Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Política General y Específicas de Seguridad de La Información CEDE2
Política General y Específicas de Seguridad de La Información CEDE2
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
INTELIGENCIA Y CONTRAINTELIGENCIA
1
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
TABLA DE CONTENIDO
1. INTRODUCCIÓN 5
2. OBJETIVOS 6
3. ALCANCE 7
4. DEFINICIONES 10
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 12
5.1.1 Política para dispositivos móviles 14
5.1.2 Política de Teletrabajo 16
5.1.3 Política de Acceso Lógico y Físico 18
5.1.4 Política de Controles Criptográficos 23
5.1.5 Política de los Recursos Humanos 26
5.1.6 Política de Respaldo de la Información 28
5.1.7 Política de Transferencia de Información 29
5.1.8 Política de Desarrollo Seguro 32
5.1.9 Política Para las Relaciones con los Proveedores 37
5.1.10 Política de Gestión de Activos 41
5.1.11 Política de Gestión de Incidentes de Seguridad de la Información 45
5.1.12 Política de Organización de la Seguridad de la Información 46
5.1.13 Política de No Repudio 48
5.1.14 Política de Privacidad y Confidencialidad 49
5.1.15 Política de Integridad 50
5.1.16 Política de Disponibilidad del Servicio e Información 50
5.1.17 Política de Registro y Auditoría 53
5.1.18 Política de Seguridad en Gestión de Proyectos 55
5.1.19 Política de Áreas de Despacho y Carga. 55
5.1.20 Política de Ubicación y Protección de los Equipos 56
2
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
3
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
CONTROL DE DOCUMENTOS
Revisado por
Aprobado por
4
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
1. INTRODUCCIÓN
5
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
2. OBJETIVOS
6
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
3. ALCANCE
Las políticas dan las directrices requeridas para implementar un Sistema de Gestión
de Seguridad de la Información y definen el marco básico que guiará la implantación
de política, controles y procedimientos del SGSI.
7
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
8
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Contrainteligencia Militar, con el fin de asegurar que ésta cumpla con los cambios
que pudiera presentar el mismo.
Ante la necesidad de una actualización de las políticas, se debe hacer una reunión
con el jefe del Subsistema de Inteligencia y Contrainteligencia Militar, para efectos
de aprobación de los cambios en el presente documento y realizar una divulgación
de los cambios realizados a todos los funcionarios y demás interesados.
9
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
4. DEFINICIONES
10
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
11
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
12
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
13
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Se debe contar con un inventario actualizado de dispositivos móviles utilizados
para almacenar o transmitir información del Subsistema de Inteligencia y
Contrainteligencia Militar.
14
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
15
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.3.2 Teletrabajo
16
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
17
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
18
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
19
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
7) Se debe usar una única identificación de usuario (ID) para permitir que los
usuarios queden vinculados y sean responsables de sus acciones.
8) Se debe verificar que el nivel de acceso otorgado sea adecuado para los
propósitos y limitado exclusivamente a la información que está autorizado a
acceder, y no poner en riesgo la segregación de funciones.
9) Todos los funcionarios del Subsistema de Inteligencia y Contrainteligencia
Militar, deben conocer, leer y firmar una declaración escrita de los derechos
de acceso otorgados en la cual se indique que ellos conocen, entienden y
aceptan cumplir los controles de acceso a los sistemas de información.
10) El acceso a los sistemas de información se debe retirar o bloquear máximo 36
horas después de ser notificado el retiro del funcionario de la Institución y
máximo 24 horas si el funcionario es trasladado.
11) Todos los accesos no autorizados serán considerados como un incidente de
seguridad de la información, de acuerdo a la gravedad se llevaran a cabo las
clausulas (disciplinarias, administrativas y penales), definidas previamente.
12) Los privilegios de administración de los equipos de cómputo (servidor, estación
de trabajo, portátil, o equipo activo de red), deben ser asignados únicamente
a los administradores del sistema designados en la sesión del Subsistema de
Inteligencia y Contrainteligencia Militar, en ningún caso se debe autorizar estos
privilegios de acceso al usuario del equipo.
13) Todos los funcionarios deben gestionar sus contraseñas, inicialmente se les
suministrará de manera segura una contraseña temporal, la cual se debe
forzar a cambiar inmediatamente realice el siguiente ingreso al sistema.
14) Las contraseñas predeterminadas o por defecto se deben cambiar
inmediatamente después de la instalación de los sistemas o del software.
20
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
21
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
22
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
23
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
CIFRADO SIMÉTRICO
24
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
LONGITUD DE
CASO DE USO ALGORITMO
CLAVE
Para certificados
utilizados en servicios
relacionados a la
firma digital (sellado
de tiempo, RSA 2048 o 4096 Bits
almacenamiento
seguro de
documentos
electrónicos, etc.)
