Política General y Específicas de Seguridad de La Información CEDE2

FUERZAS MILITARES DE COLOMBIA
SUBSISTEMA DE INTELIGENCIA Y
CONTRAINTELIGENCIA
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 1 de 60
INTELIGENCIA Y CONTRAINTELIGENCIA
Bogotá, Diciembre de 2016
1
CONTRAINTELIGENCIA
TABLA DE CONTENIDO
1. INTRODUCCIÓN 5
2. OBJETIVOS 6
3. ALCANCE 7
4. DEFINICIONES 10
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 12
5.1.1 Política para dispositivos móviles 14
5.1.2 Política de Teletrabajo 16
5.1.3 Política de Acceso Lógico y Físico 18
5.1.4 Política de Controles Criptográficos 23
5.1.5 Política de los Recursos Humanos 26
5.1.6 Política de Respaldo de la Información 28
5.1.7 Política de Transferencia de Información 29
5.1.8 Política de Desarrollo Seguro 32
5.1.9 Política Para las Relaciones con los Proveedores 37
5.1.10 Política de Gestión de Activos 41
5.1.11 Política de Gestión de Incidentes de Seguridad de la Información 45
5.1.12 Política de Organización de la Seguridad de la Información 46
5.1.13 Política de No Repudio 48
5.1.14 Política de Privacidad y Confidencialidad 49
5.1.15 Política de Integridad 50
5.1.16 Política de Disponibilidad del Servicio e Información 50
5.1.17 Política de Registro y Auditoría 53
5.1.18 Política de Seguridad en Gestión de Proyectos 55
5.1.19 Política de Áreas de Despacho y Carga. 55
5.1.20 Política de Ubicación y Protección de los Equipos 56
2
CONTRAINTELIGENCIA
5.1.21 Política de Equipo Desatendido, Escritorio Limpio y Pantalla Limpia 56

5.1.22 Separación de los Ambientes 57
5.1.23 Registro y Supervisión 57
5.1.24 Gestión de la Vulnerabilidad Técnica 58
5.1.25 Seguridad en las Comunicaciones 59
6. REFERENCIAS 61
3
CONTRAINTELIGENCIA
CONTROL DE DOCUMENTOS
Fecha Autor Versión Referencia de Cambios
20-12-2016 Password Consulting 0 Creación del documento

Services
Revisado por
Nombre Cargo Firma

TE. Ariel Leonardo Coordinador Jurídico del CEDE2
Moreno Suta
SS. Johan Jefe de Sistemas de Información y
Céspedes Comunicaciones
CP. Camilo García Suboficial planes y proyectos CEDE2
CP. Oscar Leal Suboficial custodio del departamento del
CEDE2
PD. Yolanda Ruiz Profesional de defensa del SIG CEDE2
AS. Elizabeth Abogada Asesora Jurídica del DIPDA
Mercado
AS. Tania Gaviria Asesora de seguimiento y evaluación
CEDE2
Angela Vianney Consultor de Seguridad de la Información
Lopez Password Consulting Services
Aprobado por
Nombre Cargo Firma
4
CONTRAINTELIGENCIA
1. INTRODUCCIÓN
El Subsistema de Inteligencia y Contrainteligencia Militar tiene la responsabilidad de

contar con un direccionamiento estratégico en materia de Seguridad de la
Información, el desarrollo de estas políticas le permitirá a la Institución tomar
decisiones más ágiles y acertadas frente a los riesgos y las regulaciones,
permitiendo una gestión oportuna y efectiva aprovechando de la mejor forma los
recursos con que cuenta.
La referencia principal para el desarrollo de una política institucional de Seguridad

de la Información orientada al desarrollo de mejores prácticas de gestión, es la
Directiva Institucional “Política de Inteligencia y Contrainteligencia - Políticas de
Seguridad de la Información para las unidades del Subsistema de Inteligencia y
Contrainteligencia Militar”, el conjunto de normas NTC-ISO/IEC 27000, y los
modelos y guías de GEL generados por el Ministerio de la Tecnologías de la
Información y las Comunicaciones (MINTIC).
Por lo anterior, el Subsistema de Inteligencia y Contrainteligencia Militar define las

políticas de seguridad de la información con el fin de atender estos nuevos requisitos
orientadas a la protección de la información que se genera en el cumplimiento del
objetivo estratégico del Departamento de Inteligencia y Contrainteligencia CEDE2.
5
CONTRAINTELIGENCIA
2. OBJETIVOS
2.1 Objetivo General
Asegurar la confidencialidad, integridad y disponibilidad de los activos de

información del Departamento de Inteligencia y Contrainteligencia Militar CEDE2, el
Comando de Apoyo de Combate de Inteligencia Militar y el Comando de Apoyo de
Combate de Contrainteligencia Militar.
2.2 Objetivos Específicos
a) Establecer unas políticas y fundamentos base para la implementación y

ejecución efectiva de controles de seguridad de la información.
b) Definir la conducta esperada en el acceso, uso y manejo de los activos de

información.
c) Establecer y comunicar la responsabilidad en el uso de los activos de

información que soportan los procesos y sistemas de la institución.
d) Mantener los niveles de los riesgos residuales en aceptables a través de la

gestión de los riesgos en seguridad de la información.
e) Definir canales de comunicación efectivos que permitan al Estado Mayor

acerca de la gestión de incidentes de seguridad de la información y las
acciones tomadas para su mitigación y corrección.
f) Proteger la imagen, los intereses y el buen nombre del Departamento de

Inteligencia y Contrainteligencia CEDE2.
6
CONTRAINTELIGENCIA
3. ALCANCE
Las políticas dan las directrices requeridas para implementar un Sistema de Gestión
de Seguridad de la Información y definen el marco básico que guiará la implantación
de política, controles y procedimientos del SGSI.
Estas políticas aplican a todos los interesados del Subsistema de Inteligencia y

Contrainteligencia Militar, servidores públicos, y demás terceros, que accedan
desde lugares internos o externos, o hacen uso de cualquier activo de información
independientemente de su ubicación, medio o formato; e inclusive los ex miembros
de la fuerza deben mantener la debida confidencialidad sobre la información de la
Institución después de que se ha terminado la vinculación con el Subsistema de
Inteligencia y Contrainteligencia Militar por el tiempo que se estipule en los acuerdos
de confidencialidad establecidos.
3.1 Cumplimiento de las Direcciones del CEDE2
Las direcciones del Departamento de Inteligencia y Contrainteligencia proveen

evidencia de su compromiso con el desarrollo y la implementación de las políticas
de seguridad de la información, así como de su mejora continua, mediante:
 La autorización para que se implementen, actualicen y/o eliminen las políticas

controles, procedimientos, entre otros., de seguridad de la información en el
Subsistema de Inteligencia y Contrainteligencia Militar.
7
CONTRAINTELIGENCIA
 Comunicar la importancia de lograr los objetivos de seguridad, de cumplir sus

responsabilidades y de buscar el mejoramiento continuo en seguridad.
 Proporcionar todos los recursos necesarios para una adecuada

implementación de las políticas de seguridad de la información.
3.2 Cumplimiento y Manejo de Violaciones a las Políticas
Las políticas de seguridad de la información son de obligatorio cumplimiento para

cada uno de los funcionarios y terceros del Subsistema de Inteligencia y
Contrainteligencia Militar, cada usuario debe entender su rol y asumir su
responsabilidad respecto a los riesgos en seguridad de la información y la
protección de los activos de información. Cualquier incumplimiento de estas
políticas que comprometa la integridad, confidencialidad y/o disponibilidad de la
información puede constituir una falta disciplinaria de acuerdo a lo establecido en la
Ley 734 de 2002 y el Reglamento de Régimen Disciplinario para las Fuerzas
Militares (Ley 836 del 2003). Adicionalmente, la Ley 1273 de 2009. Ley de Delitos
Informáticos.
3.2 Administración de la Política y Procedimiento de Cambio
Las políticas de seguridad de la información se deben revisar cada año o en el

evento de cambios estructurales que afecten al Subsistema de Inteligencia y
8
CONTRAINTELIGENCIA
Contrainteligencia Militar, con el fin de asegurar que ésta cumpla con los cambios
que pudiera presentar el mismo.
El Comité de Seguridad de la Información es responsable del cumplimiento de esta

tarea y deberá considerar siempre los lineamientos del Subsistema de Inteligencia
y Contrainteligencia Militar. La fecha de vigencia será a partir de la aprobación y
socialización del presente documento.
Ante la necesidad de una actualización de las políticas, se debe hacer una reunión
con el jefe del Subsistema de Inteligencia y Contrainteligencia Militar, para efectos
de aprobación de los cambios en el presente documento y realizar una divulgación
de los cambios realizados a todos los funcionarios y demás interesados.
9
CONTRAINTELIGENCIA
4. DEFINICIONES
Activo: En relación con la Seguridad de la Información, se refiere a cualquier

información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas, entre otros) que tenga valor para la organización.
Confidencialidad: Propiedad de la información de no estar a disposición o ser

revelada a individuos, Instituciones, o procesos no autorizados.
Disponibilidad: Propiedad de la información de estar accesible y utilizable para su

uso cuando lo requiera una Institución autorizada.
Evento: Circunstancia inesperada o no deseada que se presenta y que indica una

posible violación a la Seguridad de la Información y no compromete las operaciones
de la organización ni amenaza la Seguridad de la Información.
Incidente de Seguridad de la Información: Circunstancia inesperada o no

deseada que se presenta y que posee una probabilidad significativa de
comprometer las operaciones de la organización y amenazar la Seguridad de la
Información.
Integridad: Propiedad de exactitud y completitud de la información.
Política: Declaración de alto nivel que describe la posición de la organización sobre

un tema específico.
Privacidad: La capacidad que una organización o individuo tiene para determinar

qué datos pueden ser compartidos.
Procedimiento: Forma específica de llevar a cabo una actividad o un proceso.
10
CONTRAINTELIGENCIA
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información.
Seguridad de la Información: La preservación de la confidencialidad, la integridad

y la disponibilidad de la información.
TIC: Tecnologías de la Información y las Comunicaciones.
11
CONTRAINTELIGENCIA
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1 Política General del Sistema de Gestión de Seguridad de la Información
“Subsistema de Inteligencia y Contrainteligencia Militar, dentro del marco de su

misión Institucional, reconoce la importancia de identificar y proteger sus activos de
información, asegurando su disponibilidad, confidencialidad e integridad,
comprometiéndose a establecer, implementar, mantener y mejorar continuamente
el Sistema de Gestión de Seguridad de la Información enmarcado en el
cumplimiento del ordenamiento legal y en concordancia con la misión, visión,
objetivos estratégicos y valores de la Institución.
5.2 Principios de la Políticas del SGSI
A continuación, se establecen los siguientes principios de seguridad que soportan

el SGSI del Subsistema de Inteligencia y Contrainteligencia Militar:
a) Las responsabilidades frente a la seguridad de la información serán definidas,

