................................................................... 4
2. ALCANCE ........................................................................................................... 5
3. DEFINICIONES ................................................................................................... 6
4. POLÍTICAS ......................................................................................................... 7
4.1 Título de la política General: Política General de Seguridad de la
Información ......................................................................................................... 7
4.2 Titulo de la política: Gestión de Seguridad de la Información GSI. ......... 7
4.3 Titulo de la política: Organización para la seguridad en información ..... 8
4.4 Título de la política: Propiedad de la información ..................................... 8
4.5 Título de la política: Gestión de Riesgos ................................................... 9
4.6 Título de la política: Gestión de activos de información .......................... 9
4.7 Título de la política: Responsabilidad frente a la seguridad .................. 10
4.8 Título de la política: Seguridad con el personal ...................................... 10
4.9 Título de la política: Seguridad física ....................................................... 11
4.10 Título de política: Administración de redes y computadores .............. 12
4.11 Título de política: Control de acceso ...................................................... 13
4.12 Título de política: Uso y protección de los recursos ............................ 13
4.13 Título de política: Adquisición, desarrollo y mantenimiento de
software............................................................................................................. 14
4.14 Título de política: Gestión de Incidentes................................................ 14
4.15 Título de la política: Continuidad del Negocio ....................................... 15
4.16 Título de la política: Cumplimiento de Normatividad Legal .................. 15
4.17 Título de la política: Manejo de Correo Electrónico .............................. 16
4.18 Título de la política: Manejo de Internet ................................................. 16
Página 2 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
INTRODUCCIÓN
Página 3 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
1. OBJETIVO
Este documento permite establecer las políticas sobre las cuales se debe
direccionar el desarrollo de la seguridad de información del Ministerio de Minas y
Energía y los principios de actuación de todo el personal que tenga acceso o
responsabilidades sobre la información en ésta entidad.
Página 4 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
2. ALCANCE
Página 5 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
3. DEFINICIONES
1
Adaptado y traducido de Principles of Information Warfare. Hutchinson W, Warren M. Journal of
Information Warfare, 2005.
2 Tomado de NTC ISO/IEC 17799:2005
Página 6 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
4. POLÍTICAS
Página 7 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
4.3 Titulo de la política: Organización para la seguridad en
información
El Ministerio de Minas y Energía – Grupo de Tecnologías de Información y
Comunicación debe garantizar que las responsabilidades para la gestión de la
seguridad de los activos de información estén claramente asignadas en todos los
niveles organizacionales.
Los activos de información que son propiedad del Ministerio de Minas y Energía,
es entregada para su uso, operación o custodia a los servidores públicos,
contratistas o terceros, de acuerdo a la función específica y necesidades del
trabajo a realizar de acuerdo a lo establecido en el Ministerio, sin que esto altere
en ningún momento la propiedad de los mismos que seguirá estando a nombre
del Ministerio.
Página 9 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
Protegidos y clasificados. De acuerdo con la clasificación se deben
establecer los niveles de protección orientados a determinar a quién se le
permite el manejo de la información, el nivel de acceso a la misma y los
procedimientos para su manipulación.
La clasificación debe revisarse periódicamente y cuando se presenten
cambios en la información o en la estructura que puedan afectarla.
Se debe contar con una visión de riesgo, identificar y definir que las funciones de
mayor riesgo para los activos de información sean segregadas de manera
adecuada y garantizar que la planificación y aprobación de los sistemas de
información sean adecuadas y consideren las necesidades futuras.
Página 12 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
4.11 Título de política: Control de acceso
Deben establecerse, mantenerse y actualizarse medidas de control de acceso a
nivel de red, instalaciones, sistemas operativos, bases de datos y aplicaciones, los
controles deben estar soportados por una cultura de seguridad en la entidad y
limitar el acceso de los usuarios hacia los activos de información al mínimo
requerido (Principio de Mínimo privilegio) para la realización de su trabajo, de
acuerdo con el tratamiento correspondiente al nivel de clasificación de cada
activo. Además, deben permitir identificar de manera inequívoca cada usuario y
hacer seguimiento de las actividades que éste realiza.
Ningún usuario deberá compartir las claves o permitir acceso no autorizado a las
cuentas otorgadas para utilizar los servicios brindados por el Grupo de
Tecnologías de Información y Comunicación y así mismo es responsable por el
manejo adecuado de la información y las acciones que por mal uso se deriven de
esos accesos. Por lo tanto, el usuario deberá establecer las medidas de
Página 13 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
protección adecuadas sobre esto y reportar cualquier anomalía identificada a las
personas que administran los servicios de acuerdo con los procedimientos
establecidos.
Página 14 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
los procedimientos de preparación, detección y análisis, contención / respuesta,
erradicación y recuperación.
Para esto deberá evaluar el impacto de eventos que afectan los procesos de la
entidad que tienen soporte en la infraestructura tecnológica que esta administra,
así mismo, deberá desarrollar planes de continuidad para aquellos servicios que
son críticos para el Ministerio. Los planes deben considerar medidas tanto
técnicas como administrativas y de vínculo con entidades externas, probarse y
revisarse de manera periódica.
Página 15 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia
Se debe garantizar que la gestión de la seguridad dé cumplimiento en su misión
como prestadora de servicios en el Ministerio a la legislación vigente. Para esto,
debe analizar los requisitos legales aplicables a la información que se gestiona,
incluyendo los derechos de propiedad intelectual, los tiempos de retención de
registros, la privacidad de información, el uso inadecuado de recursos de
procesamiento, el uso de criptografía, datos personales, la recolección de
evidencia. Para esto deberá apoyarse en la Oficina Asesora Jurídica para definir
estos temas.
Está prohibido el ingreso a páginas que atenten contra la moral y las buenas
costumbres, así mismo, no se debe ingresar a páginas de dudosa procedencia.
_________________________________
MARTHA LUCIA TORRES GIRALDO
Coordinadora Grupo de Tecnologías
de Información y Comunicación
Página 17 de 17
Centro Administrativo Nacional – CAN – Calle 43 No. 57 – 31
PBX: 2200300 www.minminas.gov.co Nit. No. 899.999.022-1
Bogotá, D.C. Colombia