Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MINISTERIO DE DEFENSA NACIONAL
COMANDO GENERAL FUERZAS MILITARES TODO§PORUN
EJÉRCITO NAcloNAL MUEVOPA15
DEPARTAMENTO DE INTELIGENCIA Y CONTRAINTELIGENCIA TAFrlDAO €DUCAcm
COPIANo. i DEI COPIAS
COMANDO DEL EJERCITO
BOGOTÁ,D@.zmE201l
DIRECT[VAPERMANENTE No.© Ü `¿ `2 .
ASUNTO: Lineamientos para el apoyo de la
Nacional.
AL : Señores oficiales
lNSPECTOR GENE ACIONAL I COMANDANTE
COMANDO DE T EL EJÉRCITO JEFES DE
ESTADO MAYOR CO DOE 0 JEFES DE DEPARTAMENTO
COMANDANTES COMANDOS FUNCIONALES DEPENDENCIAS
lmpartir órdenes e instrucciones para el cumplimiento de los lineamientos
institucionales en seguridad de la información de acuerdo a la política del sector
defensa para el Ejército Nacional, como garante de`la Seguridad y la Defensa
Nacional, en lo referente al manejo de los activos de información en coordinación
con las directrices y lineamientos de seguridad informática.
8. Referencias
1. Constitución Política de Colombia 1991.
2. Ley 57 de 1985 "Por la cual se ordena la publicidad de los actos y
documentos oficiales".
HJEeJffiESMJffl/Mi§i5N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
www.eLércfto.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO .qHHF
Pág. 2 de 76
/_`
CONTINUACION DIRECTIVA PERMANENTE No. DE 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
3. Ley 527 de 1999 "Por medio de la cual se define y reglamenta el acceso y
uso de los mensajes de datos, del comercio electrónico y de las firmas
digitales, y se establecen las entidades de ceriificación y se dictan otras
disposiciones".
4. Ley 603 de 2000 "Por la cual se modifica el artículo 47 de la Ley 222 de
1995„.
5. Ley 594 de 2000 "Por medio de la cual se dicta la Ley General de Archivos y
se dictan otras disposiciones''.
6. Ley 836 de 2003 "Por la cual se expide el reglamento del régimen
disciplinario para las fuerzas militares".
7. Ley 1266 de 2008 " Por la cual se dictan las d isposiciones generales del
hábeas data y se regula el manejo de ación contenida en bases de
datos personales, en especial la financi comercial, de servicios
y la proveniente de terceros países isposiciones".
Ley 1407 de 2010 "Por la cual s nal Militar".
Ley 1437 de 2011 "Por la cual se expid igo de Procedimiento
Administrativo y de lo Contencioso Administra
10.Ley 1474 de 2011 "Por la cual se dicta normas orientadas a fortalecer los
mecanismos de pr investigació anción de actos de corrupción y
la efectividad del c estión pública"
11.Ley 1581 de 2 se dictan disposiciones generales para la
protección de
12.Ley Estat or medio de la cual se expiden normas
para forta co que permite a los organismos que llevan a
cabo actividades d )ia y contrainteligencia cumplir con su misión
constituciona se dictan otras disposiciones"
13. Ley 1712 d r medio de la cual se crea la Ley de Transparencia y
del Derecho so a la lnformación Pública Nacional y se dictan otras
disposiciones".
"Por el cual se reglamenta la Ley Estatutaria 1621 del
14. Decreto 857 de 2014
17 de abril de 2013.
15.Decreto 1070 de 2015 "Por el cual se expide el Decreto Único
Reglamentario del Sector Administrativo de Defensa".
16. Corie Constitucional Sentencias T444/92, T525/92, T066/98, C913 de
2010, C540 de 2013.
17. Documento CONPES 3854 de 2016 "Política Nacional de Seguridad Digital
de Colombia".
18.Documento CONPES 3701 de 2011 "Lineamientos de Política para la
H±ÑC=§ MULTIMl§15N
NUESTRÁ I\mslóN E§ coLOMBIA
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
Dltlí:,r_(,,ON:tE`lEGOC!OSGENEq4.:.Ei:?Et:
TTÍzrü'rg 0 i 3
RESTRINGIDO
Pág. 3 de 76
íi 1,
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl ACIONAL".
Ciberseguridad y Ciberdefensa".
19. Política lntegral de Seguridad y Defensa para la Prosperidad 2011 MDN.
20. Norma lso 27001 :2013 Sistemas de Gestión de Seguridad de la lnformación
(SGSI).
21.Manual de Seguridad Militar EJC. 241 RESTRINGIDO Segunda edición
2009.
22. Manual Fundamental del Ejército MFE 1.0 "EL EJÉRCITO" Septiembre de
2017.
23.Manual Fundamental del Ejército MFE 101 "DOCTRINA" Septiembre de
2017.
24, Manual de lnteligencia y Contrainteligencia MIC 26: Contrainteligencia Militar
del Ejército Nacional, 2017.
25. Manual de lnteligencia y Contraintelige 211: Protección y Difusión
de Productos de lnteligencia y Contrainteligen
26. Directiva Permanente No. 20141 Ministerio sa Nacional "Política
de seguridad de la información
27. Directiva Permanente No. imiento de la disciplina de
Seguridad de la inform nas prácticas en el uso de
redes sociales".
"Computación".
28. Directiva Permane
C. Vigencia
11. lNFORMACION
A. Antecedentes
La Seguridad de la lnformación es una decisión estratégica que debe ser
influenciada por las necesidades de la lnstitución. La cual tiene como objetivo
preservar la confidencialidad, integridad y disponibilidad de los activos de
información, mediante el diseño e implementación de lineamientos,
procedimientos, controles y la adecuada gestión de los riesgos de seguridad de
la información. Para lo cual se recopilan los lineamientos de alto nivel como: el
alcance, contexto, objetivos, Iineamientos, roles, entre otros.
E
MÉPMiLfiE§¥iÉk+Epril§iÉN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co =_==_*=+
iL).
RESTRINGIDO
EPXFáNyuoA8'E°h%`EE3=`,#DREMAiiE5EMNÁc&#£ko#A2co,io7N`ÁLiN"iE£iss48£ÉÁ
Las actuales y constantes amenazas contra los sistemas de información,
generan la necesidad de ser proactivos en el tema de la seguridad de
información al interior de la Fuerza, tales como:
1. Política de seguridad de la información para el sector defensa.
2. Ciberataque mundial de secuestro de información ransomware (Wannacry)
cuyo objetivo consistía en secuestrar y cifrar archivos una vez se ejecutara
en un ordenador para posteriormente exi dinero por el rescate de la
información, según cifras oficiales, las victi cienden a más de 200.000,
esencialmente empresas, en al men
4. Bases de datos privada habia correos electrónicos privados
teléfonos persona e miembros de la Fuerza Pública con
información pe u mayoría terminan en cooperativas y
sucursales ban
5, Suplant incuentes dedicados a la fabricación, tráfico y
pone ar sionistas y estafadores, que mediante el uso de
prendas lgunos conocimientos de la organización de unidades
militares, s rtimañas para perpetrar hechos delictivos que pueden
desestabilizar 1 en institucional e incidir en el cumplimiento de la misión.
8. Generalidades.
La seguridad de la información permite aporiar buenas prácticas en el uso
estratégico de las tecnologías de la información y comunicaciones (TICs), con la
formulación e implementación de lineamientos, enfocados a preservar la
confidencialidad, integridad y disponibilidad de la información, lo que contribuye
al cumplimiento de la misión y los objetivos estratégicos del Ejército Nacional. Así
mismo apoya el tratamiento de la información utilizada en los servicios y
productos que ofrece la lnstitución, propendiendo por el cumplimiento de la Ley
1581 del 2012 "Ley de Protección de Datos Personales", Ley 1712 del 2014
HiEJEñE§M#+Mi§i5N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAr`l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo elecmónico: iemDD®eiéncito.mil.co
'93mro9Í13
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
EL APOYO DE LA SEGURIDAD DE LA INFORMAcl # Pág. 5 de 76
ACIONAL".
"Transparencia y del derecho al acceso a la información pública" y otros
derechos establecidos, en particular aquellas que exceptúan el acceso público a
determinada información, contribuyendo también en la construcción de un estado
más transparente, colaborativo y participativo al garantizar que la información
que se provea tenga controles de seguridad y privacidad de tal forma que en
desarrollo de la Acción Unificada, Ios ejercicios de interacción de información con
el ciudadano, otras entidades y la empresa privada, resulten confiables.
1. Los lineamientos dispuestos en la presente directiva son de obligatorio
cumplimiento, con el propósito de mejorar los esquemas de seguridad de la
información en el Ejército Nacional y se deberá implementar de manera
inmediata y la no observancia será objeto de acciones legales según el caso.
2. Los lineamientos de Seguridad de la lnfo er Anexo E) y su aplicación
hacia los recursos, procesos internos nos con las personas
vinculadas al Ejército Nacional, bles de su desarrollo,
implementación, control y acatami reas de responsabilidad
donde se maneje informació on nivel asificación de acuerdo a la Le
1621 del 2013 de lntel ia y el Decreto 1070 del 2015
3. En ningún caso a la información a terceros, a las
instalaciones de áreas de servicios críticos, hasta tanto
se hayan impl€ los controles apropiados y se haya firmado un
contrato o nfidencialidad que definan las condiciones para la
conexión Sistemas de información y comunicaciones de
inteligenc
4. Desde una a más generalizada, se define el concepto de
preservación d a,Confidencialidad, la lntegridad y la Disponibilidad de la
información, para que sólo los usuarios autorizados, tengan acceso a ella y a
los recursos relacionados cuando lo requieran.
5. La seguridad de la información para el Ejército Nacional, se define como "EI
conjunto de tareas especializadas encaminadas a proteger la
Confidencialidad, lntegridad y Disponibilidad de la información y los activos de
información del espionaje, sabotaje y terrorismo de la amenaza y/o de los
fenómenos ambientales que la puedan poner en riesgo". (MFRE337
protección).
MiEEMFffi=]ñE§¥iMEEMi§iɱN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAl\l
CcomespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemoD@eiército.mil.co
RESTRINGIDO
EP#áNyuoA8'E°k%'EE3:',¥#DREMAi:=5EMNÁcffio#A2co,io7N`ÁLiNEAMiE:$8s6g£É&
6. La información y el conocimiento en el que el Ejército Nacional se basa para el
desarrollo de la acción unificada (AU) y el desarrollo de las Operaciones
Terrestres Unificadas (OTU), se consideran el activo estratégico más
importante para la sincronización, coordinación y/o integración de las
actividades misionales para lograr la unidad de esfuerzo (MFE 30) y cumplir
de manera objetiva y legal la misión constitucional. Los sistemas y procesos
que manejan información clasificada y sensible, se han vuelto blanco de
ataques provenientes de múltiples focos de amenazas, por lo tanto la
seguridad de la información ha pasado a ser un aspecto crucial en la
sincronizan de todas las acciones militares con actividades de otros
organismos gubernamentales, organizaciones no gubernamentales e
intergubernamentales y el sector privado
8. La seguridad de la información provee a todas las Funciones de Conducción
de la Guerra capacidades únicas para preservar el secreto en los procesos de
planear, preparar, ejecutar y evaluar las operaciones, fortaleciendo con ello el
mando tipo misión (MTM) y el adecuado apoyo a los comandantes y
tomadores de decisiones, ante eventos que puedan provocar perdida de
reputación, responsabilidad penal, violaciones de confidencialidad e
interrupciones en las OTU que tengan como resultado la imposición de
sanciones.