compartidas, publicadas y aceptadas por cada uno de los funcionarios y demás
terceros relacionados con el Subsistema de Inteligencia y Contrainteligencia
Militar.
b) El Subsistema de Inteligencia y Contrainteligencia Militar, protegerá la

información generada, procesada o resguardada por los procesos de su
12
CONTRAINTELIGENCIA
operación, su infraestructura tecnológica y activa del riesgo que se genera de

los accesos otorgados a terceros, o como resultado de un servicio interno en
outsourcing.
c) El Subsistema de Inteligencia y Contrainteligencia Militar, protegerá la
información creada, procesada, transmitida o resguardada por sus procesos de
la operación, con el fin de minimizar impactos operativos o legales debido a un
uso incorrecto de esta. Para ello es fundamental la aplicación de controles de
acuerdo con la clasificación de la información de su propiedad o en custodia.
d) El Subsistema de Inteligencia y Contrainteligencia Militar, protegerá las

instalaciones de procesamiento y la infraestructura tecnológica que soporta sus
procesos críticos.
e) El Subsistema de Inteligencia y Contrainteligencia Militar, controlará la gestión

de sus procesos de operación garantizando la seguridad de los recursos
tecnológicos y las redes de datos.
f) El Subsistema de Inteligencia y Contrainteligencia Militar, implementará control

de acceso a la información, sistemas y recursos de red.
g) El Subsistema de Inteligencia y Contrainteligencia Militar, garantizará que la

seguridad sea parte integral del ciclo de vida de los sistemas de información.
h) El Subsistema de Inteligencia y Contrainteligencia Militar, garantizará a través

de una adecuada gestión de los incidentes de seguridad de la información y las
13
CONTRAINTELIGENCIA
debilidades asociadas con los sistemas de información una mejora efectiva de

su SGSI.
i) El Subsistema de Inteligencia y Contrainteligencia Militar, garantizará la

disponibilidad de sus procesos y la continuidad de su operación basada en el
impacto que pueden generar los eventos.
j) El Subsistema de Inteligencia y Contrainteligencia Militar, garantizará el

cumplimiento de las obligaciones legales, regulatorias y contractuales
establecidas.
5.3 Políticas de Especificas del Sistema de Gestión de Seguridad de la

Información
5.3.1 Dispositivos Móviles
El uso de dispositivos móviles, tales como computadores portátiles (notebooks y

laptops), tabletas electrónicas, unidades de almacenamiento externo y teléfonos
móviles que contengan información del Subsistema de Inteligencia y
Contrainteligencia Militar, y que a su vez se utilicen para el manejo de esta
información, deben ser controlados y/o verificados de acuerdo al análisis de riesgo
correspondiente, y mitigar el impacto a que se expone la información como su
pérdida, alteración y divulgación no autorizada.
a. Normas:
1) Se debe contar con un inventario actualizado de dispositivos móviles utilizados
para almacenar o transmitir información del Subsistema de Inteligencia y
Contrainteligencia Militar.
14
CONTRAINTELIGENCIA
2) En los dispositivos móviles que exista información del Subsistema de

Inteligencia y Contrainteligencia Militar, se debe restringir la conexión a redes
o servicios que no sean explícitamente autorizados por el personal de
aseguramiento perimetral de los sistemas de información y comunicaciones.
3) En caso que el dispositivo móvil tenga fines de traslado de información debe
contar con controles de cifrado de la información.
4) Si desde el dispositivo móvil se procesa información se debe contar con un
software instalado y actualizado contra códigos maliciosos, firewall personal y
para prevenir intrusos.
5) Estos dispositivos deben contar con uno o dos factores de autenticación como
clave y huella digital.
6) Se deben generar recomendaciones del uso y cuidado de tipo físico cuando el
dispositivo se encuentre fuera de las instalaciones de la Institución.
7) Si desde el equipo móvil se requiere conexión remota a los servicios e
información de la red del Subsistema de Inteligencia y Contrainteligencia
Militar, se debe validar previamente que el dispositivo está libre de infección y
cumple con los demás controles de seguridad activos y actualizados.
8) Se deben implementar mecanismos para auditoria y monitoreo de las acciones
ejecutadas en los dispositivos móviles.
9) Se prohíbe el uso de dispositivos móviles personales para el manejo,
transporte y transmisión de información clasificada y sensible. Para los
dispositivo móviles institucionales se deben tener en cuenta las normas c), d)
y e) para blindarlos ante posibles amenazas.
10) Se deben configurar los dispositivos móviles de tal manera que cualquier
aplicación incluyendo los mecanismos de software de seguridad permanezcan
15
CONTRAINTELIGENCIA
actualizados sin que dependan de conexión directa de la infraestructura

tecnológica del Subsistema de Inteligencia y Contrainteligencia Militar.
11) Los dispositivos móviles institucionales deben tener activado la función de
geolocalización (si aplica) o recuperación por GPS. Se debe contar con un
mecanismo que permita localizarlo y recuperar sus datos.
12) Al realizar la disposición final o reasignación del dispositivo móvil a otra área
con un propósito diferente para el cual estaba designado, se deberá realizar
un borrado seguro de toda la información almacenada.
13) El acceso al computador portátil debe estar protegido por una contraseña de
encendido la cual se define en la BIOS (Basic Input Output System) del equipo.
14) El computador portátil debe tener un mecanismo de anclaje con clave y/o llave
que permita asegurarlo a otro elemento fijo de tal manera que no pueda ser
hurtado del lugar conectado.
15) Los puertos USB de los dispositivos móviles deben estar bloqueados y
configurados para evitar la fuga de información incluyendo los dispositivos de
teletrabajo.
16) Los funcionarios que tengan asignados equipos móviles de comunicación y
equipos portátiles, deben ser responsables de la reserva de la información
almacenada en ellos, para lo cual deben aplicar los mecanismos de seguridad
de este documento, que impidan la consulta de información por parte de
personas no autorizadas.
5.3.2 Teletrabajo
El Subsistema de Inteligencia y Contrainteligencia Militar, requiere accesos remotos

en determinados casos en los cuales se debe proteger la información clasificada
según lo establecido en la Ley Estatutaria 1621 de 2013 y el Decreto 1070 de 2015,
a la que tienen acceso los funcionarios desde lugares remotos, por razón y motivo
16
CONTRAINTELIGENCIA
de su cargo, por lo tanto, el acceso a la información fuera de la oficina puede ser

permitida si se demuestra que la información requerida es necesaria para el
cumplimiento de sus funciones, y que existe un control de acceso con autorización
previa y controlada por El Subsistema de Inteligencia y Contrainteligencia Militar.
a. Normas:
1) El acceso remoto únicamente se podrá realizar desde los equipos

institucionales que cumplan con los niveles de seguridad y sobre los cuales se
pueda confirmar el cumplimiento de requerimientos de seguridad, antes de
permitir la conexión remota a los servicios o recursos de la infraestructura
tecnológica.
2) Los accesos remotos a los sistemas de información del Subsistema de
Inteligencia y Contrainteligencia Militar, se deben realizar a través de los
protocolos de acceso establecidos previamente.
3) Se debe incluir controles de seguridad física a los equipos desde los cuales se
procesa información del Subsistema de Inteligencia y Contrainteligencia
Militar, lo anterior para evitar accesos no autorizados por personas ajenas.
4) Se deben realizar copias de respaldo de la información de acuerdo al
procedimiento de copias de seguridad para asegurar la continuidad de las
funciones realizadas.
5) Todo usuario que requiera conexión remota a los servicios o información del
Subsistema de Inteligencia y Contrainteligencia Militar, deberá ser
previamente autorizado por quien tenga dentro de sus responsabilidades
otorgar esta autorización.
17
CONTRAINTELIGENCIA
6) La conexión remota a servicios o información del Subsistema de Inteligencia y

Contrainteligencia Militar, se deberá realizar a través de canales de
comunicación seguros como redes privadas virtuales.
7) La administración remota de los servicios informáticos del Subsistema de
Inteligencia y Contrainteligencia Militar, desde equipos conectados desde
redes comerciales no está permitida, salvo que se cuente con la autorización
debidamente sustentada mediante documento escrito y con un mecanismo de
control de acceso seguro autorizado.
8) En caso de pérdida, suplantación o robo de un equipo portátil o cualquier
medio de almacenamiento durante el teletrabajo que contenga información
relacionada del Subsistema de Inteligencia y Contrainteligencia Militar, se
deberá realizar inmediatamente el respectivo reporte de acuerdo con el
procedimiento de Gestión de Incidentes de Seguridad (Anexo G de la Directiva
2014-18 “Lineamientos de Seguridad de la Información para el Sector Defensa
- Ministerio de Defensa”) y se deberá poner la denuncia ante la autoridad
competente.
5.3.3 Acceso lógico y físico
El Subsistema de Inteligencia y Contrainteligencia Militar, define un grupo de

controles que deben hacer referencia a todas aquellas directrices mediante las
cuales se determina los mecanismos de protección, los límites y procedimientos
frente a la administración y responsabilidad, relacionados con los accesos a la
información, sin importar si estos accesos sean electrónicos, lógicos o físicos.
a. Normas de acceso lógico:
18
CONTRAINTELIGENCIA
1) Dependiendo del nivel de clasificación y criticidad de los activos de información

