Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Anexo C - Politicas de Seguridad
Anexo C - Politicas de Seguridad
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
POLITICAS DE
SEGURIDAD
Versión 1.0
2017
0
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
CONTROL DE VERSIONES
1
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
Tabla de contenido
1. OBJETIVO ................................................................................................................. 3
2. ALCANCE .................................................................................................................. 3
3. GLOSARIO ................................................................................................................ 4
4. ASPECTO REGLAMENTARIO .................................................................................. 6
4.1. REGULACIÓN EXTERNA................................................................................... 6
4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES ............................................. 6
4.2.1. Políticas de Seguridad de la Información ................................................. 6
4.2.2. Políticas Específicas de Seguridad de la Información ............................. 8
4.2.3. Acuerdos de Niveles de Servicio – ANS Internos .................................. 34
5. REPRESENTACIÓN GRÁFICA DEL PROCESO ..................................................... 35
6. DESCRIPCIÓN DE PROCEDIMIENTOS .................................................................. 36
6.1. PLANEACIÓN ................................................................................................... 36
6.1.1. Políticas Generales................................................................................... 36
6.1.2. Plan de Sensibilización y Capacitación .................................................. 37
6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI ............ 38
6.2.1. Monitoreo .................................................................................................. 38
6.2.2. Detección y Análisis de Vulnerabilidades............................................... 43
6.2.3. Gestión de Incidentes .............................................................................. 46
6.2.4. Gestión de Usuarios ................................................................................. 51
6.3. GOBERNABILIDAD DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN –
SGSI 54
6.3.1. Cumplimiento............................................................................................ 54
7. VIGENCIA, CONSULTAS Y APROBACIONES ....................................................... 56
2
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
INTRODUCCIÓN
Las entidades del sector asegurador tienen en cuenta la información como un componente
indispensable en la conducción y consecución de los objetivos definidos por la estrategia
de la organización, razón por la cual es necesario que se establezca un marco en el cual
se asegure que la información es protegida de una manera adecuada independientemente
de la forma en la que ésta sea manejada, procesada, transportada o almacenada.
Este documento describe las políticas y normas de seguridad de la información definidas
por las entidades del sector asegurador. Para la elaboración del mismo, se toman como
base las leyes y demás regulaciones aplicables, la norma ISO 27001:2013 y las
recomendaciones del estándar ISO 27002:2013.
Las políticas incluidas en este manual se constituyen como parte fundamental del sistema
de gestión de seguridad de la información de las entidades del sector asegurador y se
convierten en la base para la implantación de los controles, procedimientos y estándares
definidos. La seguridad de la información es una prioridad para las entidades y por tanto es
responsabilidad de todos velar por que no se realicen actividades que contradigan la
esencia y el espíritu de cada una de estas políticas.
1. OBJETIVO
2. ALCANCE
3
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
3. GLOSARIO
4
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
5
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
4. ASPECTO REGLAMENTARIO
a. Declaración de la Política
La política de seguridad de la información de las entidades del sector asegurador tiene
como objetivo garantizar la protección de los activos de información involucrados en la
ejecución de los procesos que desarrolla la Organización en el ejercicio de su actividad,
mediante un equipo calificado y comprometido con la seguridad de la información,
garantizando la continuidad en las operaciones y procesos que soportan los objetivos del
negocio y la mejora continua.
b. Objetivos de la Política
c. Alcance de la Política
La Política de Seguridad de la Información aplica para todos los niveles de la Entidad:
usuarios (que incluye funcionarios, accionistas, clientes), terceros (que incluye proveedores
y contratistas), entes de control y entidades relacionadas que acceden, ya sea interna o
externamente a cualquier activo de información independiente de su ubicación.
Adicionalmente la presente Política aplica a toda la información creada, procesada o
6
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
utilizada a nivel corporativo, sin importar el medio, formato, presentación o lugar en el cual
se encuentre.
d. Principios de Seguridad
Confidencialidad: La información solo podrá ser accedida, modificada y/o eliminada por
quienes estén autorizados para ello.
Disponibilidad: La información deberá estar accesible siempre que se requiera.