Para certificados de
RSA 2048 - 4096 Bits
sitio seguro.
Para certificados de
usuario (personas RSA 2048 - 4096 Bits
físicas o jurídicas).
25
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
26
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Se debe establecer un plan de capacitación y formación en seguridad de la
información, en cual se incluyan todos los aspectos de seguridad de la
información como:
a) Gestión de activos seguridad de la información
b) Gestión de riesgos de seguridad de la información
c) Gestión de incidentes de seguridad de la información
d) Gestión de contraseñas seguras
e) Buenas prácticas en seguridad de la información
f) Cumplimiento de lineamientos de seguridad de la información
27
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Los medios de copias de seguridad se deben almacenar en custodia externa,
asegurando que tenga implementado mecanismos de protección ambiental
como detección de humo, fuego, humedad, así como mecanismos de control
de acceso físico.
28
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
29
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Los responsables de la información a transferir deben asegurar que la
clasificación de ésta se encuentre actualizada teniendo en cuenta las
propiedades de seguridad: confidencialidad, integridad y disponibilidad, con el
fin de permitir el acceso únicamente a los autorizados.
2) Se debe aplicar lo establecido en el Decreto 1070 de 2015 para la transmisión
de documentos e información de Inteligencia y Contrainteligencia.
3) Únicamente se entrega información a receptores autorizados quienes
garanticen por escrito la reserva legal y protección de la información que se
les vaya a suministrar.
4) Cuando proceda, la Unidad responsable de proporcionar respuesta legal a un
requerimiento de información clasificada, deberá verificar previamente entre
otros temas y sin limitarse a:
5) La solicitud se ajuste a la normatividad aplicable vigente.
6) La respuesta identifique el nivel de clasificación, correspondiente a la
naturaleza del documento o la información que se ponga en conocimiento del
receptor autorizado
7) La respuesta debe reflejar adecuadamente la valoración de la información, el
uso de términos condicionales y dubitativos, que garantice entre otros la
reserva, el debido proceso, el buen nombre y el derecho a la intimidad.
8) La respuesta cumpla con los protocolos de seguridad, acceso y reserva.
9) La respuesta con la información suministrada no debe poner en peligro o
riesgo la Seguridad y Defensa Nacional, y, a los organismos que integran la
30
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
31
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
32
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
33
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
34
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
13) Los desarrollos que sean realizados al interior de la institución deben contar
con los siguientes principios de desarrollo seguro:
14) Principio del menor privilegio: partir siempre de un modelo de permisos
mínimos; es mejor ir escalando privilegios por demanda de acuerdo a los
perfiles establecidos en las etapas de diseño. Las aplicaciones deben
ejecutarse con el menor privilegio necesario para realizar el trabajo. Si un
usuario detecta una vulnerabilidad de seguridad e inserta un código en el
proceso, este código malintencionado se ejecutará con los mismos privilegios
que el proceso huésped. Si el proceso se ejecuta como administrador, el
código malintencionado se ejecuta como administrador.
15) Limpiar el código que se pone en producción: Asegurarse de limpiar el código
que se pone en producción, para que no contenga rutinas de pruebas o
cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido.
16) Usar mecanismos de autenticación robustos: Hoy en día la autenticación
mediante usuario y contraseña únicamente, no se considera segura. Un
sistema de autenticación se considera seguro si implementa al menos dos
de los tres factores de autenticación existentes.
a) Autenticación basada en algo conocido. Ejemplo, una contraseña, un código
PIN o passphrase (PGP).
b) Autenticación basada en algo poseído. Ejemplo, una tarjeta de la institución,
una tarjeta inteligente(smartcard), dispositivo usb tipo token,
c) Autenticación basada en una característica física del usuario o un acto
involuntario del mismo. Ejemplo, verificación de voz, de escritura, de huellas,
de patrones oculares.
d) Para ello, se puede hacer uso de librerías tales como ESAPI (Enterprise
Security API) de OWASP o el SDK de latch (segundo factor de autenticación).
35
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
17) Validar datos de entrada: No se debe confiar en los datos que ingresan a la
aplicación, todo debe ser verificado para garantizar que lo que está
ingresando a los sistemas es lo esperado además evitar inyecciones de
código. Estas validaciones se deben realizar tanto a nivel de cliente como a
nivel de servidor.
18) Minimizar la superficie de ataque: Reducir la superficie de ataque consiste en
limpiar la aplicación y el sistema operativo de paquetes y/o servicios
innecesarios. Paquetes como telnet, NFS, SMB-CIFS/Samba, servidor de
ventanas X (Gnome o KDE), contienen vulnerabilidades.