a los cuales se va a brindar acceso se deben establecer mecanismos de
autenticación de uno, dos o tres factores.
2) Cuando se solicite tener acceso a algún recurso o servicio informático de
Inteligencia y Contrainteligencia se deberá realizar el correspondiente análisis
de riesgo con la participación del responsable de la información y de los activos
asociados, con el fin de determinar los privilegios a otorgar y definir los
mecanismos necesarios para su protección.
3) La creación, modificación y baja de usuarios en los sistemas de información,
comunicaciones y seguridad deberá seguir el procedimiento Gestión de
Usuarios y Contraseñas (Anexo O de la Directiva 2014-18 “Lineamientos de
Seguridad de la Información para el Sector Defensa - Ministerio de Defensa”).
4) Las asignaciones de privilegios en las aplicaciones para los diferentes usuarios
estarán determinadas por el procedimiento de Gestión de Usuarios y
Contraseñas (Anexo O de la Directiva 2014-18 “Lineamientos de Seguridad de
la Información para el Sector Defensa - Ministerio de Defensa”), estos
privilegios deben revisarse mensualmente y ser modificados o reasignados
cuando se presenten cambios en el perfil del usuario, ya sea por promociones,
ascensos, traslados, cambios de cargo o terminación de la relación laboral.
5) Los cambios a las cuentas privilegiadas o súper usuarios se deben registrar y
revisar cada mes. Adicionalmente, se deben realizar de acuerdo al
procedimiento de gestión de cambios.
6) Se deben establecer los requisitos para la autorización formal de las
solicitudes, así como para la revisión periódica de los controles y el retiro de
los derechos de acceso a los usuarios.
19
CONTRAINTELIGENCIA
7) Se debe usar una única identificación de usuario (ID) para permitir que los
usuarios queden vinculados y sean responsables de sus acciones.
8) Se debe verificar que el nivel de acceso otorgado sea adecuado para los
propósitos y limitado exclusivamente a la información que está autorizado a
acceder, y no poner en riesgo la segregación de funciones.
9) Todos los funcionarios del Subsistema de Inteligencia y Contrainteligencia
Militar, deben conocer, leer y firmar una declaración escrita de los derechos
de acceso otorgados en la cual se indique que ellos conocen, entienden y
aceptan cumplir los controles de acceso a los sistemas de información.
10) El acceso a los sistemas de información se debe retirar o bloquear máximo 36
horas después de ser notificado el retiro del funcionario de la Institución y
máximo 24 horas si el funcionario es trasladado.
11) Todos los accesos no autorizados serán considerados como un incidente de
seguridad de la información, de acuerdo a la gravedad se llevaran a cabo las
clausulas (disciplinarias, administrativas y penales), definidas previamente.
12) Los privilegios de administración de los equipos de cómputo (servidor, estación
de trabajo, portátil, o equipo activo de red), deben ser asignados únicamente
a los administradores del sistema designados en la sesión del Subsistema de
Inteligencia y Contrainteligencia Militar, en ningún caso se debe autorizar estos
privilegios de acceso al usuario del equipo.
13) Todos los funcionarios deben gestionar sus contraseñas, inicialmente se les
suministrará de manera segura una contraseña temporal, la cual se debe
forzar a cambiar inmediatamente realice el siguiente ingreso al sistema.
14) Las contraseñas predeterminadas o por defecto se deben cambiar
inmediatamente después de la instalación de los sistemas o del software.
20
CONTRAINTELIGENCIA
15) Si un usuario tiene acceso a diferentes sistemas de información, se deben

emplear contraseñas diferentes.
16) Toda contraseña es personal e intransferible, y cada usuario es responsable
de las acciones que se ejecuten con el usuario que se le ha asignado.
17) En caso de que exista sospecha o certeza de que alguna contraseña se ha
comprometido, esta debe ser cambiada y documentada de manera inmediata.
18) La gestión de las contraseñas incluye construir contraseñas teniendo en
cuenta los siguientes lineamientos de manera obligatoria:
19) Deben estar compuestas mínimo de catorce (14) caracteres que deben ser
combinados (mayúsculas, minúsculas, números y caracteres especiales).
20) No deben ser idénticas o similares a contraseñas que hayan usado
previamente o que usen en otros sistemas de información.
21) La contraseña tendrá una vigencia máxima de 30 días, finalizando este periodo
el usuario deberá realizar el cambio correspondiente.
22) No deben ser fáciles de inferir o adivinar.
23) No deben ser susceptibles a ataques de diccionario, es decir, que no incluya
palabras que podrían ser encontradas en un diccionario.
b. Normas de Acceso Físico:
1) La protección física se llevará a cabo mediante la creación de diversas

barreras o medidas de control físicas, alrededor de las instalaciones del
Subsistema de Inteligencia y Contrainteligencia Militar y de las instalaciones
de procesamiento de información.
21
CONTRAINTELIGENCIA
2) Para la selección de controles de las áreas protegidas se tendrá en cuenta la

posibilidad de daño producido por incendio, inundación, explosión, agitación
civil y otras formas de desastres naturales o provocados por el hombre.
3) El cableado de energía eléctrica y comunicaciones que transportan datos o
brinda apoyo a los servicios de información deben estar aislados y protegerse
contra intercepción o daños.
4) Se debe garantizar la seguridad física del centro de datos incluyendo, entre
otros, el sistema eléctrico, el sistema de protección contra incendios y el control
de temperatura.
5) Todas las puertas que utilicen sistema de control de acceso, deben
permanecer cerradas, y es responsabilidad de todos los funcionarios y
terceros autorizados evitar que las puertas se dejen abiertas.
6) Se debe exigir a todo el personal, sin excepción, el porte en un lugar visible
del mecanismo de identificación adoptado en cada una de las unidades del
Subsistema de Inteligencia y Contrainteligencia Militar, mientras permanezcan
dentro de sus instalaciones.
7) Los visitantes deberán permanecer acompañados de un funcionario cuando
se encuentren dentro de alguna de las áreas seguras (Centros de Datos –
secciones de sistemas de información y comunicaciones), del Inteligencia y
Contrainteligencia.
8) Es responsabilidad de todos los funcionarios y terceros acatar las normas de
seguridad y mecanismos de control de acceso a las instalaciones de las
unidades del Subsistema de Inteligencia y Contrainteligencia Militar.
9) Todo acceso físico a las áreas protegidas deberá estar manejado según los
lineamientos definidos por el procedimiento de Control de Acceso a Área
22
CONTRAINTELIGENCIA
protegida (Anexo I de la Directiva 2014-18 “Lineamientos de Seguridad de la

Información para el Sector Defensa - Ministerio de Defensa”).
10) En las áreas restringidas donde se encuentren activos informáticos, se debe
cumplir como mínimo con los siguientes lineamientos:
a) No se deben consumir alimentos ni bebidas.
b) No se deben ingresar elementos inflamables.
c) No se debe permitir el acceso de personal ajeno sin que este acompañado
por un funcionario durante el tiempo que dure su visita.
d) No se deben almacenar elementos ajenos a la funcionalidad de la
respectiva zona segura.
e) No se permite tomar fotos o grabaciones de las áreas seguras sin la previa
autorización del área responsable de cada una de ellas.
f) No se permite el ingreso de equipos electrónicos (computadores portátiles,
cámaras, celulares, USB, etc.), así como maletas o contenedores, a menos
que haya una justificación para esto. En ese caso, deberán ser registradas
al ingreso y salida para minimizar la posibilidad de ingreso de elementos no
autorizados o la extracción de elementos.
g) Se debe dar cumplimiento a lo establecido en la Directiva 2014-18
“Lineamientos de Seguridad de la Información para el Sector Defensa -
Ministerio de Defensa” en sus Anexos: “I. Procedimiento Áreas Seguras” y
“O. Procedimiento Gestión de Usuarios y Contraseñas”, así como lo
establecido en el procedimiento de “Gestión de Acceso” y “Trabajo de Áreas
Seguras” de Inteligencia y Contrainteligencia.
5.3.4 Controles Criptográficos
Con el fin de proteger la confidencialidad e integridad de la información, El

Subsistema de Inteligencia y Contrainteligencia Militar, deberá definir los controles
23
CONTRAINTELIGENCIA
y responsables del cifrado de la información, así como también de las claves de

cifrado estas deberán ser utilizadas, protegidas y gestionadas a lo largo de su ciclo
de vida únicamente por los responsables designados.
a. Normas:
1) La información digital clasificada como Restringido, Confidencial, Secreto y

Ultra-secreto se debe almacenar y transmitir bajo técnicas de cifrado con el
propósito de proteger su confidencialidad e integridad, no obstante, en caso
de no poderse aplicar un mecanismo de cifrado seguro, el responsable del
cifrado deberá asignar clave de apertura a los archivos digitales que contengan
este tipo de información.
2) Se debe asegurar que todo sistema de información o aplicativo que requiera
realizar transmisión de información Restringido, Confidencial, Secreto y Ultra-
secreto, cuente con mecanismos de cifrado de datos.
3) Se debe verificar desarrollar y establecer mecanismos para el manejo y la
administración de llaves de cifrado; y estándares para la aplicación de
controles criptográficos.
4) Se deben implementar controles respecto de la administración de claves,
recuperación de información cifrada en caso de pérdida, compromiso o daño
de las claves y reemplazo de las claves de cifrado.
Se deben utilizar los siguientes algoritmos de cifrado y tamaños de clave:
CIFRADO SIMÉTRICO
ALGORITMO LONGITUD DE CLAVE
AES 256 Bits
24
CONTRAINTELIGENCIA
5) Los algoritmos y longitudes de clave mencionados anteriormente a la fecha

de la generación de esta política se consideran seguros. Se recomienda
CIFRADO ASIMÉTRICO
LONGITUD DE
CASO DE USO ALGORITMO
CLAVE
Para certificados
utilizados en servicios
relacionados a la
firma digital (sellado
de tiempo, RSA 2048 o 4096 Bits
almacenamiento
seguro de
documentos
electrónicos, etc.)
Para certificados de
RSA 2048 - 4096 Bits
sitio seguro.
Para certificados de
usuario (personas RSA 2048 - 4096 Bits
físicas o jurídicas).
verificar esta condición periódicamente con el objeto de efectuar las

actualizaciones correspondientes.
6) Los riesgos de fuga de información o perdida de confidencialidad
relacionados con los controles criptográficos deben ser evaluados cada 3
meses por el responsable de la información y el encargado del SGSI, con el
fin de evaluar la seguridad de los algoritmos de cifrado actuales y actualizar
de acuerdo a los informes de las autoridades competentes.
7) Todos los documentos electrónicos que requieran asegurar la integridad y
autenticidad de la información deben incluir una firma digital. El área técnica
25
CONTRAINTELIGENCIA
debe asesorar al responsable de la información para realizar la firma

electrónica.
8) Al utilizar firmas y certificados digitales, se debe considerar la legislación
vigente que describa las condiciones bajo las cuales una firma digital es
legalmente válida.
9) Todas las claves serán protegidas contra modificación y destrucción; y las
claves secretas o privadas serán protegidas contra copia o divulgación no
autorizada.
10) Se proporcionará una protección adecuada a la infraestructura utilizada para
generar, almacenar y archivar claves, considerándola crítica o de alto riesgo.
11) Cuando las claves son comprometidas o cuando un funcionario se desvincula
del Subsistema de Inteligencia y Contrainteligencia Militar, se deben revocar
los certificados o firmas digitales.
12) Se debe registrar y auditar las actividades relativas a la administración de
claves.
13) A fin de reducir la probabilidad de compromiso, las claves tendrán fechas de
inicio y caducidad de vigencia, definidas de manera que sólo puedan ser
utilizadas por un lapso de tiempo definido, no mayor a 12 meses.
14) Cuando se utilice criptografía simétrica, se debe asegurar que la metodología
para el envío de la clave sea segura y que esta solo sea conocida por el
emisor y el receptor.
5.3.5 Recursos Humanos
Toda vinculación laboral realizada por el Subsistema de Inteligencia y