Integridad: La información deberá preservar su veracidad y fidelidad a la fuente,
independientemente del lugar y de la forma de almacenamiento y transmisión.
e. Cumplimiento
La Política de Seguridad de la Información y Continuidad del Negocio, la normatividad
interna, procesos, procedimientos, estándares, controles y directrices derivados de aquella,
son de obligatorio cumplimiento por los funcionarios, miembros, afiliados, clientes,
proveedores, titulares de información, entes de control, autoridades administrativas o
judiciales y, en general, toda persona natural o jurídica que acceda a cualquier activo de
información. Su incumplimiento acarreará las acciones a que hubiere lugar.
f. Aplicabilidad
La gestión de la continuidad estará enfocada a controlar los riesgos actuales y potenciales
de la información de acuerdo con el impacto sobre las operaciones y los objetivos de
negocio de la Entidad, bajo el marco de la norma de Seguridad Internacional ISO 27001, y
las recomendaciones de estamentos de control y vigilancia.
g. Compromiso de la Dirección
La Alta Dirección de la Organización, declara estar comprometida con la información, como
uno de sus activos más importantes, por lo tanto, manifiesta su total compromiso con el
establecimiento, implementación y gestión de un Sistema de Seguridad de la Información
que incluye el diseño e implementación de un plan de continuidad y recuperación ante
desastres.
La Alta Dirección demostrará su compromiso a través de:
7
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
8
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
La información que la Entidad utilice para el desarrollo de sus objetivos de negocio debe
tener asignado un dueño, quién la utiliza en su área y es el responsable por su correcto
uso. Así, él toma las decisiones que son requeridas para la protección de su información y
determina quiénes son los usuarios y sus privilegios de uso.
Los dueños de la información son los responsables de asegurar que la información del
negocio cuente con las políticas para la protección y preservación de la confidencialidad,
integridad, disponibilidad y privacidad de la información.
El uso de la información de la Entidad por personal de terceros, socios, entidades
relacionadas, ya sea local o remotamente, debe ser formalizado por medio de acuerdos que
hagan obligatorio el cumplimiento del presente Manual. En el contrato de servicios se debe
incluir un documento que detalle sus compromisos en el cuidado de la información de la
Entidad y las penas a que estarían sujetos en caso de incumplirlos.
El cumplimiento de los niveles de servicio en seguridad de la información de terceros, debe
ser verificado periódicamente.
Cada relación con un tercero debe tener un representante de alto nivel dentro de la misma,
que vele por el correcto uso y la protección de la información del negocio. Éste será
responsable por la actividad de dichos funcionarios durante la vigencia del contrato.
A.6.1.2. Segregación de tareas.
Control: los deberes y áreas de responsabilidad en conflicto se deben separar para reducir
las posibilidades de modificación no autorizada o no intencional de la información de la
Entidad, o el uso indebido de los activos de la organización.
A.6.1.3. Contacto con las autoridades.
Control: se deben mantener los contactos apropiados con las autoridades pertinentes, que
pueden apoyar a solucionar conflictos en cuanto a la seguridad de la información de la
Entidad.
A.6.1.4. Contacto con grupos de interés especial.
Control: para la entidad siempre debe ser conveniente mantener contactos apropiados con
grupos de interés especial u otros foros y asociaciones profesionales especializadas en
seguridad.
A.6.1.5. Seguridad de la información en la gestión de proyectos.
Control: durante la planeación y ejecución de los proyectos de la Entidad, además de las
áreas interesadas, debe participar el área de Seguridad de la Información como generador
de recomendaciones en la evaluación de los riesgos inherentes con dichos proyectos.
A.6.2. Dispositivos para movilidad y teletrabajo.
Objetivo: garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
9
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
10
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
11
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
12
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
CONFIDENCIAL X X X
INTERNA X X X
PUBLICA X X X
Toda información que sea utilizada dentro de los procesos desarrollados por la Entidad
debe estar catalogada de acuerdo con los siguientes niveles de sensibilidad:
Nivel 1. Información Pública: Los datos de este nivel pueden ser entregados al público
en general, sin ninguna implicación para la Entidad. Los datos no son vitales. Pérdidas de
este tipo de información son de bajo riesgo y no requieren controles especiales. P.ej.:
Información de campañas publicitarias y de estados financieros una vez que hayan sido
aprobados. La integridad de la información pública debe ser vigilada para no atentar en
contra de la imagen y reputación de la Organización.