HLLEÑJffiE§MÍ#TMiffl±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr`l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eiército.mil.co
_ ` , ___,_____._
:,. __`. =,`=.i?J=,íSJ==_.f
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. ®0 2 21 DE12oi7"LiNEAMiEFÍ8s7g£É&
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION DEL EJERCITO NACIONAL".
9. Niveles de clasificación de los activos de información de inteligencia y
contrainteligencia: A partir de la expedición de la Ley Estatutaria 1621 del 17
de abril 2013, que fortalece el marco jurídico a las actividades de inteligencia y
contrainteligencia, se ordena que toda la información y documentos
producidos por las agencias y dependencias que llevan a cabo actividades de
lnteligencia y Contrainteligencia debe ser debidamente clasificada con unos
niveles que dotan a estos documentos e información de reserva legal por un
término general de 30 años. (VerAnexo A).
111. EJECUCIÓN
A. Misión General
EI Ejército Nacional diseña e imple en Seguridad de la
lnformación que permitan neutra nas y externas en
cumplimiento de las metas y obj la fuerza, mediante' la
construcción de directrices sobre 1 ad de la información que
propendan por la reserva 1 OS, información y elementos
técnicos en todos los nive ución, empleados y generados
en el desarrollo de acti ;io y fuera de él, para mejorar
condiciones adecuad d, reserva, integridad y disponibilidad
de la información idad, trazabilidad y fiabilidad de los
procesos y In de evitar accesos no autorizados,
espionaje, sa rorismo de la amenaza y/o de los fenómenos
ambientales n riesgo, entre otros.
8. Misionespa
1. Comando del Ej Nacional.
a. lnspección General del Ejército Nacional (CEIGE).
1) Supervisar el cumplimiento de la presente directiva durante las revistas
de inspección.
' Ley Estatutaria 1621 de 2013 "Por medio de la cual se expiden normas para fortalecer el Marco Jurídico que
permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir con su misión
constitucional y legal, y se dictan otras disposiciones".
fiEÑJffiE§!ti#Epfii5iÉN
_H
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: jemDD®eLéncito.mil.co
RESTRINGIDO
Pág. 8 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 00 2 21
DE 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION DEL EJERCITO NAcloNAL".
2. Segundo Comandante del Ejército Nacional.
b. Ayudantía General del Ejército Nacional,
1) Coordinar con las dependencias y Unidades del Ejército Nacional la
recopilación de la información para la actualización del Índice de
información clasificada y reservada, activos de información y esquema
de publicación.
2) Sensibilizar en referencia a los niveles de clasificación de la información,
información pública reservada y pública clasificada en la producción
2)Velar por la observancia de los lineamientos para el apoyo de la
seguridad de la información en coordinación con el Departamento de
Comunicaciones (CEDE6), que permitan salvaguardar la
confidencialidad, integridad y disponibilidad de la información.
3) Estructurar el Comité de Seguridad de la lnformación del subsistema de
inteligencia y contrainteligencia en el cual se definen los roles y
responsabilidades. El comité debe ser nombrado por Acto Administrativo,
en el cual se consignarán las condiciones para su funcionamiento. (Ver
Anexo 8 y Anexo C).
HÉE+fiñE§M#Epfii§]±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
CorrespondencLa Carrera 57 No. 43 28 • qHw=ff
www.eiército.mil.co, correo electrónico: iemDD@eíéncito.mil.co 8ffiú®lBi
Bf!8P,0'ilj
RESTRINGIDO
Pág. 9 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACI CIONAL„.
4) Proyectar lineamientos de cumplimiento a los procedimientos y controles
para evitar el acceso físico no autorizado, el daño e interferencia a las
instalaciones y a los activos de información de las unidades de
lnteligencia y Contrainteligencia Militar,
5) Unificar esfuerzos con el Departamento de Comunicaciones (CEDE6)
para establecer el sistema de gestión de la seguridad de la información
en el Ejército Nacional.
b. Departamento de Comunicaciones del Ejército (CEDE6)
1) Elaborar las directrices de Seg ad lnformática para el Ejército
Nacional.
2)Unificar esfuerzos con el de lnteligencia y
Contrainteligencia (CEDE2) ema de gestión de la
seguridad de la información
4. Jefatura de Estado Mayor
nteligencia Militar (CAIMl).
ad de los servicios y plataformas
a de lnteligencia y Contrainteligencia
el Sistema lntegrado de lnformación de
contrainte
isión de información de la red de inteligencia y
3) Velar por el empleo de buenas prácticas en relación al uso de redes
sociales para los miembros del Ejército Nacional, en coordinación con el
Comando de Apoyo Operacional y Ciberdefensa (CAOCC) y el Comando
de Apoyo de Combate de Contrainteligencia Militar (CACIM). (Anexo D).
4) lmplementar las actividades de gestión de incidentes de seguridad de la
información y seguridad informática en coordinación con el Comando de
Apoyo Operacional y Ciberdefensa (CAOCC) y el Comando de Apoyo de
Combate de Contrainteligencia Militar (CACIM), relacionadas en el
(Anexo E) con el objetivo de reducir los que atentan contra la
fiEÑJffiE§M#E!Mi5iÉN
Fe en la cauü
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiéncito.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
EP#áNyuoA8'E°k%'EE3=',¥#DREMATET5EMNÁc#E££±oDNEA2co,io7N`ÁLiNEAMiEPÍSoís°8ÁÉÁ
confidencialidad, integridad y disponibilidad de la información.
b. Comando de Apoyo de Combate de Contrainteligencia Militar (CACIM).
1) Establecer los protocolos de acceso a los sistemas de información y
comunicaciones del subsistema de inteligencia y contrainteligencia, con
el fin de garantizar la seguridad operacional de la información
institucional. (Decreto 1070 de 2015, Articulo 2.2.3.6.3 parágrafos E y F).
2) Desarrollar actividades de defensa pasiva y defensa activa (evaluaciones
técnicas de seguridad de la información y gestión y análisis de riesgos)
con el fin de identificar vulnerabilidad enazas y riesgos que afecten
la información del Ejército Nacional.
3) lmplementar las actividades de gestión d es, medidas activas y
pasivas de seguridad de la información en nación con el Comando
de Apoyo Operacional y Ciberd nsa (CAOCC) y el Comando de Apoyo
de Combate de lntelig relacionadas en el (Anexo E)
con el objetivo de ntos que atentan contra la
confidencialidad, integri onibilidad de la información
de manejo documental y caratulas de
al que requiera acceder a documentos de
encia, de acuerdo a instrucciones del
(Ref. Decreto 1070 de 2015 Art 2.2.3.6.3
eguridad Militar EJC. 241).
5) Verificar a de Sistemas de las Unidades del Ejército Nacional la
realización Oplas de respaldo de la información institucional de las
dependencias de lnteligencia y Contrainteligencia como mínimo tres (3)
veces al año, las cuales deben ser entregadas a las secciones de
seguridad militar y reposar en bóveda de seguridad o caja fuerte,
disponibles para consulta cuando el usuario lo requiera, a través de
boleta de desglose. así mismo se deberá verificar que las demás
dependencias de la Unidad realicen las copias de respaldo garantizando
la disponibilidad de la información. (Directiva Permanente 201418
Políticas de seguridad de la información para el Sector Defensa).
ÉCÉñEsPÉi#TM]§i±N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electnón.ico: iemoD®eiéncito,mil,co
lffl {3;nili
RESTRINGIDO
Pág.11 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
EL APOYO DE LA SEGURIDAD DE LA INFORMAcl \CIONAL„.
6) Coordinar con el área de operaciones de las unidades del Ejército
Nacional la demarcación de las áreas restringidas para evitar el acceso
de personal ajeno a la dependencia, de acuerdo al nivel de importancia
del manejo de la información. (Directiva Permanente 201418 Políticas de
seguridad de la información para el Sector Defensa).
7) Coordinar con el área de operaciones la protección de recintos y salas de
reuniones donde se traten temas estratégicos u operacionales de la
unidad para el desarrollo de operaciones, estableciendo áreas limpias
(contramedidas electrónicas, control de medios y dispositivos
electrónicos que puedan propiciar la fuga de información institucional).
(Directiva Permanente 201418 Pol seguridad de la información
para el Sector Defensa).
8) Coordinar y verificar con 1 seguridad militar,
operaciones, contratos y 1 la realización de
promesas de reserva, acue y transferencia de
reserva legal de la inform stringir el uso o acceso a
documentos e info ria 1621 de 2013 y Manual de
Seguridad Militar EJ
idad de los servicios y plataformas informáticas
ción del Ejército Nacional, en coordinación con la
unicaciones y Tecnologías de la lnformación del
al de las Fuerzas Militares.
2) Ejecutar los lineamientos de seguridad de la información emitidos por
el Departamento de Comunicaciones (CEDE6), en referencia a la
seguridad informática con el Comando de Apoyo de Combate de
Contrainteligencia Militar (CACIM).
3) Realizar verificaciones de seguridad informática identificando
vulnerabilidades, con el fin de mitigar riesgos asociadas a la
infraestructura tecnológica del Ejército Nacional.
HÉÑJ5ñE§M#TMi§iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
CcomespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
Pág.12 de 76
CONTINUACION DIRECTIVA PERMANENTE No. DE.2017 "LINEAMIENTOS PARA
EL APOYO DE LA SEGURIDAD DE LA INFORMA( RCITO NACIONAL"
` 4) Gestionar los incidentes de seguridad informática de la infraestructura
tecnológica del Ejército Nacional brindando apoyo al Comando de
Apoyo de Combate de lnteligencia Militar (CAIMI) y el Comando de
Apoyo de Combate de Contrainteligencia Militar (CACIM).
d. Sección de las Unidades Operativas Mayores, Menores y Tácticas que
integran el Subsistema de lnteligencia y Contrainteligencia Militar.
1) Coordinar el apoyo con el CACIM para la realización de evaluaciones de
seguridad de información a las diferentes unidades del Ejército Nacional,
con el fin de verificar el cumplimiento dela presente directiva
2) Recopilar a través de los secciones de ridad militar, informes de las
acciones realizadas por us unid subalternas para la
implementación de lineamie de seg la información como
difusión, sensibilización, audi interna
3) Nombrar el Comité mación de las unidades (ver
Anexo C) en las Un yores, Menores y Tácticas por
medio de la orden semanal, el c 1 deberá estar conformado así:
do Comandante y/o Ejecutivo.
eraciones.
ligencia
omunicaciones.