19) Mantener el software de terceros actualizados: Todos los sistemas de
información o software de terceros deben actualizarse, es necesario
mantener un proceso de administración de actualización para el software de
terceros.
20) Manejar adecuadamente los errores: Se debe hacer un manejo adecuado de
los errores para evitar al máximo entregar información al atacante. Para ello,
se debe utilizar siempre que sea posible controles de error (try - catch) para
que su aplicación no muestre la típica página de error 500. Una simple página
de error 403 (acceso denegado) puede decirle a un escáner de
vulnerabilidades que un directorio sacado de un diccionario existe, y
permitirle montar un aproximado de la estructura de directorios por ensayo y
error.
21) Usuarios y contraseñas en el código: No se debe almacenar contraseñas
dentro del código. Modificar el instalador para que al crear las cuentas de
usuario integradas, se soliciten al administrador contraseñas seguras para
cada cuenta.
36
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Se debe tener en cuenta la documentación relacionada con los servicios,
infraestructura de TI, sistemas de información y activos a los cuales tendrá
acceso los proveedores, esto deberá ser controlado teniendo en cuenta los
permisos de acuerdo al trabajo a realizar y los acuerdos firmados, los cuales
deben tener requisitos mínimos de seguridad, que se deben hacer cumplir
haciendo seguimiento por medio de mecanismos establecidos.
37
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
38
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
39
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
40
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Los servidores públicos y contratistas al servicio del Subsistema de
Inteligencia y Contrainteligencia Militar, se deben comprometer a identificar,
priorizar, clasificar, etiquetar, disponer, devolver y gestionar los activos de
información que se encuentran para su uso y bajo su responsabilidad.
2) La identificación, clasificación y valoración de los activos de información se
debe realizar de acuerdo al documento “Metodología de Clasificación de
Activos” del Subsistema de Inteligencia y Contrainteligencia Militar,
41
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
42
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
43
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
c) Correo Electrónico:
44
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
d) Recursos Compartidos:
a. Normas:
1) Los servidores públicos y contratistas deberán reportar al Oficial de Seguridad
o quien haga sus veces el evento o incidente de seguridad de la información
una vez se identifique cualquier situación que ponga en riesgo la
disponibilidad, integridad o confidencialidad de la misma. En caso de ser
necesario el Oficial reportará siguiendo el protocolo y conducto regular
dependiendo la criticidad del evento presentado.
2) Se debe reportar a la unidad designada por El Subsistema de Inteligencia y
Contrainteligencia Militar (GAOCC - BACSI), los incidentes de seguridad de la
información, quienes tendrán la responsabilidad de investigar y documentar
45
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
46
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Los diferentes roles y sus responsabilidades del Sistema de Gestión de
Seguridad de la Información están definidos en el “Modelo de Seguridad del
Sistema de Gestión de Seguridad de la Información de Inteligencia y
Contrainteligencia”.
2) La estructura de organización de Seguridad de la Información debe ser publica
y clara en sus responsabilidades para cada uno de los roles definidos.
3) Se debe nombrar a quien lidera y asume la responsabilidad total por el
desarrollo e implementación de la Seguridad de la Información y que apoye la
identificación de los controles.
4) Los individuos nombrados en los cargos de seguridad de la información deben
contar con las competencias académicas requeridas, las certificaciones deben
actualizarse.
47
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.3.13 No Repudio
a. Normas:
1) Para los procesos que se requieran se deben implementar mecanismos (huella
digital) en los que no exista la posibilidad de desafiar la validez de una acción
por parte de quien la generó.
2) Algunos mecanismos a implementar deberán ser certificados o contar con un
tercero en que todos confíen y que permita avalar la integridad y el origen de
los datos.
3) Se deben contar con registros y herramientas que permita hacer trazabilidad
de las acciones de creación, origen, recepción, entrega de información y otros,
que servirán de evidencia para poder garantizar el no repudio.
4) Estos registros se deben proteger contra perdida o modificación de tal manera
que se garantice su disponibilidad e integridad.
5) Los servicios de intercambio electrónico de información deben incorporar
mecanismos que sean garantía de no repudio.
48
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Todo servidor público, contratista y/o tercero vinculado al Ejército Nacional
deberá realizar los estudios de Credibilidad y Confiabilidad previo a la
suscripción del contrato de la vinculación y cada vez que lo requiera la
Institución.
2) Se debe firmar un acuerdo de confidencialidad, el cual debe contener un
compromiso por parte del servidor público con El Subsistema de Inteligencia y
Contrainteligencia Militar, de no divulgación de la información interna y externa
a la que tenga acceso como parte del desarrollo de las funciones que
desempeña.