Nivel 3. Información Confidencial. Este tipo de información debe ser protegida del acceso
externo e interno no autorizado. Si esta información es conocida por personas no
13
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
Nombre la información
Procesos en los que es utilizada
Formato en el que se encuentra
Nivel de sensibilidad
En los casos en que la misma información esté clasificada por diferentes áreas en niveles
de sensibilidad diferentes, la Gerencia de Seguridad de la Información determinará el valor
y el nivel de clasificación para dicha información.
A.8.3. Manejo de los soportes de almacenamiento.
Objetivo: establecer procedimientos eficaces para el manejo de los soportes de
almacenamiento, de acuerdo con la clasificación de la información
14
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
15
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
16
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
17
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
18
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
19
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
20
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
21
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
22
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
23
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
24
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
25
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
26
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
27
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
28
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
29
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
30
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
31
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
32
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
33
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
PLAZO MÁXIMO
ANS RESPONSABLE
(días hábiles)
34
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
35
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
6. DESCRIPCIÓN DE PROCEDIMIENTOS
6.1. PLANEACIÓN
DESCRIPCIÓN DE PROCEDIMIENTOS
No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE
DESCRIPCIÓN
1 Define y elabora la Gerencia de Seguridad de la Información Gerente
propuesta de las Estructura la propuesta de políticas de seguridad, con base en los procesos de la Entidad, las
políticas de seguridad buenas prácticas en términos manejo y control de seguridad de la información y los reportes e
informes de eventos e incidentes de seguridad.
2 Evalúa y ajusta las Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
políticas Vicepresidencia de Tecnología Vicepresidente
Gerencia Administrativa y Financiera Gerente
Vicepresidencia de Operaciones Vicepresidente
Gerencia Jurídica Gerente
• Presenta la propuesta de políticas a las demás áreas involucradas.
• Evalúa, revisa y modifica las políticas actuales en materia de GSI.
• Propone, ajusta y define lineamientos en GSI para ser aprobados por la Presidencia.
• Ajusta y genera la propuesta definitiva para aprobación de la Presidencia.
3 Aprueba la política Gerencia de Seguridad de la Información Gerente
a nivel organizacional Presidencia Presidente
36
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
DESCRIPCIÓN DE PROCEDIMIENTOS
No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE
DESCRIPCIÓN
1 Define y elabora la Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
propuesta de
• Analiza las métricas por eventos ocurridos, identificando las vulnerabilidades detectadas que
capacitación puedan afectar las políticas y procedimientos en materia de seguridad.
• Revisa los temas tratados en capacitaciones anteriores, con el fin de determinar las necesidades
de mejora que se deban reforzar en la capacitación de los funcionarios.
2 Define el plan de Gerencia de Seguridad de la Información Gerente / Oficial de Seguridad de la Información
capacitación GSI
• Establece el plan de capacitación relacionado con la GSI para los funcionarios nuevos
(inducción) y antiguos, determinando los temas a tratar, los objetivos propuestos, el público
objetivo, los medios, la frecuencia, los responsables de cada tarea, el cronograma de actividades
y la metodología a aplicar.
37
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
6.2.1. Monitoreo
DESCRIPCIÓN DE PROCEDIMIENTOS
No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE
DESCRIPCIÓN
1 Ejecuta el monitoreo Gerencia de Seguridad de la Información Oficial de Seguridad de la Información
• Identifica los tipos de monitoreo a realizar para los recursos informáticos seleccionados.
• Ejecuta el monitoreo, mediante la realización de las siguientes actividades:
38
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
39
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
• El Oficial de Seguridad revisa el cumplimiento con los estándares de seguridad, de acuerdo con
la agenda definida, verificando cuando sea posible la fecha de última modificación de los
parámetros, documentando los hallazgos de acuerdo con su criticidad.