CPD (Nivel División), UPD (Nivel Brigada), SPD
(Nivel
f) Oficial boficial de Seguridad Militar.
g) Asesor
EI Comité de Seguridad de la lnformación se reunirá una vez al mes
para realizar la evaluación del cumplimiento de los controles
establecidos para mejorar la seguridad de la información, debe elaborar
un acta donde se consignarán los avances, problemas y aciertos en el
manejo de la seguridad de la información. Estas actas de reunión, junto
con los informes de cumplimiento de la presente directiva, serán
consolidadas por las Divisiones (D2) y deberán enviarlas a la Dirección
de Protección de Datos (DIPDA) del Departamento de lnteligencia y
Contrainteligencia (CEDE2) antes del último día de cada mes,
ÉÑJffiE§M#EXMi§i5N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eLéncito.mil.co
RESTRINGIDO
Ef#áNyuoA3'E°k%`E:3:',¥#DREMAi=F5EMNÁcffioEA2co,io7N`ÁLiNEAMiEP#ots3g:ÉÁ
4) Garantizar la difusión de la presente directiva, respetando el nivel de
clasificación, estudio, actualización y consolidación de los lineamientos
de seguridad, a través del Comité de Seguridad de la lnformación, con el
fin de vigilar y verificar el conocimiento de las mismas.
5) Enviar mensualmente por intermedio de las secciones de seguridad
militar al Depariamento de lnteligencia y Contrainteligencia Militar, los
informes de la aplicación de las normas establecidas en la presente
directiva y las actas de reunión del Comité de Seguridad de la
lnformación, así como las evidencias de gestión de riesgos.
6) Implementar las medidas activa sivas de seguridad de la
información relacionada en el An el objetivo de mitigar los
riesgos que atentan contra la confi integridad y disponibilidad
de la información.
C. lnstrucciones Generales de Coordina
1. En cabeza del Departamento de lnteligencia y Contrainteligencia Militar
(CEDE2) se realiza ité de seguridad de la información del
subsistema de lnt igencia Militar, con la participación del
Comando de Ap e Combate d teligencia Militar (CAIMI), el Comando
de Apoyo de Combate de Contrainteligencia Militar (CACIM).
información del Subsistema de lnteligencia y
e ser nombrado por Acto Administrativo por la
Jefatura de Estado Mayor de Planeación y Políticas (JEMPP), en el cual se
consignarán la diciones para su funcionamiento. (Ver Anexo 8 Tareas
comités Seguri la lnformación), y deberá estar conformado así:
a. Jefe de Departamento de lnteligencia y Contrainteligencia (CEDE2);
Director de Protección de Datos y Archivos de lnteligencia; Oficial
Seguridad de la lnformación y Asesor Jurídico orgánico de la DIPDA.
b. Comandante del Comando de Apoyo de Combate de lnteligencia (CAIMl);
Oficial de Comunicaciones y Oficial y/o suboficial de Seguridad lnformática
orgánicos del CAIMl.
EJñÑJ5ñE§MiHLHMi5fflÉN
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAr\l
CcomespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD@eh5rcito.mil.co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. o o z 2 i _ri 20í7 „L,NEAM,Ep#ó`S4 gÁ#
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
c. Comandante del Comando de Apoyo de Combate de Contrainteligencia
(CACIM); Oficial de Comunicaciones; Suboficial de Seguridad lnformática
y Comandante Batallón de Contrainteligencia de Seguridad de la
lnformación del Ejército Nacional (BACsl) orgánicos del CACIM.
d. Jefe del Departamento de Comunicaciones del Ejercito Nacional CEDE6.
EI Comité de Seguridad de la lnformación del subsistema de lnteligencia y
Contrainteligencia se reunirá una vez al mes para realizar la evaluación del
cumplimiento de los controles establecidos para mejorar la seguridad de la
información, este comité revisará trimestralmente los lineamientos internos de
seguridad de la información.
2. Las unidades operativas mayores, me as deberán realizar la
conformación de los comités de seguridad de 1 ión los cuales estarán
sujetos a supervisión por el Depariamento de lnt cia y Contrainteligencia
Militar.
3. Propender por la gener e seguridad de la información y el
uso de las buenas prác iejo de la información institucional, en
cada uno de los Cüman les (CAIMICACIM), para el Ejército
Nacional.
}
lv. DISPOSICIO
OMITIDO.
Firma,
~
ÉÑJEñESM#iMi§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAl\l
Comespondencia Carrera 57 No. 43 28
www.eíéncito.mil.co, correo electrónico: iemE)D@eiéncito.mjl.co
FÓcha
j2pL #
I;fgT9r°,fij "8
RESTRINGIDO
Pág.15 de 76
DE 2017 "LINEAMIENTOS PARA
:f#áNyuoA3'Eok%'E:3:',¥#DREM#i:=:EMNÁc,Ó%EZLE?ÉtRc,Tji¢ACIONAL".
Autentica:
A. Definición clasificación y conceptos generales sobre información y sus
diferencias.
8. Tareas del Comité de Seguridad de la lnformación del Subsistema de lnteligencia
y Contrainteligencia Militar.
C. Tareas Comité de Seguridad de la lnformación de las secciones de las unidades
operativas mayores, menores y tácticas que integran del Subsistema de
lnteligencia y Contrainteligencia Militar.
üÉBJ5ñE§M#Eprii§iÉN
Fe en la causa
##;*¥7N:..2%=2gcAN
w\^M/.eiéfcito.mil.co, correo electrónico: iemDD@eiército.mil.co
RESTRINGIDO
Pág.16 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 0 2 2 1 `_ 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL"
D. Aplicación permanente en relación al uso de redes sociales para los miembros
del Ejército Nacional.
E. Lineamientos específicos de seguridad de la información para el Subsistema de
lnteligencia y Contrainteligencia Militar y apoyo al Ejército Nacional.
DISTRIBUCION: Se realiza por correo institucional a las Unidades y dependencias
concernientes en la temática.
LJÉeJEñE5Mjfl/Mi=i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Comespondencia Carrera 57 No. 43 28
www.eLército.mil.co, correo electrónico: iemDD@eiército.mil.co E
r=
¡ ._ _ Net
##ññí
€®ltLl
8 _2 0 9 0
_,_____ _
RESTRINGIDO
Pág.17 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL"
ANEXO A: DEFINICION CLASIFICACION Y CONCEPTOS GENERALES
SOBRE INFORMACIÓN Y SUS DIFERENCIAS
Los documentos que contengan información relacionada con diferentes
niveles de clasificación de seguridad, asumirán el nivel'más alto que tenga la
información contenida en ellos,
Sin perjuicio de lo establecido en el Artículo 34 de la Ley Estatutaria 1621 de
2013 de lnteligencia y Contrainteligencia Militar, a mayor nivel de
clasificación de seguridad de la información, mayores serán las restricciones
y controles para el acceso a la misma por parie de los receptores, las
autoridades, Ios servidores públicos y asesóres que deban conocer de ella
La seguridad en el personal es la condición q e alcanza cuando se aplica
un conjunto de medidas eficaces y procedimie ablecidos, para reducir
a un grado mínimo aceptable el riesgo m prometimiento de la
información, ya sea clasificada o sensible, por sa debida exclusivamente
al personal que accede a la i ación, ya sea voluntaria o
involuntariamente, o d a autorizad
Se podrá accede ificada de grado Restringido o Superior,
cuando se cum quisitos (Decreto 1070 de 2015)
a. Tener la información, por razón del cargo que
de conocer se define como la determinación
r la que se confirma que un posible destinatario requiere el
1 conocimiento, o la posesión de información clasificada para
nciones o tareas oficiales. De este modo ninguna persona
podrá tener so a información clasificada exclusivamente por razón de
su cargo o grado o por estar en posesión de una Tarjeta de Manejo de
Documentación, sin la previa necesidad de conocer.
b, Concienciación de seguridad. Esta implica el conocimiento que debe ser
impariido por los responsables de expedir la Tarjeta de Manejo de
Documentación como requisito previo para los aspirantes a acceder a
información y documentos clasificados, de las obligaciones básicas y el
deber de reserva que adquieren, derivadas del acceso a este tipo de
información, así como las responsabilidades disciplinarias y penales que
le son de aplicación en caso de incumplimiento.
ÉF=ffiE§MJM/Mi5i±N
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAP\l
CcomespondenciaCamera57No.4328
www.eiéncito.mil.co, oorreo electrónico: iemDD®eiército.mil.co ü
rTT
RESTRINGIDO
Pág.18 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 002 21
DE 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
c. Solicitud de Tarjeta de Manejo de Documentación y acceso a la
información clasificada. Todo acceso y Tarjeta de Manejo de
Documentación debe tener una solicitud previa por parie del interesado en
acceder a la información, donde se identifiquen sus datos personales junto
con la justificación detallada de la necesidad de contar con Tarjeta y
acceso a la información clasificada. Esta solicitud debe contener una
declaración firmada por el Oficial de Seguridad Militar donde ceriifique que
el interesado ha sido concienciado en la protección de la información
clasificada.
d. Tener vigente la Tarjeta de Manejo mentación expedida por la
sección autorizada, de igual o do que el asignado a la
información a la que se accede ex sección de Seguridad
Militar de cada Unidad. Est imiento formal de una
persona a tener acceso a in n el ámbito y grado que
Se autorice expresarT 1 proceso de acreditación
de seguridad y haber compromiso de reserva que
adquiere y en las r derivan de su incumplimiento.
Esta tarjeta ten la de acuerdo a la duración del
funcionario en cto será de un año. Cuando el acceso
a la informa rsona ya no sea necesario bien sea por
traslado, retir 0, se deberá recoger la Tarjeta de Manejo
deDo ra o destruirá según las normas vigentes de
la debe portarla en todo momento que tenga
lasificada.
e. Haber fi romesa de reserva y ser puesto en conocimiento
de las imp lones jurídicas a las que se puede ver expuesto en
caso de violar algún lineamiento de la misma. Es de suma importancia
que quien acceda a la información clasificada sea concienciado por las
secciones jurídicas en el deber de reserva y que este se conserva por 30
años con independencia de que haya finalizado su necesidad de acceder
a la información clasificada
f. Declaración personal de seguridad firmada por el interesado donde
certificara que sus datos son reales y que comprende perfectamente sus
obiigaciones especiáies en io que se refiere a ia protección de ia
información clasificada, y que conoce las responsabilidades disciplinarias
üLEÑJ5ñM#iMi§iÉN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
wwweiército.mil.co, correo electrónico: iemDD@eiéncito.mil.co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 1 EE 2oi7 "LiNEAMiEP#otsgg:É&
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl N DEL EJÉRCITO NACIONAL"
o penales en las que puede incurrir por la divulgación no autorizada de
esta información, bien sea de forma voluntaria o involuntaria o por
negligencia.
g. Todo funcionario que este accediendo a información clasificada deberá
ser identificado en cualquier momento posterior al acceso de la
información.
h. La información clasificada deberá tener un destinatario concreto al que
llegue esa información.
i. El usuario de información clasificada ponsable de su protección en
todo momento.