3) El acuerdo de confidencialidad debe indicar la vigencia del mismo, el cual debe
mantenerse por la vigencia que considere El Subsistema de Inteligencia y
Contrainteligencia Militar, luego de terminada la vinculación con la Institución.
4) El tratamiento de datos personales debe estar sujeto a lo establecido en la
normatividad vigente.
5) Se debe indicar la finalidad del tratamiento de datos personales, la cual debe
ser informada al titular.
6) El tratamiento sólo puede hacerse con el consentimiento previo, expreso e
informado del titular de los datos.
49
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.3.15 Integridad
a. Normas:
1) Toda información verbal, física o electrónica debe ser procesada, entregada o
transmitida integralmente, coherentemente y exclusivamente a las personas
autorizadas a través de los medios autorizados sin modificaciones ni
alteraciones.
2) En el caso de vinculación contractual, el compromiso de administración y
manejo integro e integral de la información interna y externa debe hacer parte
de las cláusulas del respectivo contrato, bajo la denominación de cláusula de
integridad de la información.
3) Para la información que se clasifique como Restringida, Confidencial, Secreta
y Ultrasecreta y requiera ser transmitida a través de canales de comunicación
se deben utilizar mecanismos que permitan garantizar que la información
mantiene su integridad mientras es transmitida por la red, es decir, que la
información es completa y exacta de punto a punto en la transmisión.
50
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) El Subsistema de Inteligencia y Contrainteligencia Militar debe contar con un
Plan de Continuidad del Negocio que asegure la operación de los procesos
críticos ante la ocurrencia de eventos no previstos o desastres naturales.
2) Para el sistema de Inteligencia su activo más importante es el recurso humano
y por lo tanto será su prioridad y objetivo principal establecer las estrategias
para protegerlo.
3) Los niveles de recuperación mínimos requeridos, así como los requerimientos
de seguridad, funciones, responsabilidades relacionados con el plan, deben
estar incorporados y definidos en el Plan de Continuidad de Negocio.
4) Los jefes de dirección son los responsables del Plan de Continuidad del
Negocio serán los encargados de mantener documentados y actualizar e
informar cualquier cambio a todos los interesados.
51
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
52
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) El Área de Evaluación y Seguimiento debe planificar, establecer, implementar
y mantener un programa de auditoria interna que incluyan la frecuencia, los
métodos, las responsabilidades, los requisitos de planificación, y la
elaboración de informes.
2) Las acciones correctivas deben ser apropiadas a la causa de las no
conformidades encontradas.
3) El Área de Evaluación y Seguimiento debe asegurar que los resultados de las
auditorías se informan al Estado Mayor, y que se conserva información
documentada como evidencia de la implementación del programa de auditoria.
4) El Área de Evaluación y Seguimiento debe definir un plan de auditoria y un
equipo auditor que lo ejecute, el cual debe cumplir con las capacidades,
habilidades y conocimientos para su ejecución.
53
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
54
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
a. Normas:
1) Incluir objetivos de seguridad de la información en los objetivos del proyecto
desde su fase de planeación.
2) Realizar valoración de los riesgos de seguridad de la información en la fase de
estudios previos del proyecto, para identificar los controles necesarios.
3) Hacer seguimiento a los riesgos y controles aplicados para tratar los riesgos,
durante todas las fases del proyecto.
4) Incluir en sección que hace referencia al contrato: El contrato debe incluir los
requisitos de seguridad de la información del proyecto. Para ello, se deben
tener en cuenta como mínimo los siguientes requisitos:
5) Cláusula de confidencialidad
6) Cumplimiento de los lineamientos de seguridad de la información.
7) Reporte de eventos de seguridad de la información definidos en el
procedimiento de gestión de incidentes de seguridad de la información.
8) Etiquetado y manejo de la información de acuerdo con las directrices del
procedimiento de gestión de activos.
55
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
permisos necesarios para el acceso de los vehículos que tren o llevan los insumos.
Estos permisos deben ser tramitados de acuerdo a los procedimientos definidos
a. Normas:
1) Al imprimir documentos con niveles de clasificación, éstos deben ser retirados
de la impresora inmediatamente.
56
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
1) Registro de Eventos
a. Los sistemas operativos, servicios y sistemas de información que hacen parte
de la infraestructura para el procesamiento de información y comunicaciones
57
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
3) Sincronización de Relojes.
58
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
59
FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
6. REFERENCIAS
Elaboró: CP. Camilo Garcia Reviso: OPS. Fernando Gil Revisó: CT. Camilo Neme Vo.Bo: CR. Gabriel Espinosa
Suboficial SIC CEDE2 Asesor Jurídica DIPDA Oficial OSI CEDE2 Director DIPDA
60