• Solicita al administrador del recurso, la documentación básica del mismo (bitácora de
modificaciones, registro de eventos u otros) para verificar:
a) El adecuado registro de las modificaciones realizadas a la configuración, incluyendo las
justificaciones y autorizaciones de los cambios.
b) Aceptaciones de riesgo para el caso de parámetros o configuraciones que difieran de la
definición del estándar aplicable.
• Revisa y documenta las justificaciones o aclaraciones recibidas de los administradores de los
recursos informáticos objeto de la revisión, para todos los casos.
• Establece para cada recurso informático, el plan de acción requeridos como respuesta a los
posibles hallazgos, en función de su criticidad, incluyendo:
a) Actividades para realizar los ajustes a la configuración
b) Responsables asignados
c) Fechas de verificación de la implantación
• Solicita al administrador del recurso informático la implantación de los valores de los parámetros
de seguridad y verifica su atención:
• Elabora el informe de la revisión, incluyendo:
a) Recursos informáticos y estándares verificados
b) Agenda de revisión empleada
c) Hallazgos o casos catalogados como desviación en la aplicación de los estándares
d) Justificaciones proporcionadas por los responsables de los Recursos Informáticos
e) Recomendaciones (las que apliquen, de acuerdo el volumen e impacto de los hallazgos).
• Almacena la documentación, para seguimiento.
40
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
comandos y utilitarios Si se identifican situaciones como el uso o intento de uso de utilitarios o comandos sensibles en
sensibles actividades no autorizadas - sin justificación - o el uso o intento de uso de utilitarios por parte de
usuarios no autorizados o el frecuente uso errado de comandos y utilitarios restringidos
• Asegura el adecuado registro de los eventos previamente definidos para el recurso informático,
revisando en forma diaria o con la periodicidad definida, como mínimo los siguientes aspectos:
a) Llenado de discos del sistema o medios de almacenamiento
b) Integridad de los archivos generados (sobre escritura, modificación)
c) Inhabilitación del registro a nivel aplicativo o de sistema operativo
d) Ejecución de procesos automáticos o manuales de copia de seguridad a medios externos
e) Configuración de opciones de logs o trace en el sistema
• Revisa el contenido de los archivos de registro de eventos del recurso informático, de acuerdo
con la periodicidad definida en función de la criticidad del mismo, considerando entre otros: a)
Alarmas generadas por el sistema
b) Eventos de acceso no autorizado
c) Acceso a aplicaciones no autorizadas
d) Comportamientos anormales.
• Notifica al administrador del recurso informático y a los responsables asignados mediante el
procedimiento de notificación, escalamiento y respuesta ante eventos, informando acerca de la
situación detectada en el monitoreo realizado.
41
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
• Reporta las situaciones anormales que puedan ser catalogadas como incidentes o problemas
de seguridad, para proceder a su atención mediante el seguimiento de los procedimientos
correspondientes.
• Notifica al administrador del recurso informático y a los responsables identificados, informando
acerca de la situación detectada en el monitoreo realizado, cuando aplique.
• Solicita al administrador del recurso informático la lista de usuarios activos con sus respectivos
perfiles.
• Verifica la información recibida, validando en función de la situación del negocio la necesidad de
mantener los perfiles asignados, estableciendo las discrepancias y/o documentando las
solicitudes de ajuste requeridas.
• Asegura, por parte de los responsables, la ejecución de actividades de mantenimiento de
usuarios y/o perfiles, según aplique.
• La Gerencia de Ingeniería de Software, envía al Oficial de Seguridad, el reporte incluyendo el
detalle del resultado de la verificación, confirmando la realización de la misma, los hallazgos
evidenciados y acciones ejecutadas cuando aplique.
• El Oficial de Seguridad de la Información recibe los reportes y/o solicitudes, programa las
revisiones y solicita los ajustes a que haya lugar.
42
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
43
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
DESCRIPCIÓN DE PROCEDIMIENTOS
No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE
DESCRIPCIÓN
Realiza pruebas de Gerencia de Seguridad de la Información Arquitecto de Seguridad
1 detección de
vulnerabilidades • Inicia la ejecución de pruebas de penetración e inspección de código en los recursos
informáticos seleccionados.
• Extrae el informe del resultado de las pruebas, generado como salida del procedimiento de la
actividad anterior.