Contrainteligencia Militar, se debe regir de acuerdo a los manuales, procedimientos,
las leyes colombianas. Adicionalmente, El Subsistema de Inteligencia y
Contrainteligencia Militar, proporcionará los recursos necesarios para la formación,
26
CONTRAINTELIGENCIA
capacitación y/o concienciación en seguridad de la información de los servidores

públicos, contratistas y terceros con acceso a información.
a. Normas:
1) Se debe establecer un plan de capacitación y formación en seguridad de la
información, en cual se incluyan todos los aspectos de seguridad de la
información como:
a) Gestión de activos seguridad de la información
b) Gestión de riesgos de seguridad de la información
c) Gestión de incidentes de seguridad de la información
d) Gestión de contraseñas seguras
e) Buenas prácticas en seguridad de la información
f) Cumplimiento de lineamientos de seguridad de la información
2) Las capacitaciones deben ir dirigidas a todo el personal activo del Subsistema

de Inteligencia y Contrainteligencia Militar, lo cual permitirá fortalecer el
conocimiento y crear una cultura de seguridad de la información.
3) Se debe establecer un plan de concienciación anual con actividades lúdicas
que permitan que los funcionarios tengan una educación constante en
seguridad de la información a través de los diferentes medios de comunicación
con pantallas de los equipos, carteleras digitales, correos electrónicos, entre
otros.
4) Incluir los temas de seguridad de la información en los planes de inducción y
reinducción de la institución, es importante tener registros de las personas que
recibieron la inducción.
5) La asistencia a las sesiones de capacitación y sensibilización en seguridad de
la información son de carácter obligatorio.
27
CONTRAINTELIGENCIA
6) Se debe realizar evaluación de conocimientos en seguridad de la información

al personal capacitado o sensibilizado, es importante medir la efectividad de
las actividades de cultura en seguridad de la información.
7) Todas las estaciones de trabajo deberán usar únicamente el papel tapiz y el
protector de pantalla establecido por las necesidades institucionales.
8) Los funcionarios son responsables por la custodia y las acciones que se
realicen sobre los activos informáticos que le han asignado, por lo tanto, debe
estar presente en el sitio de trabajo cuando se realice cualquier mantenimiento
o actualización de dichos activos.
9) Se deben definir compromisos y obligaciones por parte del personal que es
capacitado en temas de seguridad de la información.
10) No se debe dejar en las impresoras documentos expuestos que contengan
información sensible, ya que se puede comprometer su confidencialidad.
11) Para la vinculación de personal a la institución se deben realizar el
diligenciamiento de los documentos requeridos por seguridad militar los cuales
serán de carácter obligatorio sin excepción alguna.
5.3.6 Respaldo de la información
El Subsistema de Inteligencia y Contrainteligencia Militar, debe realizar copias de

respaldo de la información dando prioridad a la clasificada con mayores niveles de
importancia y criticidad basados en lo definido en el Compilado 1070 de 2015.
a. Normas:
1) Los medios de copias de seguridad se deben almacenar en custodia externa,
asegurando que tenga implementado mecanismos de protección ambiental
como detección de humo, fuego, humedad, así como mecanismos de control
de acceso físico.
28
CONTRAINTELIGENCIA
2) Se deben realizar pruebas de restauración de la información, de acuerdo a un

plan de restauración de copias de respaldo establecido, para asegurar que se
puede depender de ellos para uso de emergencia en caso necesario.
3) Definir los tiempos de retención y de protección en instalaciones adecuadas
que provean la debida seguridad física y ambiental, permitiendo minimizar el
impacto en las funciones del Subsistema de Inteligencia y Contrainteligencia
Militar, en caso de presentarse una falla o desastre y poder contar con la
información necesaria en el momento oportuno para responder con los
tiempos de restauración de los servicios.
4) Se debe contar con registros exactos y completos de las copias de respaldo.
5) Definir la frecuencia y tipo de copias de respaldo a realizar.
6) Las pruebas de restauración se deberían hacer en medios de prueba
dedicados, no sobrescribiendo el medio original, para evitar que se cause un
daño o pérdida de la información.
7) El personal encargado de realizar las copias de respaldo y pruebas de
restauración deberá contar con las competencias e idoneidad, además de los
estudios de credibilidad, confiabilidad y actualización.
8) Se debe dar cumplimiento a lo establecido en la Directiva 2014-18
Ministerio de Defensa” en sus Anexos: “M. Procedimiento Gestión de Copias
de Respaldo y recuperación”.
5.3.7 Transferencia de información
El Subsistema de Inteligencia y Contrainteligencia Militar, debe implementar

procedimientos y controles para el uso adecuado de las redes y medios de
comunicación de la Institución, evitando que los sistemas de información sean
29
CONTRAINTELIGENCIA
vulnerados y dejar en riesgo la confidencialidad, integridad y disponibilidad de la

información durante la transferencia de información entre funcionarios y terceros.
a. Normas:
1) Los responsables de la información a transferir deben asegurar que la
clasificación de ésta se encuentre actualizada teniendo en cuenta las
propiedades de seguridad: confidencialidad, integridad y disponibilidad, con el
fin de permitir el acceso únicamente a los autorizados.
2) Se debe aplicar lo establecido en el Decreto 1070 de 2015 para la transmisión
de documentos e información de Inteligencia y Contrainteligencia.
3) Únicamente se entrega información a receptores autorizados quienes
garanticen por escrito la reserva legal y protección de la información que se
les vaya a suministrar.
4) Cuando proceda, la Unidad responsable de proporcionar respuesta legal a un
requerimiento de información clasificada, deberá verificar previamente entre
otros temas y sin limitarse a:
5) La solicitud se ajuste a la normatividad aplicable vigente.
6) La respuesta identifique el nivel de clasificación, correspondiente a la
naturaleza del documento o la información que se ponga en conocimiento del
receptor autorizado
7) La respuesta debe reflejar adecuadamente la valoración de la información, el
uso de términos condicionales y dubitativos, que garantice entre otros la
reserva, el debido proceso, el buen nombre y el derecho a la intimidad.
8) La respuesta cumpla con los protocolos de seguridad, acceso y reserva.
9) La respuesta con la información suministrada no debe poner en peligro o
riesgo la Seguridad y Defensa Nacional, y, a los organismos que integran la
30
CONTRAINTELIGENCIA
comunidad de Inteligencia, sus métodos, sus procedimientos, sus medios, sus

fuentes, sus agentes, sus servidores públicos o sus asesores.
10) La respuesta no debe dar a conocer capacidades, procedimientos, métodos,
medios, elementos técnicos, operaciones o actividades que comprometan la
Seguridad y Defensa Nacional.
11) Con el fin de asegurar la trazabilidad de la respuesta esta debe quedar
debidamente registrada.
12) El documento de respuesta se debe trasladar a los receptores autorizados
especificar las prohibiciones o restricciones de su difusión, alertando sobre las
acciones penales y disciplinarias que acarrea la no observancia de lo
consagrado en la Ley Estatutaria 1621 de 2013.
13) Se debe dar cumplimiento a lo establecido en el procedimiento de “Gestión de
Activos” de Inteligencia y Contrainteligencia.
14) No se permite el intercambio de Información del Subsistema de Inteligencia y
Contrainteligencia Militar, por sistemas de mensajería instantánea (WhatsApp,
Telegram, cuentas de correos de dominios comerciales, exposición de
información en la nube, entre otros), redes sociales, o por medios que alojen
Información en la nube.
15) Los emisores deben verificar el nombre de los destinatarios previo al envío de
los correos electrónicos que contengan datos clasificados como
confidenciales. Esto permite reducir al máximo el riesgo de fuga de información
o transferencia de información confidencial a destinatarios no autorizados.
16) Se prohíbe en el correo electrónico institucional el envío de archivos que
contengan extensiones ejecutables (exe, bat, etc).
31
CONTRAINTELIGENCIA
5.3.8 Desarrollo Seguro
El Subsistema de Inteligencia y Contrainteligencia Militar, definirá un conjunto de

lineamientos para garantizar la seguridad de la Información durante la adquisición,
desarrollo y mantenimiento de los sistemas de información.
a. Normas:
1) Se deben identificar y acordar los requisitos de seguridad en todas las fases

del ciclo de vida de desarrollo de software, y se deben justificar, acordar y
documentar. Estos requisitos se deben aplicar en el desarrollo de nuevos
sistemas de información o en las mejoras a los sistemas de información
existentes en la Institución.
2) Se deben incluir puntos de chequeo de seguridad dentro de las fases del ciclo
de vida de desarrollo de software.
3) El cambio de versión de las aplicaciones implementadas en el ambiente de
producción se debe hacer de acuerdo a lo definido en el procedimiento de
Control de Versiones (Anexo Q de la Directiva 2014-18 “Lineamientos de
Seguridad de la Información para el Sector Defensa - Ministerio de Defensa”);
además, debe contar con controles de seguridad, para esto se debe hacer una
copia de respaldo en caso que se deba realizar roll back o marcha atrás, para
mantener la disponibilidad e integridad de los datos y de los sistemas de
información.
4) Se deben realizar pruebas de seguridad en un ambiente controlado con el fin
de identificar vulnerabilidades, las cuales deben ser resueltas antes del paso
a producción.
5) Los ambientes de desarrollo, pruebas y producción, deben estar separados.
32
CONTRAINTELIGENCIA
6) El paso de software de un ambiente a otro debe ser controlado y gestionado

de acuerdo a lo definido en el procedimiento de Control de Cambios (Anexo J
de la Directiva 2014-18 “Lineamientos de Seguridad de la Información para el
Sector Defensa - Ministerio de Defensa”).
7) Los usuarios deben utilizar perfiles diferentes en el ambiente de desarrollo,
pruebas y producción; además, asegurar que cada usuario cuente únicamente
con los privilegios necesarios en cada ambiente.
8) El ambiente de prueba debe simular el ambiente de producción.
9) En caso de requerirse hacer copia de la información del ambiente de
producción al ambiente de pruebas, se podrá realizar únicamente si la
información se encuentra enmascarada u ofuscada, con el fin de que no se
llegue a comprometer.
10) EI desarrollo de contratos de mantenimiento deberá contar con la asignación
de un supervisor permanente, encargado de controlar que se cumplan los
estándares de seguridad tanto en la parte física como lógica de los sistemas.
Ningún mantenimiento podrá ser realizado por personal que no tenga los
respectivos estudios de Credibilidad y Confiabilidad, certiﬁcados por
Contrainteligencia.
Ministerio de Defensa” en sus Anexos: “Q. Procedimiento de Control de
Versiones” y “J. Procedimiento de Control de Cambios”, así como lo
establecido en el procedimiento de “Gestión de Cambios”. El procedimiento de
cambios se diligencia de acuerdo a la necesidad, es decir si es un cambio del
Subsistema de Inteligencia y Contrainteligencia, se diligencia el propio.
33
CONTRAINTELIGENCIA
12) Los sistemas de información y aplicaciones están sujetas a evaluaciones de