La información clasificada es imputable, ue además del control llevado
a cabo por el sistema de registro, deb er registrado todo acceso que se
produzca a dicha información con in n inequívoca de la persona que
accede, fecha y hora en qu o y registro de firma
La investigación asociada al desarrollo tudio de Seguridad de Personal
debe ser un proceso serio y detallado, en special para el personal que tenga
necesidad de acceder a información clasificada. Esto parte de un análisis de
riesgos para de ulnerabilidades y amenazas a que pueda estar
sometido, c ecisión de expedir o no la Tarjeta de Manejo
de Docu
En cuan manejo de las comunicaciones los Comandantes de las
Unidades ativas Mayores, Menores y Tácticas deben implementar los
procesos administrativos y guías de uso de esas lineamientos por parte del
personal, dando responsabilidades claras a las secciones que tienen que ver
en el proceso de comunicaciones e lnteligencia y Contrainteligencia dentro de
las unidades, teniendo en cuenta el cumplimiento de la normatividad vigente,
sobre Seguridad de la lnformación y las Comunicaciones.
El siguiente cuadro detalla los lineamientos que se deben implementar
además de todas las normas ya establecidas:
MiEEÉñE§¥#EXMi§iÉ}N
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAl\l
CcomespondenciaCarrera57No.4328
www.eiéncito.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
Ef#áNyuoA3'E°k%'EE3:',¥A5EDREMAiE¥5EMNÁc#E£E2kg#co,io7N`ÁLLNEAMiEP#o2s°gÁÉÁ
y ~ `r` ` _=r^(`.,`(,WWH((^í±^^^^\„1YTYTrTT+<T=\Tff?c„:`{
ffi
', ` , , . ,, ;J =^fJJJ:,JT:;;,,ri',,t#.
nÉeJiñE§M#Eprii§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo elecmónico: iemoD@eiéncito.mil.co
n¥
^'2t
RESTRINGIDO
CONTINUAcioN DiRECTivA PERMANENTE No. 0 0 2 21 DE 2oi7 "LiNEAMiEP#ó2sí sÁÉ:&
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
+
autorízados por la lnstitución. novedades como el hallazgo de Recabar en forma escrita y verbal
medios de comunicación no constantemente a todo el personal
autorizados. esta política.
pelotones, quién transmitió y quién de registro de transmisores y
recibió información sensíble. reeeptores autorizados.
ti+FÉñE§M#EpvEi§iaN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiércfto.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
Pág. 22 de 76
CONTINUACION DIRECTIVA PERMANENTE No. m 2017 "LINEAMIENToS PARA
ELAPOY0 DE LA SEGURIDAD DE LA INFORMAcl DEL EJÉRCITO NACIONAL"
` ` ` `
HLEÑiñE§PLifliMi§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Ccomespondenck]Carrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD@eiéncito.mil.co
B
:b=T,:=25#±_fi
RESTRINGIDO
CoNTiNUAcioN DiRECTivA pERMANENTE No. 0 0 2 21.DÉ2oi7 ``LiNEAMiEPÉSó2s3gÁÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
ANEXO 8: TAREAS DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN DEL
SUBSISTEMA DE INTELIGENCIA Y CONTRAINTELIGENCIA.
A. Tareas del Comité de Seguridad de la lnformación del Subsistema de
lnteligencia y Contrainteligencia Militar.
1. Velar porque los lineamientos de Seguridad de la lnformación del Subsistema
de lnteligencia y Contrainteligencia sean actualizados y publicados al menos
una vez al año, o si hay una condición especial que lo requiera con el fin de
garantizar que esta siga siendo adecuada al contexto de la lnstitución.
2. Analizar y difundir las normas y estánda seguridad de la información
establecidos para el Subsistema de ln y Contrainteligencia y el
Ejército Nacional cuando sean requerjdo.
3. Liderar el proceso de gestión así como el
cumplimiento de las medidas de información clasificada, la
cual se deberá almacenar e és y físicos de cada unidad,
teniendo en cuenta la entes, normas archivísticas y
lineamientos emitida
6. Promover la difusión y apoyo a la seguridad de la información dentro del
Ejército Nacional contribuyendo a las buenas prácticas y cultura de seguridad
de la información.
7. Estudiar los casos especiales de seguridad de la información presentados en
el Ejército Nacional, para así, recomendar las acciones pertinentes y apoyar
la toma de decisiones.
ÉÑffiE§M#iMi§iÉN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiéncito.mil.co, correo electrónico: iemDD®eiército.mil.co
tt
RESTRINGIDO
CONTINUACION DIRECTivA PERMANENTE No. 0 0 2 21 . DÉ2oi7 "LiNEAMiEP#o2s4g:ÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
8. Tareas y roles de los integrantes del Comité de Seguridad de la
lnformación del Subsistema de lnteligencia y Contrainteligencia Militar
a) Jefe de Departamento de lnteligencia y Contrainteligencia (CEDE2).
(1) Controlar y supervigilar el cumplimiento de la presente directiva y
emitir las órdenes correspondientes concernientes a temas
enfocados a la seguridad de la información inmersa dentro del
proceso de Contrainteligencia Militar.
b) Oficial de Seguridad de la lnformación DIPDA.
(1) Asesorar al Jefe del Departamen suntos relacionados con el
Sistema de Gestión de Seguridad d con el fin de
mantenerlo informado sobre el de€ cumplimiento de las
Iineamientos, teniendo en cuenta los line,a ntos establecidos
(2) Coordinar con el Informática, la elaboración del
plan de apoyo, co esta a incidentes de seguridad
de la información, de acuerdo al procedimiento de gestión de
incidentes dé seguridad de la información.
n funcionamiento del proceso de seguridad
el Subsistema de lnteligencia y Contrainteligencia
con el fin de ser el punto de referencia para todos los
imientos de seguridad.
reportes estadísticos y extraordinarios que requiera el
eguridad de la lnformación, con el fin de coadyuvar a la
toma de decisiones en mejoras de la seguridad informática, de
acuerdo con los lineamientos establecidos.
(5) Desarrollar el plan de seguridad de la información para las Unidades
seleccionando los mecanismos y herramientas adecuados, con el fin
de permitir la aplicación de lineamientos teniendo en cuenta los
establecidos.
(6) Analizar integralmente los riesgos de seguridad de la información de
lnteligencia y Contrainteligencia Militar.
fiEJffiEsPLi#|Mi§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondenciá Carrera 57 No. 43 28
www.eiército.mil.co, correo electnónico: iemDD®eiéncito.mil.co
B#RT9r°iFi3
RESTRINGIDO
coNTiNUAcioN DiRECTivA PERMANENTE No. 0 0 £ 21 Dg..2ot7 „L,NEAM,EP#ó2s5g#á
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NAcloNAL"
(7) Apoyar a los Directores del CEDE2 en la gestión de riesgos de
seguridad de la información a su cargo.
(8) Velar por el mantenimiento y gestión del proceso de seguridad de la
información, además de proponer acciones para la mejora continua.
(9) Apoyar la implementación de los lineamientos, procedimientos y
controles de seguridad de la información definidos en el proceso de
seguridad de la información.
(10) Proponer ante el Comité de de la lnformación proyectos
para el mejoramiento del proce uridad de la lnformación en
lnteligencia Militar.
(11) Evaluar la Arquitectur con el fin de
verificar si está en lí ra de tecnología del
subsistema de inteligencia y inteligencia y dar aportes al
Ejército Naciona los comités de seguridad de la
informació
(12) Provee de Seguridad de la lnformación al
Comité lnformación y a las distintas unidades de
ntrainteligencia Militar.
lon costobeneficio entre la implantación de
eguridad de la lnformación y el riesgo asumido.
c) Asesor Jurídico DIPDA.
(1) Garantizar el cumplimiento de la normatividad legal vigente inmerso
en el proceso de Seguridad de la lnformación.
(2) Asesorar al comité de seguridad de la información sobre nueva
normatividad aplicable al proceso de seguridad de la información.
#ÉEEJE#E§M#|Mi§iÉN
Fe en la causa Ii';.,';,Nct
Entrada principal Carrera 54 No. 26 25 CAN
CcomespondenciaCarrera57No.4328
www.eiéncito.mil.co, comeo electrónico: iemDD®eiército.mil.co f_®lpl
RESTRINGIDO
CONTINUACION DIRECTivA PERMANENTE No. 0 Ü Z 21 .BfEoi7 "LiNEAMiEP#ó2s6gÁ#
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
(3) Realizar el aporte sobre los incidentes de seguridad de la información
y recomienda jurídicamente al comité para la toma de decisiones.
(4) Verificar que el Sistema de Gestión de Seguridad de la lnformación
emitido por el Subsistema de lnteligencia y Contrainteligencia Militar
cuente con el sustento legal que permita su formalización, aplicación
y obligatorio cumplimiento previa publicación y difusión.
(5)Asesorar al Jefe del Departamento de lnteligencia y
Contrainteligencia Militar, en el cumplimiento de las normas legales
locales y/o internacionales que le apliquen.
(6) Atender y resolver las consultas 1 Oficial de Seguridad de la
lnformación o el Comité de Segurid de la lnformación pudieran
hacer en cuanto al proceso de emi te y formalización del
Sistema de Gestión de Seguridad de del Subsistema de
lnteligencia y Contrainteligencia
(7) lnformar al Ofici del Departamento
de lnteligencia y itar cuando existan cambios en
la legislaci ue afecten istema de Gestión de Seguridad de la
tema d eligencia y Contrainteligencia Militar.
(8) nteligencia y Contrainteligencia Militar en
Ios casos se solicite el apoyo.
ando de Apoyo de Combate de lnteligencia
es y velar por el cumplimiento de los procesos de
seguridad de la información y seguridad informática.
(2) Asesorar al comité y dar recomendaciones para el mejoramiento
continuo del proceso de seguridad de la información.
(3) Velar por el cumplimiento de la conectividad de las redes y
plataformas tecnológicas del Subsistema de lnteligencia y
Contrainteligencia Militar.
É=JffiE§MJfl/Mi5i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eLército.mil.co H
===_E1+
Oi3
mlL____
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 00 2 21 DBkoi7"LiNEAMiEP#ó2s7gÁ#
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
e)Comandante del Comando de Apoyo de Combate de
Contrainteligencia (CACIM).
(1) Emitir Órdenes y velar por el cumplimiento de los procesos de
seguridad de la información por intermedio del Batallón de Seguridad
de la lnformación (BASCI).
(2) Asesorar al comité y dar recomendaciones para el mejoramiento
continuo del proceso de seguridad de la información.
(3) Velar por el cumplimiento de la s d de las redes y plataformas
encia y Contrainteligencia
AIMI CACIM).