• Continua con el tratamiento y documentación de hallazgos del monitoreo de seguridad.
2 Identifica y valida las Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad
vulnerabilidades por
medio del análisis de • Identifica las posibles vulnerabilidades que podrían ser aprovechadas para el
las fuentes de rompimiento de los controles de seguridad de la Entidad, mediante el análisis de las
monitoreo fuentes clasificadas, considerando:
a) Resultados generados por la herramienta de monitoreo.
b) Vulnerabilidades anteriores.
c) Incumplimiento al estándar de Seguridad
d) Incumplimiento al políticas de Seguridad
• Recopila la información adicional disponible, para la confirmación o aclaración de la
vulnerabilidad mediante:
a) Realización de entrevistas.
b) Observación visual del entorno asociado con la vulnerabilidad.
c) Solicitud de información adicional a los administradores de recursos informáticos involucrados.
d) Verificación de documentos de aceptación de la vulnerabilidad.
3 Gerencia de Seguridad de la Información Oficial de Seguridad / Arquitecto de Seguridad
44
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
• Decide con base en los resultados del análisis anterior u otros aspectos relevantes, si el riesgo
es aceptado o si se aprueba la iniciación de la ejecución del plan de implantación.
• Si el riesgo es aceptado por el jefe del implantador:
a) Documenta la aceptación del riesgo mediante un acta, estableciendo la justificación de la
aceptación y el período de la misma.
b) Notifica al área de seguridad para que modifique la línea base de la herramienta de monitoreo.
• Define el plan de implantación y las posibles fechas y costos.
• Diligencia el Formato de Control de Cambios de Infraestructura.
45
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
DESCRIPCIÓN DE PROCEDIMIENTOS
No. ACTIVIDAD ÁREA EJECUTORA CARGO RESPONSABLE
DESCRIPCIÓN
1 Detecta y reporta el Gerencia área usuaria Gerente
incidente Gerencia de Seguridad de la Información Gerente
46
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
Categoriza el Si se confirma que el reporte se trata de un incidente válido: clasifica el incidente en la categoría
incidente de correspondiente, estableciendo el tipo más adecuado entre los siguientes:
seguridad a) Ataques por Virus
b) Incidentes de Acceso Físico
c) Incidentes de Red
d) Incidentes de Comunicaciones
e) Incidentes de Base de Datos
f) Incidentes de Aplicativo
g) Ataques a la Red de Datos y Recursos Tecnológicos
h) Incidentes Humanos
3 Documenta el Gerencia de Seguridad de la Información Oficial de Seguridad de la Información
incidente
• Si el reporte no corresponde a un incidente de seguridad:
a) Documenta en el formato las razones por las cuales no se considera un incidente de seguridad.
b) Notifica a quien corresponda “Mesa de Ayuda” o Help Desk para que realice las acciones
necesarias de acuerdo con el problema real para resolverlo.
• Documenta en la Bitácora de Incidentes de Seguridad de la Información, archiva el formato
correspondiente y cierra el incidente.
4 Analiza y define las Vicepresidencia de Tecnología Vicepresidente / Gerente de Calidad y
acciones de Gerencia de Seguridad de la Información Soporte TI Gerente / Oficial de Seguridad de
protección la Información
47
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
b) MEDIO: Si el incidente afecta las estaciones de un grupo de trabajo interno o los servicios
internos operativos de la Entidad, es un evento que puede ser una amenaza futura, pero que no
se identifica como una amenaza seria y/o inmediata.
c) ALTO: Es un evento muy crítico, en el cual representa una seria amenaza y afecta de forma
inmediata a uno o más recursos críticos o pone en peligro información sensitiva o
confidencial, el incidente involucra uno o más usuarios externos de los servicios de la Entidad.
• Junto con la Gerencia de Tecnología, analizan las condiciones del incidente con el fin de
identificar la amenaza y/o debilidad y posteriormente determinar los mecanismos y/o acciones
de protección que deben ser aplicados.
• Si el incidente es catalogado con ALTO o MEDIO, conforma el equipo para la atención del
incidente incluyendo los especialistas identificados en la fase de detección, teniendo en cuenta
el tipo de recursos informáticos afectados y el nivel de especialización requerido.