seguridad basadas en los siguientes criterios:
a) El paso a producción de una nueva aplicación estará sujeto a una evaluación
de seguridad (análisis de vulnerabilidades y ethical hacking) completa previa
a la aprobación de la documentación de control de cambios y entrada en
ambiente de producción.
b) Una aplicación web estará sujeta a una evaluación completa después de la
cual será ligada a los requerimientos de la política de seguridad.
c) Las versiones nuevas y la liberación de parches estarán sujetas a un nivel de
evaluación apropiado basado en el riesgo de los cambios en la funcionalidad
de cada aplicación.
d) Todas las aplicaciones web que se publiquen a nivel interno o en internet
deben accederse por medio de un nombre. No se permitirá la publicación de
una aplicación web utilizando una dirección IP interna o externa.
e) La URL de ingreso a las aplicaciones web no debe incluir puertos, estos
deben enmascararse en el servidor web.
f) La actualización del sistema operativo e instalación de parches estará sujeta
a una evaluación por parte de los desarrolladores o el proveedor de la
aplicación y los administradores de la plataforma tecnológica del Subsistema
de Inteligencia y Contrainteligencia Militar.
g) Todas las aplicaciones o sistemas de información que requieran el acceso a
una base de datos, debe garantizar el acceso mediante el principio de menor
privilegio. Esto significa que el usuario a través del cual se accede a la base
de datos debe tener los permisos mínimos necesarios para que la aplicación
o sistema de información funcione correctamente.
34
CONTRAINTELIGENCIA
13) Los desarrollos que sean realizados al interior de la institución deben contar
con los siguientes principios de desarrollo seguro:
14) Principio del menor privilegio: partir siempre de un modelo de permisos
mínimos; es mejor ir escalando privilegios por demanda de acuerdo a los
perfiles establecidos en las etapas de diseño. Las aplicaciones deben
ejecutarse con el menor privilegio necesario para realizar el trabajo. Si un
usuario detecta una vulnerabilidad de seguridad e inserta un código en el
proceso, este código malintencionado se ejecutará con los mismos privilegios
que el proceso huésped. Si el proceso se ejecuta como administrador, el
código malintencionado se ejecuta como administrador.
15) Limpiar el código que se pone en producción: Asegurarse de limpiar el código
que se pone en producción, para que no contenga rutinas de pruebas o
cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido.
16) Usar mecanismos de autenticación robustos: Hoy en día la autenticación
mediante usuario y contraseña únicamente, no se considera segura. Un
sistema de autenticación se considera seguro si implementa al menos dos
de los tres factores de autenticación existentes.
a) Autenticación basada en algo conocido. Ejemplo, una contraseña, un código
PIN o passphrase (PGP).
b) Autenticación basada en algo poseído. Ejemplo, una tarjeta de la institución,
una tarjeta inteligente(smartcard), dispositivo usb tipo token,
c) Autenticación basada en una característica física del usuario o un acto
involuntario del mismo. Ejemplo, verificación de voz, de escritura, de huellas,
de patrones oculares.
d) Para ello, se puede hacer uso de librerías tales como ESAPI (Enterprise
Security API) de OWASP o el SDK de latch (segundo factor de autenticación).
35
CONTRAINTELIGENCIA
17) Validar datos de entrada: No se debe confiar en los datos que ingresan a la
aplicación, todo debe ser verificado para garantizar que lo que está
ingresando a los sistemas es lo esperado además evitar inyecciones de
código. Estas validaciones se deben realizar tanto a nivel de cliente como a
nivel de servidor.
18) Minimizar la superficie de ataque: Reducir la superficie de ataque consiste en
limpiar la aplicación y el sistema operativo de paquetes y/o servicios
innecesarios. Paquetes como telnet, NFS, SMB-CIFS/Samba, servidor de
ventanas X (Gnome o KDE), contienen vulnerabilidades.
19) Mantener el software de terceros actualizados: Todos los sistemas de
información o software de terceros deben actualizarse, es necesario
mantener un proceso de administración de actualización para el software de
terceros.
20) Manejar adecuadamente los errores: Se debe hacer un manejo adecuado de
los errores para evitar al máximo entregar información al atacante. Para ello,
se debe utilizar siempre que sea posible controles de error (try - catch) para
que su aplicación no muestre la típica página de error 500. Una simple página
de error 403 (acceso denegado) puede decirle a un escáner de
vulnerabilidades que un directorio sacado de un diccionario existe, y
permitirle montar un aproximado de la estructura de directorios por ensayo y
error.
21) Usuarios y contraseñas en el código: No se debe almacenar contraseñas
dentro del código. Modificar el instalador para que al crear las cuentas de
usuario integradas, se soliciten al administrador contraseñas seguras para
cada cuenta.
36
CONTRAINTELIGENCIA
22) Registro de eventos: La aplicación deberá almacenar registros relacionados

con actividades de usuario, excepciones, fallas y eventos de seguridad de la
información.
23) Defensa en profundidad: No se debe confiar en un solo punto de defensa. La
aplicación en la mayoría de los casos será siempre la última línea de defensa
entre el atacante y servidores del entorno de redes corporativas. Por lo tanto,
se le deben disponer mecanismos de protección para la aplicación, al sistema
operativo, al servidor que aloja la aplicación, a la red en la que se encuentra
el servidor y protección física al sitio donde se encuentra ubicado el servidor.
24) Realizar pruebas de seguridad: Durante el desarrollo es necesario llevar a
cabo pruebas funcionales enfocadas en validar la seguridad de la
información.
5.3.9 Relaciones con los proveedores
El Subsistema de Inteligencia y Contrainteligencia Militar, debe identificar requisitos

de seguridad para proteger la información, e incluirlos dentro de los acuerdos con
proveedores, por medio de un análisis que permita identificar los riesgos de
seguridad de la información asociados para implementar planes de acción
dependiendo del tipo de actividad con el proveedor.
a. Normas:
1) Se debe tener en cuenta la documentación relacionada con los servicios,
infraestructura de TI, sistemas de información y activos a los cuales tendrá
acceso los proveedores, esto deberá ser controlado teniendo en cuenta los
permisos de acuerdo al trabajo a realizar y los acuerdos firmados, los cuales
deben tener requisitos mínimos de seguridad, que se deben hacer cumplir
haciendo seguimiento por medio de mecanismos establecidos.
37
CONTRAINTELIGENCIA
2) El Subsistema de Inteligencia y Contrainteligencia Militar, debe incluir dentro

de los acuerdos a firmar con el proveedor, todos los controles de seguridad
aplicables.
3) Cuando exista la necesidad de otorgar acceso de terceras partes a los activos
de información del Subsistema de Inteligencia y Contrainteligencia Militar,
deberá realizarse siempre con la participación del responsable de la
información, además de realizar una evaluación de riesgos para identificar los
requerimientos de controles específicos, teniendo en cuenta, entre otros, los
siguientes aspectos:
a) El tipo de acceso requerido (físico, lógico y a qué recurso)
b) Los motivos para los cuales solicita el acceso
c) El valor de la información
d) Los controles empleados por el proveedor.
4) En ningún caso se otorgará acceso a terceros a la información del
Subsistema de Inteligencia y Contrainteligencia Militar, a las instalaciones de
procesamiento u áreas restringidas, hasta tanto se hayan implementado los
controles apropiados y se haya realizado el correspondiente estudio de
credibilidad y confiabilidad y firmado un acuerdo que definan las condiciones
para la conexión o el acceso.
5) El acceso de los terceros a la información o a cualquier elemento de la
infraestructura tecnológica debe ser solicitado por el supervisor, o persona a
cargo del tercero, al responsable de dicho activo. Éste junto con los
encargados de la infraestructura tecnológica, aprobarán y autorizarán el
acceso y uso de la información.
38
CONTRAINTELIGENCIA
6) Los contratos o acuerdos de tercerización total o parcial para la

administración y control de sistemas de información, redes y ambientes de
computadores, contemplarán como mínimo los siguientes aspectos:
a) Forma en los que se cumplirán los requisitos legales aplicables
b) Medios para garantizar que todas las partes involucradas en la tercerización
incluyendo los subcontratistas, conocen sus responsabilidades en materia de
seguridad.
c) Forma en que se mantendrá y comprobará la integridad y confidencialidad
de los activos.
d) Controles físicos y lógicos que se utilizarán para restringir y delimitar el
acceso a la información sensible
e) Forma en que se mantendrá la disponibilidad de los servicios ante la
ocurrencia de desastres.
f) Niveles de seguridad física que se asignará al equipamiento tercerizado.
g) Derecho a la auditoria por parte del Subsistema de Inteligencia y
7) Todos los funcionarios y terceros deben firmar la cláusula y acuerdo de
confidencialidad que deberá ser parte integral de los contratos utilizando
términos legalmente ejecutables y contemplando factores como
responsabilidades y acciones de los firmantes para evitar la divulgación de
información no autorizada. Este requerimiento también se aplicará para los
casos de contratación de personal temporal o cuando se permita el acceso a
la información y a los recursos a personas o Instituciones externas.
8) Se deben formalizar los niveles de acuerdo de servicio y los acuerdos de
intercambio de información con cada proveedor dentro del contrato realizado,
39
CONTRAINTELIGENCIA
de acuerdo a los lineamientos establecidos por El Subsistema de Inteligencia

y Contrainteligencia Militar.
9) Los encargados de la infraestructura tecnológica deben verificar las
condiciones de comunicación segura, cifrado y transmisión de información,
desde y hacia los terceros.
10) Los supervisores de contratos con terceros deben administrar los cambios
en el suministro de servicios por parte de los proveedores, manteniendo los
niveles de cumplimiento de servicio y seguridad establecidos con ellos y
monitoreando la aparición de nuevos riesgos.
11) El Oficial de seguridad de la información o quien haga sus veces debe validar
y verificar en las actividades realizadas por proveedores el cumplimiento de
las lineamientos de seguridad de la información. Se debe tener un registro
de la actividad.
12) El Subsistema de Inteligencia y Contrainteligencia Militar, debe verificar que
toda modificación o actualización a la infraestructura de tecnologías de la
información por parte de terceros esté debidamente diligenciada y autorizada
siguiendo los lineamientos establecidos en el procedimiento de control de
cambios.
13) El Subsistema de Inteligencia y Contrainteligencia Militar, debe verificar que
toda información a que tenga acceso al tercero con motivo de las actividades
desarrolladas para la Institución, deberá tener unos niveles básicos de
protección. El tercero se deberá comprometerse a:
a) Firmar compromiso de reserva sobre la información de Inteligencia y
Contrainteligencia a la que tenga acceso.
b) Tomar medidas adecuadas (cifrado, encapsulado, entre otras.), para
mantener la confidencialidad de la información que sea transmitida o resida
40
CONTRAINTELIGENCIA
en sus computadores o dispositivos que contengan información del

c) Una vez finalizado el contrato, el proveedor deberá borrar de manera segura
de sus dispositivos móviles (formateo a bajo nivel), toda la información que
pueda tener del Subsistema de Inteligencia y Contrainteligencia Militar.
d) El proveedor debe informar al Oficial de seguridad de la información o quien
haga sus veces acerca de los datos de las personas nuevas y los sistemas
y carpetas de red a las que requieren acceso. Además, de informar al
supervisor del contrato, acerca del personal que se retira para deshabilitados
los accesos.
5.3.10 Gestión de Activos
El Subsistema de Inteligencia y Contrainteligencia Militar, debe identificar todos los