(1) Planear, coordi s procesos de seguridad
informática d el fin de salvaguardar la
información istema de información de cada
depende ineamientos de seguridad informática.
nalizar las nuevas amenazas de seguridad informática,
e administrar riesgos e incidentes y proteger la base de
información del Ejército Nacional, de acuerdo a los parámetros
establecidos en coordinación con el oficial de seguridad informática
del CAOCC.
(4) Administrar las herramientas de seguridad informática, con el fin de
mantener la funcionalidad que permita proveer adecuados niveles de
seguridad y que permitan contrarrestar de manera oporiuna las
amenazas.
É°J5ñE§M#+Mi§iÉN
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiéncito.mil.co, correo electrónico: iemDD®eiército.mil.co
+
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. u .¿ z i ri20t7 „L,NEAM,Ep#ó2Ss g:R7&
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
(5) Monitorear, registrar, resolver e informar los eventos de intrusión o
uso malicioso de los recursos informáticos de su responsabilidad y
reportarlos al Oficial de Seguridad de la lnformación y coordinar con
el Comando de Apoyo de Operacional de Comunicaciones y
Ciberdefensa (CAOCC).
(6) Facilitar información que permita resolver incidentes que involucren
los recursos informáticos en los casos que corresponda.
(7) Aplicar y mantener los estándares de seguridad de las plataformas
de su responsabilidad.
g) Asesor Jurídico CAIMl CACIM.
(1) Verificar que el Sistema dad de la lnformación
emitido por el Subsistem e lntelige ontrainteligencia Militar
cuente con el sustento legal que pe u formalización, aplicación
y obligatorio cumplimíento previa icación y difusión.
(2)Asesorar al Jef de lnteligencia Militar en el
cumpl imiento de la locales y/o internacionales que le
aplique
y resolver las consultas que el Oficial de Seguridad de la
ión o el Comité de Seguridad de la lnformación pudieran
en cuanto al proceso de emisión, ajuste y formalización del
stión de Seguridad de lnformación del Subsistema de
ontrainteligencia Militar
(4) lnformar al Oficial de Seguridad de la lnformación del Subsistema de
lnteligencia y Contrainteligencia Militar cuando existan cambios en la
legislación que afecten al Sistema de Gestión de Seguridad de la
lnformación subsistema de lnteligencia y Contrainteligencia Militar.
(5) Asesorar al Subsistema de lnteligencia y Contrainteligencia Militar en
los casos que se solicite el apoyo.
HÉÑJffiE§MELTMi§iÉN
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAN
CcorrespondenciaCarrera57No.4328
www.eiército.mil.co, correo electnónico: iemDD®eiército.mil.co
q
tpIB]
RESTRINGIDO
Pág. 29 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 0 0 2 2 1 4É
2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION DEL EJERCITO NACIONAL".
h) Funcionarios.
(1) ldentificar eventos e incidentes de seguridad de la información.
(2) ldentificar posibles riesgos de la información e informar a los dueños
de la lnformación y/o al Comité de Seguridad de la lnformación.
(3) Cumplir los lineamientos de Seguridad de la lnformación.
(4)Clasificar y manejar la información generada de acuerdo al
procedimiento de gestión de activos definido en el Sistema de
Gestión de Seguridad de la 'nfor
(5) Reportar y brindar información, oceso de investigación
de incidentes de segurid e informa
(6) Ser agentes de cambio sensibilización sobre la
importancia de 1
ar el Sistema de Gestión de
hacerlas l[egar al correo electrónico
e la lnformación
tionar lós activos de información de cada Dirección de acuerdo
lasificación de Activos y el Procedimiento de Gestión
n sus requerimientos de seguridad.
(2) Gestionar los riesgos de seguridad de la información de acuerdo a
su área de responsabilidad, teniendo en cuenta la metodología de
gestión de riesgos vigente, esta actividad se realiza con el apoyo y
asesoría al Oficial de Seguridad de la lnformación.
(3) Aprobar los riesgos y el plan de tratamiento de riesgos de área de
responsabilidad.
(4) Hacer seguimiento cada tres meses del plan de tratamiento de
riegos a su cargo.
#+LEJEñE§PLiffliMi5if=N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electnónico: iemDo®eiército.mil.co
RESTRINGIDO
CONT,NUAC,ON D,RECT,VA PERMANENTE NO. 0 u .¿ 2 i ri 2047 „L,NEAM,Ep#ó3SogñÉ&
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL"
(5) Hacer evaluación y seguimiento de los indicadores que dependan
de su área de responsabilidad.
(6) Recomendar posibles ajustes al Sistema de Gestión de Seguridad
de la lnformación.
(7)Definir los perfj[es de los usuarjos de información con los
respectivos privilegios y justificación de acceso y uso de los
procesos a su cargo.
(8) lnformar sobre los incidentes de Seguridad de la lnformación que
ocurran en su área de responsabilidad de acuerdo al procedimiento
de incidentes de seguridad de la
(9) Ejecutar y participar activamente en ctividades planteadas en
el plan de sensibilización de seg la información
Gabrjel Espino Reviso: TE. Ariel Moreno
Director DIPDA CEDE2 Asesor Juridico CEDE2
ÉeffiE§PL9ELTMI=l±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Comespondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
8
RESTRINGIDO
Pág. 31 de76
CONTINUACION DIRECTIVA PERMANENTE No. Ou ¿ ¿ ,
DÉ 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
ANEXO C. TAREAS DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.
A. Tareas Comité de Seguridad de la lnformación de las unidades
operativas mayores, menores y tácticas integrantes del Subsistema de
lnteligencia y Contrainteligencia Militar.
1. Cumplir los lineamientos de Seguridad de la lnformación establecidos en la
presente directiva en cada uno de los niveles.
2. Verificar el cumplimiento de las normas y estándares de seguridad de la
información establecidos para el Ejército Nacional.
3. Apoyar el proceso de gestión de a información, así como el
cumplimiento de las medidas de seguridad nformación sensible, Ia
cual se deberá almacenar en me icos de la unidad de
acuerdo a su nivel.
4. Controlar los riesgos d nformación que afectan los
lineamientos institucional s ciberamenazas (internas y
externas), en cada u onsabilidad.
5. Generar iniciativ la seguridad de la información, de
acuerdo a las co sponsabilidades asignadas.
6. Promove a la seguridad de la información dentro del sus
áreas de contribuyendo a las buenas prácticas y cultura de
7. Evaluar los casos de seguridad de la información presentados en
las áreas de responsabilidad en cada uno de sus niveles, para así,
recomendar las acciones pertinentes y apoyar la toma de decisiones.
8. Tareas y roles integrantes Comité de Seguridad de la lnformación
a) Jefes de Estado Mayor, Segundos Comandantes o Ejecutivos de
Unidades Operativas Mayores, Menores y Tácticas.
(1) Emitir órdenes y velar por el cumplimiento de los procesos de
seguridad de la información y seguridad informática.
#±ÉE=+ffiE§r#TMISIÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
CcomespondenciaCarrera57No.4328
www.eiércíto.mil.co, correo electrónico: iemDD®eiércfto.mil.co
_
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE NO. o o 2 2 i 4+nEÉ0|7 WL|NEAM|EpÍSó3S2g:#
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
(2) Asesorar al comité y dar recomendaciones para el mejoramiento
continuo del proceso de seguridad de la información.
(3) Velar por el cumplimiento de la conectividad de las redes y
plataformas tecnológicas del Subsistema de lnteligencia y
Contrainteligencia Militar.
(4) Cumplir los lineamientos de Seguridad de la lnformación establecidos
en la presente directiva.
(7) Generar sugere 1 proceso de Seguridad de la
lnformació
b) Oficiales lnteligencia Unidades Operativas
Tácticas.
m iento de los procesos de seguridad de la
ación y seguridad informática dentro del área de
d de inteligencia y contrainteligencia militar.
(2) Liderar el proceso de seguridad de la información en cada uno de
sus niveles y de acuerdo a sus áreas de responsabilidad y realizar la
recopilación de las evidencias pertinentes para transmitirla a la
unidad superior.
(3) Garantizar el cumplimiento de la Ley 1621 de 2013 lnteligencia y
Contrainteligencia en cuanto al proceso de clasificación de la
información.
(4) Aprobar los riesgos del proceso de producción de inteligencia y el
plan de tratamiento de riesgos de área de responsabilidad.
fiEJ5ñE§PL#E!Mi=i5N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiéncito.mil.co, correo electrónico: iemDD@eíército.mil.co
.#F$2moTg_9+i5ñ3
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No.
EL APOYO DE LA SEGURIDAD DE LA INFORMAC #oDFÁ2c°,to7N`ÁLiN"iEP#o3s3gÁÉÁ
(5) Asesorar al comité y dar recomendaciones para el mejoramiento
continuo del proceso de seguridad de la información.
(6) lnformar sobre los incidentes de Seguridad de la lnformación que
ocurran en su área de responsabilidad de acuerdo al procedimiento
de incidentes de seguridad de la información,
(7) Ejecutar y pariicipar activamente en las actividades planteadas en el
plan de sensibilización de seguridad de la información.
c) Oficiales o Suboficiales de 0 Unidades Operativas
Mayores, Menores y Tácticas.
(1) Velar por el cumplimient operaciones inmersos
dentro de su área d que cumplan con un
tratamiento de seg Orma acordes a la reserva legal
emanada en la Le de20
ey 1621 de 2013 Inteligencia y
al proceso de clasificación de la
os del proceso operacional alineado a los tiempos
n institucionales y el plan de tratamiento de riesgos
sponsabilidad con el enfoque de la protección de la
onibilidad y confidencialidad de la información.
(4) 1 comité y dar recomendaciones para el mejoramiento
continuo del proceso de seguridad de la información.
(5) lnformar sobre los incidentes de Seguridad de la lnformación que
ocurran en su área de responsabilidad de acuerdo al procedimiento
de incidentes de seguridad de la información.
(6) Ejecutar y participar en las actividades planteadas en el plan de
sensibilización de seguridad de la información emitido por el
Departamento de lnteligencia y Contrainteligencia Militar.
HÉcfi=fiE§¥iEHTMi5i¿N
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electnónico: iemDD@eiército.mil.co
`'
RESTRINGIDO
EP#áNyuoA8'E°k%'Eg3=`,¥#EDREMATE¥5EMNÁcff£PÉÉ££5Ég£\2co,io7N`ÁLiNEAMiEP#o3s4gÁÉÁ
(7) Velar por la seguridad operacional de los activos de información y
productos que gozan de reserva legal inmersos en su área de
responsabilidad.
d) Oficiales o Suboficiales de Seguridad Militar.
(1) Cumplir las tareas y responsabilidad del ciclo de la seguridad de la
información donde debe dar recomendaciones para salvaguardar la
integridad, disponibilidad y confidencialidad de los activos de
información institucional.
(2) Garantizar el cumplimiento de 1621 de 2013 lnteligencia y
Contrainteligencia en cuanto a so de clasificación de la
información.