• Monitorea las herramientas actuales de software y hardware, y los registros de actividad del
sistema para determinar las causas del incidente.
• Procede con las acciones documentadas de acuerdo al tipo de incidente identificado, y al
impacto definido.
• El Coordinador de Calidad identifica los clientes afectados y les informa del incidente.
• Si el impacto del incidente es BAJO, entre las Gerencias de Tecnología y de Seguridad de la
Información determinan las acciones a seguir y diligencian el Formato de Reporte de
Incidentes.
• El Oficial de Seguridad de la Información determina en primera instancia si el reporte se trata de
un incidente de Seguridad válido, mediante:
a) Revisión detallada de la información recibida
b) Verificación adicional de las fuentes de información asociadas.
c) Solicitud de información adicional a los Administradores de los Recursos Informáticos.
d) Documentación de incidentes anteriores.
48
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
49
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
50
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
DESCRIPCIÓN DE PROCEDIMIENTOS
ÁREA EJECUTORA CARGO RESPONSABLE
No. ACTIVIDAD
DESCRIPCIÓN
1 Solicita la creación, Gerencia de Talento Humano Profesional Máster
modificación o
eliminación de • Para los nuevos funcionarios; solicita la creación de los usuarios vía GAUS y SAP,
ingresado la información básica relacionada con el nombre, identificación, cargo a
usuarios en la
desempeñar y dependencia.
herramienta de gestión NOTA: La herramienta de Gestión y Autenticación de Usuarios – GAUS se basa en la
de usuarios información contenida en la Matriz de Perfiles de Usuarios.
• Para los funcionarios que han cambiado de cargo o de área de trabajo; solicita las
modificaciones en claves y accesos a los usuarios.
51
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
52
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
herramientas de: software y/o hardware particulares debe efectuar la solicitud vía Mesa de
Servicios, para los siguientes casos:
a) Acceso a Bases de Datos: en la solicitud debe explicarse los motivos/necesidad particular del
funcionario, especificar la tabla a la cual se solicita el acceso, el tipo de acceso (solo lectura,
creación o modificación de los registros de la tabla). La solicitud se debe tramitar a través del
Formato de Solicitud de Acceso a Aplicaciones o Servicios.
b) VPN: esta solicitud se realiza cuando el usuario deba efectuar conexiones remotas seguras a
las redes internas de la Organización. Si la solicitud proviene de un cliente externo, se debe
tramitar a través del formato de Solicitud Datos VPN. Para clientes internos se debe realizar a
través de la Mesa de Servicios.
c) Dispositivos especiales: esta solicitud se realiza cuando el usuario solicite la habilitación de
puertos USB, para este fin es necesario diligenciar el Formato de Solicitud de Uso de Dispositivos
de Almacenamiento de Información.
d) Internet: para accesos sin restricción a páginas web (según el perfil del cargo), mediante el
control de herramientas de monitoreo.
e) Permisos de acceso a nivel Firewall: debe especificarse la duración y el tipo acceso del usuario
(permanente, por tiempo definido). Esta solicitud se debe tramitar a través de la Mesa de Ayuda,
adjuntando el formato de Registro de Modificación Firewall.
f) Permisos de acceso a Centro de Cómputo: Estas solicitudes serán tramitadas a través de la
Mesa de Servicios, y configuradas en la herramienta de control de acceso físico. Una vez que
el funcionario ingrese al Centro de Cómputo, debe diligenciar el formato Control de Ingreso al
Centro de Cómputo.
53
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
54
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
Elabora el • Elabora las respuestas a las preguntas del cuestionario enviado por la Entidad externa las
informe y cuales son entregadas como parte del informe.
determina el plan
de acción • Establece el plan de acción para los hallazgos encontrados con las recomendaciones del caso.
55
POLITICAS DE SEGURIDAD
LOGO EMPRESA
Código: MP-PSI-01 Versión: 1.0
APROBACIONES
NOMBRE CARGO / FIRMA
DEPENDENCIA
Hawin Andrei Tapiero Presidente ORIGINAL FIRMADO
Heiner Suarez Ramírez Gerente de ORIGINAL FIRMADO
Seguridad de la
Información
56