activos de información, y mantener un inventario actualizado, exacto, consistente y
documentado con todos los aspectos relevantes de cada uno, clasificándolos
teniendo en cuenta la confidencialidad, integridad y disponibilidad de la información,
para identificar su valor y criticidad, además, cada activo debe tener un responsable
que garantice los niveles de seguridad que correspondan según sea el caso.
a. Normas:
1) Los servidores públicos y contratistas al servicio del Subsistema de
Inteligencia y Contrainteligencia Militar, se deben comprometer a identificar,
priorizar, clasificar, etiquetar, disponer, devolver y gestionar los activos de
información que se encuentran para su uso y bajo su responsabilidad.
2) La identificación, clasificación y valoración de los activos de información se
debe realizar de acuerdo al documento “Metodología de Clasificación de
Activos” del Subsistema de Inteligencia y Contrainteligencia Militar,
41
CONTRAINTELIGENCIA
3) Se debe mantener un registro actualizado y exacto de todos los activos de

información necesarios para la prestación de servicios, de acuerdo al formato
“Inventario Gestión de Activos” del Subsistema de Inteligencia y
Contrainteligencia Militar,
4) Todos los activos de información deben tener asignado un custodio que tiene
la responsabilidad de mantener los controles de seguridad adecuados para su
protección.
5) Los responsables de la información son los encargados de identificar y
clasificar la información, de acuerdo con el grado de sensibilidad y criticidad,
además son los encargados de documentar y actualizar la clasificación
efectuada y definir las funciones que deberán tener permisos de acceso a la
información.
6) La información del Subsistema de Inteligencia y Contrainteligencia Militar,
debe enmarcarse dentro de los niveles de clasificación de seguridad de la
información, de acuerdo a lo establecido en el Decreto 1070 de 2015. Artículo
2.2.3.6.2, los cuales gozan de reserva legal:
a) Ultrasecreto: Es el nivel de clasificación que se debe dar a todos los
documentos de inteligencia y contrainteligencia que contengan información
sobre posibles amenazas, riesgos, oportunidades o capacidades, que
puedan afectar al exterior del país los intereses del Estado o las relaciones
internacionales.
b) Secreto: Es el nivel de clasificación que se debe dar a todos los documentos
de inteligencia y contrainteligencia que contengan información sobre posibles
amenazas, riesgos, oportunidades o capacidades, que puedan afectar al
interior del país los intereses del Estado.
42
CONTRAINTELIGENCIA
c) Confidencial: Es el nivel de clasificación que se debe dar a todos los

sobre posibles amenazas, riesgos, oportunidades o capacidades, que
puedan afectar directamente las instituciones democráticas.
d) Restringido: Es el nivel de clasificación que se debe dar a todos los
de las instituciones militares, de la Policía Nacional o de los organismos y
dependencias de inteligencia y contrainteligencia, sobre posibles amenazas,
riesgos, oportunidades o capacidades, que puedan afectar en las citadas
instituciones y organismos, su seguridad, operaciones, medios, métodos,
procedimientos, integrantes y fuentes.
7) Los documentos de inteligencia y contrainteligencia que contengan
información relacionada con diferentes niveles de clasificación de seguridad,
asumirán la del nivel más alto que tenga la información contenida en ellos.
8) Sin perjuicio de lo establecido en el artículo 34 de la Ley Estatutaria 1621 de
2013, a mayor nivel de clasificación de seguridad de la información, mayores
serán las restricciones y controles para el acceso a la misma por parte de los
receptores, las autoridades, los servidores públicos y asesores que deban
conocer de ella. Estas restricciones deberán quedar establecidas en actos
administrativos, manuales, protocolos, tarjetas de autorización para manejo
y acceso a la información y contratos respectivos del Subsistema de
Inteligencia y Contrainteligencia Militar,
9) Se debe dar cumplimiento a lo establecido en los procedimientos de “Gestión
de Activos” y “Gestión de Medios” de Inteligencia y Contrainteligencia.
10) Los activos de información deben tener un uso aceptable siguiendo las
siguientes indicaciones definidas, así:
43
CONTRAINTELIGENCIA
a) Protección de la confidencialidad, integridad y disponibilidad:
(1) De acuerdo con la clasificación del activo frente a la confidencialidad,

integridad y disponibilidad, el servidor público o contratista debe
verificar que el acceso es coherente con su rol; en caso contrario debe
abstenerse de hacerlo e informar del hecho a su Jefe Inmediato y al
encargado en Inteligencia y Contrainteligencia de la Seguridad de la
Información para que se tomen las medidas pertinentes.
(2) Todos los servidores públicos y contratistas están obligados a reportar
accesos o modificaciones no autorizados o uso indebido de un activo.
b) Uso de la Información digital y física:
(1) Los responsables de los activos de información deben asegurar que

el acceso a éstos se realice dependiendo su nivel de clasificación.
(2) Los responsables de los activos de información deben asegurar que
éstos se encuentren actualizados cuando exista un cambio en el
proceso en cuanto a su medio de almacenamiento, ubicación,
responsable y custodio.
c) Correo Electrónico:
(1) No es permitido utilizar cuentas personales o comerciales para

transmitir cualquier tipo de activo de información del Subsistema de
Inteligencia y Contrainteligencia Militar.
44
CONTRAINTELIGENCIA
(2) La cuenta de correo electrónico institucional asignada a un funcionario

público o contratista, es para uso exclusivo de las actividades de sus
funciones y es su responsabilidad velar por la seguridad del acceso.
d) Recursos Compartidos:
(1) La dirección de Protección de Datos y Archivos de Inteligencia

establecerá los protocolos para la creación, uso y control de los
recursos compartidos que se requieran, a su vez brindará los permisos
de lectura y escritura y las medidas de protección necesarias.
5.3.11 Gestión de incidentes de seguridad de la información
El Subsistema de Inteligencia y Contrainteligencia Militar, establece

responsabilidades, controles y un procedimiento de gestión de incidentes de
seguridad de la información que permitirá asegurar una respuesta rápida, eficaz y
ordenada a los incidentes de seguridad de la información.
a. Normas:
1) Los servidores públicos y contratistas deberán reportar al Oficial de Seguridad
o quien haga sus veces el evento o incidente de seguridad de la información
una vez se identifique cualquier situación que ponga en riesgo la
disponibilidad, integridad o confidencialidad de la misma. En caso de ser
necesario el Oficial reportará siguiendo el protocolo y conducto regular
dependiendo la criticidad del evento presentado.
2) Se debe reportar a la unidad designada por El Subsistema de Inteligencia y
Contrainteligencia Militar (GAOCC - BACSI), los incidentes de seguridad de la
información, quienes tendrán la responsabilidad de investigar y documentar
45
CONTRAINTELIGENCIA
los incidentes reportados, tomando las medidas necesarias para evitar su

reincidencia y escalando los incidentes de acuerdo con su criticidad.
3) Los responsables de los activos de información, funcionarios y terceros deben
reportar los incidentes de seguridad que identifiquen o que reconozcan su
posibilidad de materialización, de acuerdo al procedimiento “Gestión de
Incidentes de seguridad de información” del subsistema de Inteligencia.
4) Se debe documentar todo el procedimiento de gestión de incidentes de
seguridad de la información de acuerdo con las indicaciones del procedimiento
de “Gestión de Incidentes de seguridad de la información” del Subsistema de
Inteligencia y Contrainteligencia Militar.
5) Todo evento de seguridad de la información que se identifique por medio del
monitoreo y revisión de los registros logs y que ponga en riesgo la
confidencialidad, integridad y disponibilidad de la infraestructura tecnológica
deberá ser reportado de acuerdo al procedimiento de “Gestión de Incidentes
de seguridad de la información” del Subsistema de Inteligencia y
6) En los casos que sea necesario realizar recolección y preservación de la
evidencia en las investigaciones que se realicen durante el análisis de un
incidente de seguridad de la información, se debe cumplir de acuerdo a lo
establecido en el procedimiento “Recolección de Evidencia” del subsistema de
Inteligencia.
5.3.12 Organización de la seguridad de la información
Es importante tener claridad que los responsables de la Seguridad de la Información

son todos los servidores públicos, contratistas y terceros con acceso a la
información del Subsistema de Inteligencia y Contrainteligencia Militar.
46
CONTRAINTELIGENCIA
Para velar por el cumplimento de los lineamientos de seguridad de la información el

Departamento de Inteligencia y Contrainteligencia Militar (CEDE2), definirá un
Comité de Seguridad de la Información como responsable de la aprobación y
actualización del Modelo de Seguridad de la Información, con el fin de garantizar la
confidencialidad, integridad y disponibilidad de la información del Subsistema de
Inteligencia y Contrainteligencia Militar. Adicionalmente se definirá un Oficial de
seguridad.
El Oficial de Seguridad: Es el profesional que verificará el cumplimiento de

lineamientos y asesorará a los servidores públicos, contratistas y terceros en caso
de ser necesario, además de coordinar con el Comité los controles que se deben
implantar y ejecutar, propondrá lineamientos que llevará al Comité y se encargará
de poner al tanto de la situación al Comité de Seguridad de la Información.
a. Normas:
1) Los diferentes roles y sus responsabilidades del Sistema de Gestión de
Seguridad de la Información están definidos en el “Modelo de Seguridad del
Sistema de Gestión de Seguridad de la Información de Inteligencia y
Contrainteligencia”.
2) La estructura de organización de Seguridad de la Información debe ser publica
y clara en sus responsabilidades para cada uno de los roles definidos.
3) Se debe nombrar a quien lidera y asume la responsabilidad total por el
desarrollo e implementación de la Seguridad de la Información y que apoye la
identificación de los controles.
4) Los individuos nombrados en los cargos de seguridad de la información deben
contar con las competencias académicas requeridas, las certificaciones deben
actualizarse.
47
CONTRAINTELIGENCIA
5) Los responsables de los activos de información o de los procesos del