(4) Generar repories al comité de seguridad de la
inform eventos de seguridad presentados
n de seguridad de la información al personal de
1 y emitir la evidencia correspondiente (actas
itación), al comité.
es de seguridad de la información con recomendaciones
es a la materia
(7) Generar evaluaciones de seguridad de la información internas con
fines de establecer los niveles de seguridad de cada unidad.
e) Suboficiales de sistemas de información y comunicaciones.
(1) Garantizar las comunicaciones y conectividad al interior de cada
unidad previendo al personal un medio de trasmisión de información
seguro y regido por normas institucionales.
HLHJffiE§M#HMi§i±N
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAl\l
CcomespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
F_ . `_
lÉ
==:,TTT ,1
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. u .¿ 2 i __ai 2017 „L|NEAM,EPÉ¥ó3S5 gÁÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION DEL EJ ÉRCITO NACIONAL"
(2) Reportar los incidentes de seguridad informática presentados que
afecten la integridad, disponibilidad y confidencialidad de la
información institucional.
f) Asesor Jurídico Unidades Operativas Mayores, Menores y
Tácticas.
(1) Asesorar el cumplimiento de la presente directiva el cual permita su
formalización, aplicación y obligatorio cumplimiento previa
publicación y difusión.
(2)Asesorar al Jefe de Estado Segundo Comandante y/o
Ejecutivo de la unidad en el nto de las normas legales
locales y/o internacionales
(3) Atender y resolver la é de Seguridad de la
lnformación que pudi€ enCu o al proceso de emisión,
ajuste y formaliz cionados con el proceso de
seguridad de la i
(4) lnformar istan cambios en la legislación que
afecten tema d de Seguridad de la lnformación para el
(División), UPD (Brigada), SPD (Unidad
tos e incidentes de seguridad de la información.
(2) ldentificar posibles riesgos de la información e informar a los
responsables de la lnformación y/o al Comité de Seguridad de la
lnformación.
(3)Cumplir los lineamientos para el apoyo de la Seguridad de la
información del Ejército Nacional.
(4)Clasificar y manejar la información generada de acuerdo al
procedimiento de gestión de activos definido en el Sistema de
Gestión de Seguridad de la lnformación.
H+HF=ffiE§PLiM|Mi§i¿N
Fe en la causa
Entrada principal Camena 54 No. 26 25 CAN
CcomespondenciaCarrera57No.4328
www.eiéncito.mil.co, correo electrónico: iemDD@eiército.mil.co H
_ ]_
RESTRINGIDO
CONTiNUAcioN DiRECTivA pERMANENTE No. 0 0 2 21i udE2oi7 "LiNEAMiEP#ó3s6gÁÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL"
(5) Reportar y brindar información, durante el proceso de investigación
de incidentes de seguridad de información a la unidad
correspondiente (BACsl)
(6) Ser agentes de cambio en el proceso de sensibilización sobre la
importancia de la Seguridad de la lnformación.
(7) Recibir, controlar y difundir los productos de inteligencia y
operaciones con previa coordinación para realizar el tratamiento de
Director DIPDA CEDE2 Asesor Jurídico CEDE2
HÉcxffiE§rifl+Ml§l±N
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAN
Comespondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
82.2?D°ic92R~É3
RESTRINGIDO
Pág. 37 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 0 0 2 2 1 ri
2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION DEL EJERCITO NACIONAL".
ANEXO D. APLICACIÓN PERMANENTE EN RELACIÓN AL USO DE REDES
SOCIALES PARA LOS MIEMBROS DEL EJÉRCITO NACIONAL.
Las redes sociales han revolucionado el concepto sobre las relaciones humanas,
donde ya no es necesario un contacto físico, compariir una nacionalidad o el
conocimiento de un mismo idioma, para considerarse amigos virtuales y compartir
toda clase de información; ese flujo desbordado de información ha logrado, según el
caso, impactar de manera positiva y negativa, aspectos políticos, sociales y
económicos de distintas sociedades, un ejemplo de ello fue el movimiento
denominado "primavera árabe"; pero también el contenido de sus mensajes ha
conllevado efectos adversos a nivel personal con consecuencias judiciales, laborales
y familiares, principalmente por el desconocimie 1 correcto uso y los derechos
en torno a la actividad de los usuarios.
Las redes sociales gen en tres ámbitos definidos:
1. Impactos a acional: se definen aquí tres tipos de incidentes
críticos, qu n Conn tanto estratégica como táctica, que son:
ldentificació dantes y agentes de inteligencia o contrainteligencia.
lnfluencia nega n la moral de las Fuerzas Militares
2. lmpactos a nivel lndustrial o negocios: es bien conocida la competencia global a
nivel económico, donde el espionaje industrial ha cobrado protagonismo en los
últimos 10 años. Los tres principales impactos en esta área son:
a) Espionaje industrial
b) ldentificación de las estructuras organizacionales de las empresas
c) Difusión de rumores que afectan imágenes corporativas.
#±ESF"Ñj5ñE§rÉiEkEEffi§i6N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
wwweiército.mil.co, correo electrónico: iemDD@eiército.mil ,co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. U U ¿ ¿ ` =Ú±2oi7 "LiNEAMiEP#ó3ss 8:ÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
3. lmpactos a nivel personal: en este sentido hay que entender que para un
usuario promedio de los servicios de internet, no existe conexión anónima. Los
principales impactos en esta área son:
a) Pérdida de la privacidad
b) Conexión con usuarios indeseados
c) Suplantación de la identidad.
d) Las principales redes sociales que existen actualmente y que cuentan con
gran número de usuarios en Colombia, son las siguientes:
lvIEDIOSOCIAL
CLASIFICACIÓN CARACTERÍSTICAS EJEMPLOS
Es un espacio web que está
Personales
orientado a permitir contacto Effi,,,.
entre personas con un nexo o
REDESSOCIALES interés personal común. ;^ñ=y=;s#`,
Permiten el `contacto ent+e
LinkedE. Ríúis5SE!"%E
personas a un nivel profesional
Profesionales para compartir conocimientos e
=',=\*:,='=,,,`.
intereses laborales. SBranch
=
El blog es un espacio que se
actualiza con regularidad y que
almacena contenidos de una
persona, de una marca o de un i wompRESS i;rA"t"
Tradicionales grupo de autores. Los
c®ntenidos se presentan
fechados y en orden
cronológico (El más reciente
primero)
Se especializa en contenido
Fotoblogs fotográfico. flickr`vstñw
Se especializa en contenido
•ytoi
BLOGS
audiovisual, permitiendo subir @, , \±J,:,
Videoblogs y compartir videos.
\T;#1,#
Aun cuando existen variaciones
en video, se especializa en
Podcasts contenidos de audio. Se ].
popularizo por el uso con
productos ADple.
Se especializa en contenidos
Microblogs presentados de manera corta blr. E ` ',
mt"bl..lküJi8gftr
üÉÉBJffiE§MELEXMl§I±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr\l
CcomespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
Bü;,?rq99nET3
RESTRINGIDO
Pág. 39 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl RCITC"ACIONAL"
MEDIOSOCIAL
CLASIFICACIÓN CARACTERÍSTICAS EJEMPLOS
Es una herramienta que
permite compartir los
BOOKMAR contenidos favoritos en internet
KING con otras personas con s©m Fdelicious
SOCIAL intereses comunes,
garantizando una mayor
relevancia de los contenidos. EE
Son herramientas para
WIKIS compartir, gestionar y crear
contenidos colaborativamente.
Son espacios de discusión en
internet, donde los u§uarios
FOROS intercambian comsritarlo§
sobre temas específicos,
conocidos como hilQs (threads)
Son aplicaciones sociales queintegranelementosdejuego
OROS y/o mercancía virtual para
atraer a sus usuáriQs.
aHaEgE® LtttLú `: ,=y `,,,, ri
La Corte lnteramericana de Derechos Humanos ha señalado que el umbral de
protección de la libertad de expresión, no conlleva ausencia de límites para quien
comunica por un medio masivo, por lo cual en ejercicio de dicha libertad "no se
deben emplear frases injuriosas, insultos o insinuaciones insidiosas y vejaciones'',
estando todas las personas sujetas a las responsabilidades que se deriven de la
afectación de derechos de terceros.
fiEÑJffiE§M#EFviisiÉN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, coiTeo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 0 Ü 2 2,1 _d2oi7 "LiNEAMiEP*So4s° g£É&
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCIT0 N'ACIONAL".
Por simple ilustración, puede también observarse que el Tribunal Europeo de
Derechos Humanos tampoco ha ido al extremo de garantizar la difusión de todo
tipo de opiniones u ocurrencias, en cuanto el ejercicio recto y objetivo de la libertad
de expresión presupone que "Ios juicios de valor están protegidos por el artículo
10 del CEDH, pero los insultos que son una cuestión totalmente diferente, no."
En el caso de los servidores públicos y particularmente los funcionarios que
laboran con el Ejército Nacional, esta expectativa de responsabilidad y buen
criterio aumenta, primero por estar en sus funciones particulares alineadas con la
misión constitucional asignada en el artículo 217, que reza: "La Nac/.Ór} fendrá para
su defensa unas Fuerzas Militares permanentes nstituidas por el Ejército, Ia
'án como finalidad primordial
Armada y la Fuerza Aérea. Las Fuerzas Milita
Ia defensa de la soberanía, Ia del territorio nacional y
del orden constitucional. ( . . .)."
Se entiende por información clasificada toda aquella información sensible que está
restringida legalmente en su acceso y consulta; esta clasificación sobre nivel de
acceso fue reglamentada inicialmente por el decreto 857 de 20132 y
Capítulo VI Artículo 11 "Niveles de clasificación de la información. Los niveles de clasificación de seguridad de la información que goza de
reserva legal serán los siguientes: "a) Ultrasecreto. Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y
contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacídades, que puedan afectar al exterior del
país los intereses del Estado o las relaciones intemacíonales. b) Secreto. Es el nivel de clasificación que se debe dar a todos los documentos de
inteligencia y contrainteligencia que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar al
interior del país los intereses del Estado. c) Confidencial Es el nivel de clasificación que se debe dar a todos los documentos de inteligencia y
contrainteligencía que contengan información sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar directamente las
instituciones democráticas. d) Restringido. Es e] nivel de clasificación que se debe dar a todos los documentos de inteligencia y contrainteligencia
que contengan mformación de las mstituciones militares, de la Policía Nacional o de los organismos y dependencias de inteligencia y
ÉCJffiE§MJflEprii§i5N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAP\l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemoD®eiército.mil.co
RESTRING]DO
Pág. 41 de 76
CONTINUACION DIRECTIVA PERMANENTE No. BE 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJ ffiAcloNAL"
posteriormente incluida en el Artículo 2.2.3.6.2. Niveles de Clasificación de la
lnformación del Decreto Único Reglamentario 1070 de 2015.
El segundo aspecto de interés que deben considerar los funcionarios del Ejército
Nacional al hacer uso de sus redes sociales, es lo referente al carácter NO
deliberante y prohibición de intervención en actividades o debates de pariidos o
movimientos políticos a los miembros de la Fuerza Pública+ mientras permanezcan
en servicio activo, según lo establecido en el Artículo 219 de la Constitución
Política de Colombia de 1991.
El tercero se refiere al hecho de tener presi el Ejército es una institución
jerarquizada, donde existen unos niveles ndo que están legalmente
autorizados para llevar la vocería de idades, en lo que respecta a
suministrar información personalment e los m e comunicación o a
través de las plataformas virtuales quien este legalmente
autorizado, puede emitir info nceptos a nombre de la
institución, entonces la person ue a través es sociales se identifique con
símbolos del Ejército, escud niformes, grados y distintivos
mi'itares, y emita información, iniones sin aclarar que lo hace a
título personal y no c titución podría estar incurriendo en una
usurpación y abus s (Capitulo lx Ley 599 de 2000), sin
perjuicio de otros de faltas disciplinarias en que pueda incurrir por los
mismos hecho
En este senti e gran importancia concientizar a los miembros activos de la
lnstitución sobre enazas desde las redes sociales, con el apoyo de las
secciones de telem rientando hacia las buenas prácticas, analizándolas
desde todas las perspectivas posibles, puesto que sólo desde un enfoque integral
se pueden afrontar los desafíos que supone el uso malintencionado de internet, y
sólo así, es posible responder con éxito a los fines que se pretenden. Se
establecen las siguientes normas para el manejo de redes sociales:
1) Tenga en cuenta que todo lo que escriba o envíe a través de redes
sociales, puede terminar conviniéndose en asunto público, por acción
intencional o accidental de usted o de su destinatario.
contrainteligencia, sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar en las citadas instituciones y organismos, su
seguridad, operaciones, medios, métodos, procedimientos, integrantes y fuentes".
fliEEJEñESM#EXMi§iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr\l
CcomespondenciaCamera57No.4328
www.eiéncito.mil.co, correo electrónico: iemoD®eiército.mil.co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 0 0 2 21 ±TDT2oi7 «LiNEAMiEPÍÍó4s2 gÁÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
2) Una broma o comentario inadecuad`o, podrían ocasionarle problemas de
tipo personal, familiar, laboral o judicial.
3) La condición de servidor público y de militar en servicjo activo es
permanente y no se suspende en días u horas de descanso, tampoco por
encontrarse fuera de su jurisdicción, por lo tanto cuando usted publica o
retransmite información, documentos, opiniones o conceptos por redes
sociales, lo está haciendo como servidor público y/o militar en servicio
activo.
4) No se identifique bajo escudos o símbolos del Ejército o sus unidades para
publicar opiniones o conceptos person ino está autorizado para llevar
la vocería de una Unidad o dependenci
6) No revelar info UGAR DE TRABAJO, las funciones o
cargos, y tene n las fotos, direcciones y/o planes de
VlaJe
8) No se deben establecer las redes sociales como sistema alterno a las
comunicaciones militares, recuerde que la seguridad de voz incorporada en
los radios y el uso del loc son herramientas que garantizan la seguridad
operacional.
9) Los comandantes de unidades de maniobra deben establecer como parte
de sus lineamientos de seguridad en el área de operaciones, la prohibición
del uso de celulares durante los desplazamientos, prestación de turnos de
centinela y programas radiales.
H±Ñg=§ MULTIMl=I±N
l\IUESTFIA Ml§IÓN E§ COLOMBIA
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
¥Ífl8!oi73
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 0 0 2 21 H 2oi7 "LiNEAMiEPÉSó4s3g#
EL APOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
10)Los riesgos derivados del uso de las redes sociales en entornos
corporativos suelen ser, entre otros la fuga de información sensible, el
resquebrajamiento de la disciplina y el daño a la imagen institucional al
responsabilizar a la Fuerza por actitudes impropias de sus integrantes, por
ello la divulgación por cualquier medio no autorizado de información
CLASIFICADA (REDES SOCIALES, SMARTPHONE)3, tendrá la
consideración de delito o falta y llevara consigo consecuencias penales o
disciplinarias; Ia persona que cometa este tipo de conductas, estará sujeta
a las sanciones a que haya lugar, de acuerdo al Código Penal4 y al
3 Circular 067393 de 2104, Circular 001707 de 2015
4 ARTÍCULO 194. Divulgación y empleo de documentos reservados. El que en provecho propio o ajeno o con perjuicio de otro divulgue o
emplee el contenido de un documento que deba permanecer en reserva, incurrirá en multa, siempre que la conducta no constituya delito
sanci.onado con pena mayor.. ARTICULO 418. Revelacjón de Secreto. El servidor público que indebidamente dé a conocer documento o noticia
que deba mantener en secreto o reserva, incurrirá en multa y pérdida del empleo o cargo público. Si de la conducta resultare perjuicio, la pena será
de dieciséis (16) a cincuenta y cuatro (54) meses de prisión, multa de veinte (20) a noventa (90) salarios mínimos legales mensuales vigentes, e
inhabilitación para el ejercicio de derechos y funciones públicas por ochenta (80) meses.
E
#TEEIÑj5E§Mjffl/Mi§i¿N
Fe en la causa
(
Entrada principal Carrera 54 No. 26 25 CAN
CcorrespondenciaCamera57No.4328
www.eiéncito.mil.co, correo electrónioo: iemDD®eiércfto.mil.co
RESTRINGIDO
coNT,NUAC,oN D,RECT,VA PERMANENTE N.. o o 2 21 mi2.1, "L,NEAM,EPÉ?ó4s4gá#
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
• ` , .i.:.t.`.:`t!
fiEffiE§MÉfl/Mi=i±N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Comespondencia Camera 57 No. 43 28
www.eiéncito.mil.co, correo electrónico: iemDD®eiéncfto.mil.co
.,
RESTRINGIDO
Pág. 45 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
ANEXO E. LINEAMIENTOS ESPECÍFICOS DE SEGURIDAD DE LA INFORMAclóN
PARA EL SUBSISTEMA DE INTELIGENCIA Y CONTRAINTELIGENCIA
MILITAR Y APOYO AL EJÉRCITO NACIONAL.
EI Subsistema de lnteligencia y Contrainteligencia Militar, dentro del marco de su misión
lnstitucional, reconoce la importancia de identificar y proteger los activos de información
del Ejército Nacional, asegurando su disponibilidad, confidencialidad e integridad,
comprometiéndose a establecer, implementar, mantener y mejorar continuamente la
Seguridad de la lnformación enmarcado en el cumplimiento del ordenamiento legal y en
concordancia con la misión, visión, objetivos estratégicos y valores de la lnstitución.
1. Dispositivos MÓviles
El uso de dispositivos móviles, tales como comput res portátiles (notebooks y
Iaptops), tabletas electrónicas, unidades de almacen externo y teléfonos
móviles que contengan información del que a Su vez se utilicen
para el manejo de esta información, os y/o verificados de
acuerdo al análisis de riesgo correspori ar el impacto a que se expone
la información como su pérdida, alteración y }n no autorizada.
a. Normas:
Se debe contar c ualizado de dispositivos móviles utilizados
Para almace ir jnformación del Ejército Nacional
2) En los dis s móviles que exista información del Ejército Nacional, se
debe restri la conexión a redes o servicios que no sean explícitamente
autorizado nal de aseguramiento perimetral de los sistemas de
información y
3) En caso que el sitivo móvil tenga fines de traslado de información debe
contar con controles de cifrado de la información.
4) Si desde el dispositivo móvil se procesa información se debe contar con un
software instalado y actualizado contra códigos maliciosos, firewall personal y
para prevenir intrusos.
5) Estos dispositivos deben contar con uno o dos factores de autenticación como
clave y huella digital.
6) Se deben generar recomendaciones del uso y cuidado de tipo físico cuando el
dispositivo se encuentre fuera de las instalaciones de la lnstitución.
7) Si desde el equipo móvil se requiere conexión remota a los servicios e
información de la red del Ejército Nacional, se debe validar previamente que el
Écffi]ffiE§MEL|Mi5iÉN
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiércfto.mil.co, correo electnónico: iemDD®eiéncito.mil.co E
LJ±
RESTRINGIDO
Pág. 46 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 .`LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
dispositivo está libre de infección y cumple con los demás controles de
seguridad activos y actualizados.
8) Se deben implementar mecanismos para auditoria y monitoreo de las acciones
ejecutadas en los dispositivos móviles.
9) Se prohíbe el uso de dispositivos móviles personales para el manejo,
transporte y transmisión de información clasificada y sensible. Para los
dispositivos móviles institucionales se deben tener en cuenta las normas para
blindarlos ante posibles amenazas.
10) Se deben configurar los dispositivos móviles de tal manera que cualquier
aplicación incluyendo los mecanismos de software de seguridad permanezcan
actualizados sin que dependan de conexión directa de la infraestructura
tecnológica del Ejército Nacional.
11) Los dispositivos móviles institucionale ner activado la función de
geolocalización (si aplica) o recupe e debe contar con un
mecanismo que permita localizarlo y
12) Al realizar la disposición final o reasignación del dispositivo móvil a otra área
con un propósito diferente para el cual estaba designado, se deberá realizar
un borrado seguro de tod a informació acenada
13) El acceso al computad rtátil debe rotegido por una contraseña de
encendido la cual s en la 81 Basic lnput Output System) del
equlpo.
14) El computador ebe tener un mecanismo de anclaje con clave y/o
llave que permita ase lo a otro elemento fijo de tal manera que no pueda
ser hurtad ctado.
15) Los pue SBd dispositivos móviles deben estar bloqueados y
configura la fuga de información incluyendo los dispositivos de
16) Los funcionari tengan asignados equipos móviles de comunicación y
equipos portátiles, deben ser responsables de la reserva de la información
almacenada en ellos, para lo cual deben aplicar los mecanismos de seguridad
de este documento, que impidan la consulta de información por parte de
personas no autorizadas.
2. Trabajo Remoto.
EI Ejército Nacional, requiere accesos remotos en determinados casos en los cuales
se debe proteger la información clasificada según lo establecido en la Ley
Estatutaria 1621 de 2013 y el Decreto 1070 de 2015, a la que tienen acceso los
funcionarios desde lugares remotos, por razón y motivo de su cargo, por lo tanto, el
HiEjffiE§M#|Mi§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
ww.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
¥
RESTRINGIDO
Pág. 47 de 76
CONTINUAcloN DIRECTIVA PERMANENTE No.
EL APOYO DE LA SEGURIDAD DE LA INFORMAcl 5ñüTA2c°,`o7N`ÁL|N.EAMIENTospARA
acceso a la información fuera de la oficina puede ser permitida si se demuestra que
la información requerida es necesaria para el cumplimiento de sus funciones, y que
existe un control de acceso con autorización previa y controlada por el Ejército
Nacional.
a. Normas:
1) El acceso remoto únicamente se podrá realizar desde los equipos
institucionales que cumplan con los niveles de seguridad y sobre los cuales
se pueda confirmar el cumplimiento de requerimientos de seguridad, antes de
permitir la conexión remota a los servicios o recursos de la infraestructura
tecnológica.