Subsistema de Inteligencia y Contrainteligencia Militar, son los responsables
de gestionar los riesgos de seguridad de la información.
5.3.13 No Repudio
El Subsistema de Inteligencia y Contrainteligencia Militar definirá los controles

requeridos para garantizar el No repudio de la Información a través de la
trazabilidad, retención, auditoria y el intercambio electrónico de Información
gestionada por los funcionarios, contratistas o terceros.
a. Normas:
1) Para los procesos que se requieran se deben implementar mecanismos (huella
digital) en los que no exista la posibilidad de desafiar la validez de una acción
por parte de quien la generó.
2) Algunos mecanismos a implementar deberán ser certificados o contar con un
tercero en que todos confíen y que permita avalar la integridad y el origen de
los datos.
3) Se deben contar con registros y herramientas que permita hacer trazabilidad
de las acciones de creación, origen, recepción, entrega de información y otros,
que servirán de evidencia para poder garantizar el no repudio.
4) Estos registros se deben proteger contra perdida o modificación de tal manera
que se garantice su disponibilidad e integridad.
5) Los servicios de intercambio electrónico de información deben incorporar
mecanismos que sean garantía de no repudio.
48
CONTRAINTELIGENCIA
5.3.14 Privacidad y confidencialidad
El Subsistema de Inteligencia y Contrainteligencia Militar adoptará una Política de

tratamiento y protección de datos personales que deben ser aplicados, conforme a
lo establecido en Ley Estatutaria 1621 de 2013. Ley de Inteligencia y la Ley 1581
de 2012.
a. Normas:
1) Todo servidor público, contratista y/o tercero vinculado al Ejército Nacional
deberá realizar los estudios de Credibilidad y Confiabilidad previo a la
suscripción del contrato de la vinculación y cada vez que lo requiera la
Institución.
2) Se debe firmar un acuerdo de confidencialidad, el cual debe contener un
compromiso por parte del servidor público con El Subsistema de Inteligencia y
Contrainteligencia Militar, de no divulgación de la información interna y externa
a la que tenga acceso como parte del desarrollo de las funciones que
desempeña.
3) El acuerdo de confidencialidad debe indicar la vigencia del mismo, el cual debe
mantenerse por la vigencia que considere El Subsistema de Inteligencia y
Contrainteligencia Militar, luego de terminada la vinculación con la Institución.
4) El tratamiento de datos personales debe estar sujeto a lo establecido en la
normatividad vigente.
5) Se debe indicar la finalidad del tratamiento de datos personales, la cual debe
ser informada al titular.
6) El tratamiento sólo puede hacerse con el consentimiento previo, expreso e
informado del titular de los datos.
49
CONTRAINTELIGENCIA
7) La información a tratar debe ser veraz, completa, exacta, actualizada,

comprobable y comprensible.
5.3.15 Integridad
La política de Integridad se refiere al manejo integral de la información tanto interna

como externa, conocida o administradas por servidores públicos, contratistas o
terceros relacionados con el Subsistema de Inteligencia y Contrainteligencia Militar.
a. Normas:
1) Toda información verbal, física o electrónica debe ser procesada, entregada o
transmitida integralmente, coherentemente y exclusivamente a las personas
autorizadas a través de los medios autorizados sin modificaciones ni
alteraciones.
2) En el caso de vinculación contractual, el compromiso de administración y
manejo integro e integral de la información interna y externa debe hacer parte
de las cláusulas del respectivo contrato, bajo la denominación de cláusula de
integridad de la información.
3) Para la información que se clasifique como Restringida, Confidencial, Secreta
y Ultrasecreta y requiera ser transmitida a través de canales de comunicación
se deben utilizar mecanismos que permitan garantizar que la información
mantiene su integridad mientras es transmitida por la red, es decir, que la
información es completa y exacta de punto a punto en la transmisión.
5.3.16 Disponibilidad del servicio e información
El Subsistema de Inteligencia y Contrainteligencia Militar proporcionará los recursos

suficientes y desarrollará esfuerzos tendientes a garantizar la continuidad de las
operaciones para sus procesos con el fin brindar la disponibilidad de los servicios;
50
CONTRAINTELIGENCIA
así mismo, responderá de manera efectiva ante eventos adversos según la

dimensión y el grado de afectación de los mismos; se restablecerán las operaciones
con el menor costo y pérdidas posibles, manteniendo la Seguridad de la Información
durante dichos eventos, de igual manera se mantendrán canales de comunicación
adecuados hacia funcionarios y demás partes interesadas.
Para esto el Subsistema de Inteligencia y Contrainteligencia Militar deberá evaluar

el impacto de eventos que afectan los procesos de la Institución y que tienen soporte
en la infraestructura tecnológica y en la prestación de terceros, igualmente, deberá
desarrollar planes de continuidad para aquellos servicios que son críticos y
misionales del Subsistema de Inteligencia y Contrainteligencia Militar, dichos planes
deben considerar medidas técnicas, administrativas, además deberán probarse y
revisarse de manera periódica.
a. Normas:
1) El Subsistema de Inteligencia y Contrainteligencia Militar debe contar con un
Plan de Continuidad del Negocio que asegure la operación de los procesos
críticos ante la ocurrencia de eventos no previstos o desastres naturales.
2) Para el sistema de Inteligencia su activo más importante es el recurso humano
y por lo tanto será su prioridad y objetivo principal establecer las estrategias
para protegerlo.
3) Los niveles de recuperación mínimos requeridos, así como los requerimientos
de seguridad, funciones, responsabilidades relacionados con el plan, deben
estar incorporados y definidos en el Plan de Continuidad de Negocio.
4) Los jefes de dirección son los responsables del Plan de Continuidad del
Negocio serán los encargados de mantener documentados y actualizar e
informar cualquier cambio a todos los interesados.
51
CONTRAINTELIGENCIA
5) Los análisis de riesgos, impacto al negocio y estrategias de continuidad

realizados sobre los planes de continuidad que estén operando, deben ser
evaluados por lo menos cada año, para asegurar que continúan reflejando las
estrategias y necesidades de la operación, esta labor debe ser coordinada por
las unidades de riesgos con el apoyo de los dueños de procesos críticos.
6) Todos los sistemas de información que soportan las funciones críticas de la
Inteligencia y Contrainteligencia deben tener un plan de recuperación de TI
que le permita garantizar una respuesta efectiva y eficiente ante eventos de
desastre o interrupciones mayores, el cual estará a cargo del área de
Tecnología y Comunicaciones.
7) Los procesos críticos deben soportarse en aplicaciones e infraestructura
técnica robusta, software y hardware confiable y en instalaciones alternas o
duplicadas.
8) Se requiere proveer al personal activo la documentación de las acciones a
llevar a cabo en el evento de un desastre o una emergencia que puede afectar
las aplicaciones de la operación y la infraestructura técnica, habilitando los
procesos críticos de la Inteligencia y Contrainteligencia para ser restaurados
en escalas de tiempo aceptables.
9) Los planes de continuidad deben ser probados periódicamente y como
resultado de estas pruebas realizar los ajustes correspondientes.
10) Se debe identificar, acordar y documentar todas las responsabilidades y los
procedimientos para la continuidad de los servicios informáticos.
11) Se debe realizar la definición y actualización de las normas, lineamientos,
procedimientos y estándares relacionados con la continuidad del negocio.
12) Se debe elaborar un plan de recuperación ante desastres para el centro de
cómputo y un conjunto de procedimientos de contingencia, recuperación y
52
CONTRAINTELIGENCIA
retorno a la normalidad para cada uno de los servicios y sistemas prestados

identificados como críticos y misionales dentro de la Inteligencia y
Contrainteligencia.
13) Se debe realizar los análisis de impacto a la operación y los análisis de riesgos
de continuidad para posteriormente proponer posibles estrategias de
recuperación en caso de activarse el plan de contingencia o continuidad, con
las consideraciones de Seguridad de la Información a que haya lugar.
5.3.17 Registro y auditoría
Esta política de Registro y Auditoría define lo pertinente a las auditorías que se

realizan a los procesos del alcance del Sistema de Gestión de Seguridad de la
Información e indica temas del registro y conservación de las evidencias de las
actividades y acciones que afectan los activos de información.
a. Normas:
1) El Área de Evaluación y Seguimiento debe planificar, establecer, implementar
y mantener un programa de auditoria interna que incluyan la frecuencia, los
métodos, las responsabilidades, los requisitos de planificación, y la
elaboración de informes.
2) Las acciones correctivas deben ser apropiadas a la causa de las no
conformidades encontradas.
3) El Área de Evaluación y Seguimiento debe asegurar que los resultados de las
auditorías se informan al Estado Mayor, y que se conserva información
documentada como evidencia de la implementación del programa de auditoria.
4) El Área de Evaluación y Seguimiento debe definir un plan de auditoria y un
equipo auditor que lo ejecute, el cual debe cumplir con las capacidades,
habilidades y conocimientos para su ejecución.
53
CONTRAINTELIGENCIA
5) Los programas de auditoria deben tener en cuenta la importancia de los

procesos involucrados y los resultados de las auditorias previas.
6) Los registros de auditoría deben incluir toda la información de registro y
monitoreo de eventos de seguridad, estos registros se deben almacenar por
lo menos por un periodo de tres años.
7) Las auditorias se deben realizar acorde a la normatividad y requerimientos
legales aplicables a la naturaleza de la Inteligencia y Contrainteligencia.
8) Se deben desarrollar planes de auditoría interna para evaluar los niveles de
aplicabilidad de la seguridad de la información en todos sus ámbitos, tanto
digitales como físicos.
9) Se debe garantizar la evaluación de los controles, la eficiencia de los sistemas,
el cumplimiento de los lineamientos y procedimientos del SGSI y
Contrainteligencia; así como recomendar lo pertinente sobre las deficiencias
detectadas.
10) El almacenamiento de los registros de las auditorías internas realizadas al
Sistema de Gestión de Seguridad de la Información se debe realizar de
acuerdo a lo establecido en el procedimiento de Auditorías Internas (Anexo R
de la Directiva 2014-18 “Lineamientos de Seguridad de la Información para el
Sector Defensa - Ministerio de Defensa”).
Ministerio de Defensa” en sus Anexos: “R. Procedimiento de Auditorías
Internas”.
12) Cuando ocurra una no conformidad como resultado de la auditoria el Sistema
de Inteligencia debe reaccionar de manera oportuna y tomar las acciones para
controlarla y corregirla.
54
CONTRAINTELIGENCIA
5.3.18 Seguridad en gestión de proyectos.
El Subsistema de Inteligencia y Contrainteligencia Militar precisa la política de

seguridad en gestión de proyectos, en la cual se definen los controles mínimos de
seguridad de la información que deben ser tenidos en cuenta para los proyectos
que sean estructurados por El Subsistema de Inteligencia y Contrainteligencia
Militar.
a. Normas:
1) Incluir objetivos de seguridad de la información en los objetivos del proyecto
desde su fase de planeación.
2) Realizar valoración de los riesgos de seguridad de la información en la fase de
estudios previos del proyecto, para identificar los controles necesarios.
3) Hacer seguimiento a los riesgos y controles aplicados para tratar los riesgos,
durante todas las fases del proyecto.
4) Incluir en sección que hace referencia al contrato: El contrato debe incluir los
requisitos de seguridad de la información del proyecto. Para ello, se deben
tener en cuenta como mínimo los siguientes requisitos:
5) Cláusula de confidencialidad
6) Cumplimiento de los lineamientos de seguridad de la información.
7) Reporte de eventos de seguridad de la información definidos en el
procedimiento de gestión de incidentes de seguridad de la información.
8) Etiquetado y manejo de la información de acuerdo con las directrices del
procedimiento de gestión de activos.
5.3.19 Áreas de despacho y carga.
La carga se recibe y despacha en el almacén del COLOG. La recepción y despacho

de carga es controlada por el encargado del almacén y se debe contar con los
55
CONTRAINTELIGENCIA
permisos necesarios para el acceso de los vehículos que tren o llevan los insumos.
Estos permisos deben ser tramitados de acuerdo a los procedimientos definidos
5.3.20 Ubicación y protección de los equipos
El Datacenter debe estar ubicado de forma tal que personas no autorizadas no

puedan ver la información durante el acceso.
El acceso físico debe ser controlado por la sección de Sistemas de Información y

Comunicaciones a todo nivel.
Se debe realizar seguimiento a las condiciones (temperatura, humedad, voltaje,

apertura y cierre de puertas) que pueden llegar a afectar adversamente el
Datacenter y se deben documentar los seguimientos.
El Datacenter debe cumplir con los estándares internacionales de cableado

estructurado.
5.3.21 Equipo desatendido, escritorio limpio y pantalla limpia
Los servidores públicos y contratistas del Subsistema de Inteligencia y

Contrainteligencia Militar, deberán conservar su escritorio libre de información
propia de la Institución que pueda ser alcanzada, copiada o utilizada por terceros o
personal que no tenga autorización para su uso o conocimiento, cada vez que se
vayan a retirar de sus puestos de trabajo deben bloquear el equipo y tener en cuenta
las siguientes normas:
a. Normas:
1) Al imprimir documentos con niveles de clasificación, éstos deben ser retirados
de la impresora inmediatamente.
56
CONTRAINTELIGENCIA
2) Los computadores cargarán por defecto el fondo de pantalla, este no podrá

ser modificado y deberá permanecer activo.
3) Los funcionarios de la institución, deben bloquear la pantalla de su computador
cuando por cualquier motivo se ausenten del puesto de trabajo.
4) Los servidores públicos son responsables y asumen las consecuencias por la
pérdida de información que esté bajo su custodia.
5) Se prohíbe el almacenamiento de información personal en los computadores
institucionales.
6) El escritorio lógico debe estar libre de información clasificada.
7) Toda la documentación física (impresa), debe estar guardada en los cajones
bajo llave en los escritorios de trabajo.
8) La información debe alojarse en las particiones creadas para tal fin y ordenada
de acuerdo a la TRD.
5.3.22 Separación de los ambientes
Las áreas de Comunicaciones del Subsistema de Inteligencia y Contrainteligencia

Militar deben contar con ambientes de desarrollo y producción separados por
máquinas físicas o máquinas virtuales.
Las áreas de Comunicaciones del Subsistema de Inteligencia y Contrainteligencia

Militar debe controlar el acceso al ambiente de desarrollo de la misma forma que
controla el acceso al ambiente de producción.
5.3.23 Registro y Supervisión
1) Registro de Eventos
a. Los sistemas operativos, servicios y sistemas de información que hacen parte
de la infraestructura para el procesamiento de información y comunicaciones
57
CONTRAINTELIGENCIA
de la Institución, deben generar archivos de registro de eventos (logs)

definidos en conjunto por los responsables de su administración.
2) Protección de la Información de Registro.
a. La Oficina de Comunicaciones con el fin de proteger la información de

registro de modificación no autorizada por parte de usuarios no autorizados,
administradores u operadores de los sistemas de información implementará
mecanismos de copiado de logs en “tiempo real” a un sistema por fuera del
control de administradores y operadores de los sistemas.
3) Sincronización de Relojes.
a. Con el fin de obtener un control apropiado para la relación adecuada de

eventos no deseados en la infraestructura o para la investigación efectiva de
incidentes, los relojes de los diferentes equipos de cómputo, servidores y
sistemas de información utilizados por La institución, deben estar
sincronizados.
4) Gestión de la Vulnerabilidad Técnica.

a. La Oficina Comunicaciones, es responsable de verificar de manera
periódica (al menos mensual) la información publicada por parte de los
fabricantes y foros de seguridad en relación con nuevas vulnerabilidades
identificadas que puedan afectar los sistemas de información de la
organización.
b. Se debe generar y ejecutar por lo menos una vez al año el plan de análisis
de vulnerabilidades y/o hacking ético para las plataformas críticas de la
Institución, cuya viabilidad técnica y de administración lo permita.
58
CONTRAINTELIGENCIA
c. Los correctivos que requieran ser aplicados en las plataformas

tecnológicas, derivados de la identificación de vulnerabilidades técnicas,
son responsabilidad de La Oficina de Tecnología e Información, siguiendo
las directrices del Procedimiento de Gestión de Cambios.
5) Seguridad en las Comunicaciones.
a. Gestión de la Seguridad en las Redes.
(1) La Oficina Comunicaciones, debe definir e implementar los mecanismos de

control que considere apropiados para proteger la confidencialidad,
integridad y disponibilidad de las redes, los servicios en red y la información
por allí transmitida.
(2) La Oficina Comunicaciones, define e implementa los mecanismos de

separación de las redes de la institución, con base en los niveles de confianza
(por ejemplo, dominio de acceso público, dominio de computador de
escritorio, dominio de servidor), por dependencias (por ejemplo, oficina de
talento humano, oficina de servicios administrativos, oficina de gestión
financiera, oficina de tecnología e información) o alguna combinación (por
ejemplo, un dominio de servidor que se conecta a múltiples dependencias).
(3) La Oficina Comunicaciones, debe mantener separadas la red de datos y la

red de voz, con el fin de minimizar el impacto de interceptación de alguna de
las dos redes.
(4) El acceso remoto a las redes de la institución se controla mediante

conexiones VPN.
59
CONTRAINTELIGENCIA
6. REFERENCIAS
 Norma Técnica Colombiana NTC-ISO-IEC 27001:2013, Tecnología de la

Información, Técnicas de Seguridad, Sistemas de Gestión de la Seguridad de la
Información, Requisitos, 2013-12-11, ICONTEC Internacional.
 Norma Técnica Colombiana NTC-ISO-IEC 27002:2013, Guía de Implementación
Sistemas de Gestión de la Seguridad de la Información, 2013-12-11, ICONTEC
Internacional.
 ISO/IEC 27000:2016, Information technology -- Security techniques -- Information
security management systems -- Overview and vocabulary, 2016-02-15,
International Organization for Standardization.
 Guía No. 2 de Gobierno en Línea "Elaboración de la Política general de seguridad
y privacidad de la información", versión 1.0.0, 11 de Mayo de 2016Directiva 2014-
18 Políticas de Seguridad de la Información para el Sector Defensa - Ministerio
de Defensa.
 Directiva Estructural de Comunicaciones del Ejercito Nacional.
 Directiva Lineamientos para el apoyo de la Seguridad de la información del
 Directiva Permanente de Ciberdefensa N° 01071 / 2016.
Brigadier General JOSE ARMANDO SERPA HERNANDEZ

Jefe del Departamento de Inteligencia y Contrainteligencia del Ejército
Elaboró: CP. Camilo Garcia Reviso: OPS. Fernando Gil Revisó: CT. Camilo Neme Vo.Bo: CR. Gabriel Espinosa
Suboficial SIC CEDE2 Asesor Jurídica DIPDA Oficial OSI CEDE2 Director DIPDA
60

Política General y Específicas de Seguridad de La Información CEDE2

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Política General y Específicas de Seguridad de La Información CEDE2

Cargado por

Copyright:

Formatos disponibles

FUERZAS MILITARES DE COLOMBIA

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 1 de 60

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Bogotá, Diciembre de 2016

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 2 de 60

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 3 de 60

5.1.21 Política de Equipo Desatendido, Escritorio Limpio y Pantalla Limpia 56

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 4 de 60

Fecha Autor Versión Referencia de Cambios

20-12-2016 Password Consulting 0 Creación del documento

Nombre Cargo Firma

Nombre Cargo Firma

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 5 de 60

El Subsistema de Inteligencia y Contrainteligencia Militar tiene la responsabilidad de

La referencia principal para el desarrollo de una política institucional de Seguridad

Por lo anterior, el Subsistema de Inteligencia y Contrainteligencia Militar define las

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 6 de 60

2.1 Objetivo General

Asegurar la confidencialidad, integridad y disponibilidad de los activos de

2.2 Objetivos Específicos

a) Establecer unas políticas y fundamentos base para la implementación y

b) Definir la conducta esperada en el acceso, uso y manejo de los activos de

c) Establecer y comunicar la responsabilidad en el uso de los activos de

d) Mantener los niveles de los riesgos residuales en aceptables a través de la

e) Definir canales de comunicación efectivos que permitan al Estado Mayor

f) Proteger la imagen, los intereses y el buen nombre del Departamento de

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 7 de 60

Estas políticas aplican a todos los interesados del Subsistema de Inteligencia y

3.1 Cumplimiento de las Direcciones del CEDE2

Las direcciones del Departamento de Inteligencia y Contrainteligencia proveen

 La autorización para que se implementen, actualicen y/o eliminen las políticas

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 8 de 60

 Comunicar la importancia de lograr los objetivos de seguridad, de cumplir sus

 Proporcionar todos los recursos necesarios para una adecuada

3.2 Cumplimiento y Manejo de Violaciones a las Políticas

Las políticas de seguridad de la información son de obligatorio cumplimiento para

3.2 Administración de la Política y Procedimiento de Cambio

Las políticas de seguridad de la información se deben revisar cada año o en el

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 9 de 60

El Comité de Seguridad de la Información es responsable del cumplimiento de esta

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 10 de 60

Activo: En relación con la Seguridad de la Información, se refiere a cualquier

Confidencialidad: Propiedad de la información de no estar a disposición o ser

Disponibilidad: Propiedad de la información de estar accesible y utilizable para su

Evento: Circunstancia inesperada o no deseada que se presenta y que indica una

Incidente de Seguridad de la Información: Circunstancia inesperada o no

Integridad: Propiedad de exactitud y completitud de la información.

Política: Declaración de alto nivel que describe la posición de la organización sobre

Privacidad: La capacidad que una organización o individuo tiene para determinar

Procedimiento: Forma específica de llevar a cabo una actividad o un proceso.

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 11 de 60

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

Seguridad de la Información: La preservación de la confidencialidad, la integridad

TIC: Tecnologías de la Información y las Comunicaciones.

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 12 de 60

5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

5.1 Política General del Sistema de Gestión de Seguridad de la Información

“Subsistema de Inteligencia y Contrainteligencia Militar, dentro del marco de su

5.2 Principios de la Políticas del SGSI

A continuación, se establecen los siguientes principios de seguridad que soportan

a) Las responsabilidades frente a la seguridad de la información serán definidas,

b) El Subsistema de Inteligencia y Contrainteligencia Militar, protegerá la

Código: Versión: 0 Fecha de emisión: 20-12-2016 Pág. 13 de 60

operación, su infraestructura tecnológica y activa del riesgo que se genera de