2) Los accesos remotos a los sistemas de ción del Ejército Nacional, se
deben realizar a través de los proto cceso establecidos por el
Ejército Nacional.
3) Se deben incluir controles de segur ipos desde los cuales
se procesa información del Ejército Nacional, ior para evitar accesos
no autorizados por personas ajenas
4) Se deben realizar copi e respa a información de acuerdo al
procedimiento de t asegurar la continuidad de las
funciones realizada
5) Todo usuario que uiera con Ón remota a los servicios o información del
Ejército Nacion berá ser mente autorizado por quien tenga dentro
de sus resDons :a autorización.
6) La conexi s o información del Ejército Nacional, se deberá
realizar e comunicación seguros como redes privadas
virtuales.
7) La admini ta de los servicios informáticos del Ejército Nacional,
desde equip a dos desde redes comerciales no está permitida, salvo
que se cuente con la autorización debidamente sustentada mediante
documento escrito y con un mecanismo de control de acceso seguro
autorizado.
8) En caso de pérdida, suplantación o robo de un equipo portátil o cualquier
medio de almacenamiento durante el teletrabajo que contenga información
relacionada del Ejército Nacional, se deberá realizar inmediatamente el
respectivo reporte de acuerdo con el procedimiento de Gestión de lncidentes
de Seguridad (Anexo G de la Directiva 201418 ``Lineamientos de Seguridad
de la lnformación para el Sector Defensa Ministerio de Defensa") y se
deberá poner la denuncia ante la autoridad competente.
E
ÉaJEñE§MJEHTMi§iÉN
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co Lrlr "
RESTRINGIDO
Pág. 48 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL ACIONAL".
3. Acceso Iógico y físico
EI Ejército Nacional, define un grupo de controles que deben hacer referencia a
todas aquellas directrices mediante las cuales se determina los mecanismos de
protección, los límites y procedimientos frente a la administración y responsabilidad,
relacionados con los accesos a la información, sin importar si estos accesos sean
electrónicos, lógicos o físicos.
a. Normas de acceso lógico:
1) Dependiendo del nivel de clasificación y criticidad de los activos de
información a los cuales se va a brindar acceso se deben establecer
mecanismos de autenticación de uno, d ctores.
2) Cuando se solicite tener acceso a alg o o servicio informático de
lnteligencia y Contrainteligencia se deberá real orrespondiente análisis
de riesgo con la participación del responsa a información y de los
activos asociados, con el fin de determinar ivilegios a otorgar y definir
los mecanismos necesario su protecc
3) La creación, modificación y b a de usuarios en Ios sistemas de información,
comunicaciones y s\eguri deberá seguir el procedimiento Gestión de
Usuarios y Contraseñas de irectiva 201418 "Lineamientos de Seguridad
de la lnformació ector Defensa Ministerio de Defensa".
4) Las asig nacion /iiegios en iás apiicaciones para ios diferentes
usuarios por el procedimiento de Gestión de Usuarios y
Contras 201418 "Lineamientos de Seguridad de la
lnformaci ara el Sector Defensa Ministerio de Defensa", estos privilegios
deben reví mensualmente y ser modificados o reasignados cuando se
presenten s en el perfil del usuario, ya sea por promociones,
ascensos, traslados, cambios de cargo o terminación de la relación laboral.
5) Los cambios a las cuentas privilegiadas o súper usuarios se deben registrar y
revisar cada mes. Adicionalmente, se deben realizar de acuerdo al
procedimiento de gestión de cambios.
6) Se deben establecer los requisitos para la autorización formal de las
solicitudes, así como para la revisión periódica de los controles y el retiro de
los derechos de acceso a los usuarios.
7) Se debe usar una única identificación de usuario (ID) para permitir que los
usuarios queden vinculados y sean responsables de sus acciones.
HÉcffiE§PL9ÉflTM]§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAt\l
CcorrespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
¥;Í¡T!0?;7j'
RESTRINGIDO
Pág. 49 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl 5.j¥.: CIONAL„.
8) Se debe verificar que el nivel de acceso otorgado sea adecuado para los
propósitos y limitado exclusivamente a la información que está autorizado a
acceder, y no poner en riesgo la segregación de funciones.
9) Todos los funcionarios del Ejército Nacional, deben conocer, leer y firmar una
declaración escrita de los derechos de acceso otorgados en la cual se indique
que ellos conocen, entienden y aceptan cumplir los controles de acceso a los
sistemas de información, los cuales serán recopilados por las secciones de
sistemas de información y comunicaciones de cada unidad.
10)El acceso a los sistemas de información se debe retirar o bloquear máximo 36
horas después de ser notificado el retiro del funcionario de la lnstitución y
máximo 24 horas si el funcionario es trasladado.
11 )Todos los accesos no autorizados será rados como un incidente de
seguridad de la información, de acuerd edad se llevaran a cabo las
clausulas (disciplinarias, administrativas y pen definidas previamente.
12)Los privilegios de administraci lose e cómputo (servidor,
estación de trabajo, portátil, o deben ser asignados
únicamente a los administradores d esignados en la sesión del
Ejército Nacional, en utorizar estos privilegios de
acceso al usuario del eq
13)Todos los funcionarios deben uS contraseñas, inicialmente se les
suministrará de era Se ontraseña temporal, la cual se debe
forzar a cambia iatam e el siguiente ingreso al sistema.
14) Las contraseñ o por defecto se deben cambiar
inmediatam ión de los sistemas o del software.
15)Si un us iferentes sistemas de información, se deben
emplear
16)Toda rsonal e intransferible, y cada usuario es responsable
de las accio ejecuten con el usuario que se le ha asignado.
17)En caso de que ta sospecha o cerieza de que alguna contraseña se ha
comprometido, esta debe ser cambiada y documentada de manera inmediata.
18)La gestión de las contraseñas incluye construir contraseñas teniendo en
cuenta los siguientes lineamientos de manera obligatoria:
19)Deben estar compuestas mínimo de catorce (14) caracteres que deben ser
combinados (mayúsculas, minúsculas, números y caracteres especiales).
20)No deben ser idénticas o similares a contraseñas que hayan usado
previamente o que usen en otros sistemas de información.
21)La contraseña tendrá una vigencia máxima de 30 días, finalizando este
periodo el usuario deberá realizar el cambio correspondiente.
22)No deben ser fáciles de inferir o adivinar.
flÉEIÑÉñE§M#EXMi=iÉN
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 0 Ü : 21 tifioi7 «LiNEAMiEPÉSó5s° gfiÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
23)No deben ser susceptibles a ataques de diccionario, es decir, que no incluya
palabras que podrían ser encontradas en un diccionario.
b. Normas de Acceso Físico:
1) La protección física se llevará a cabo mediante la creación de diversas
barreras o medidas de control físicas, alrededor de las instalaciones del
Ejército Nacional y de las instalaciones de procesamiento de información.
2) Para la selección de controles de las áreas protegidas se tendrá en cuenta la
posibilidad de daño producido por incendio, inundación, explosión, agitación
civil y otras formas de desastres naturales o provocados por el hombre.
3) El cableado de energía eléctrica y comunica nes que transponan datos o
brinda apoyo a los servicios de información d estar aislados y protegerse
contra intercepción o daños.
4) Se debe garantizar la seguridad e datos incluyendo, entre
otros, el sistema eléctrico, el sistema de pr contra incendios y el
control de temperatura.
5) Todas las puertas que sistem control de acceso, deben
permanecer cerradas, y ponsabilida de todos los funcionarios y
terceros autorizados Ias puertas se dejen abiertas.
6) Se debe exigir a sin excepción, el porte en un lugar visible
del mecanismo doptado en cada una de las unidades del
Ejército Nacional, anezcan dentro de sus instalaciones.
7) Los visita cer acompañados de un funcionario cuando
se encue entro a de las áreas seguras (Centros de Datos
seccione sistemas de información y comunicaciones), del lnteligencia y
Contrainteli
8) Es responsa odos los funcionarios y terceros acatar las normas de
seguridad y lsmos de control de acceso a las instalaciones de las
unidades del Ejército Nacional.
9) Todo acceso físico a las áreas protegidas deberá estar manejado según los
lineamientos definidos por el procedimiento de Control de Acceso a Área
protegida (Anexo 1 de la Directiva 201418 "Lineamientos de Seguridad de la
lnformación para el Sector Defensa Ministerio de Defensa").
10)En las áreas restringidas donde se encuentren activos informáticos, se debe
cumplir como mínimo con los siguientes lineamientos:
a) No se deben consumir alimentos ni bebidas.
b) No se deben ingresar elementos inflamables.
HÉBjffiEsri#|Ml§IÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
I
•:+ils=1±_=
RESTRINGIDO
Pág. 51 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJ
c) No se debe permitir el acceso de personal ajeno sin que este acompañado
por un funcionario durante el tiempo que dure su visita.
d) No se deben almacenar elementos ajenos a la funcionalidad de la
respectiva zona segura.
e) No se permite tomar fotos o grabaciones de las áreas seguras sin la previa
autorización del área responsable de cada una de ellas.
f) No se permite el ingreso de equipos electrónicos (computadores portátiles,
cámaras, celulares, USB, etc.), así como maletas o contenedores, a
menos que haya una justificación para esto. En ese caso, deberán ser
registradas al ingreso y salida para minimizar la posibilidad de ingreso de
elementos no autorizados o la extracción de elementos.
g) Se debe dar cumplimiento a lo e o en la Directiva 201418
"Lineamientos de Seguridad de la 1
n para el Sector Defensa
Ministerio de Defensa" en sus A iento Areas Seguras" y
"0. Procedimiento Gestión
señas", así como lo
establecido en el procedim cceso" y "Trabajo de
Areas Seguras" de lntel
4. Controles criptográficos
Con el fin de proteger la ridad de la información, el Ejército
Nacional, deberá defini nsables del cifrado de la información,
así como también de 1 tas deberán ser utilizadas, protegidas y
gestionadas a lo vida únicamente por los responsables
designados
a. Normas:
1) La inform clasificada de acuerdo a las directrices de la Ley
Estatutaria 1 013 de lnteligencia y Contrainteligencia, se debe
almacenar y transmitir bajo técnicas de cifrado con el propósito de proteger su
confidencialidad e integridad, no obstante, en caso de no poderse aplicar un
mecanismo de cifrado seguro, el responsable del cifrado deberá asignar clave
de aperiura a los archivos digitales que contengan este tipo de información.
2) Se debe asegurar que todo sistema de información o aplicativo que requiera
realizar transmisión de información de acuerdo a la Ley Estatutaria 1621 de
2013 de lnteligencia y Contrainteligencia, cuente con mecanismos de cifrado
de datos.
3) Se debe verificar desarrollar y establecer mecanismos para el manej.o y la
administración de llaves de cifrado; y estándares para la aplicación de
controles criptográficos.
ÉF=JffiE§PÉ#Eprii5iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
Pág. 52 de 76
"LINEAMIENTOS PARA
CONTINUACION DIRECTIVA PERMANENTE No.
ELAPOY0 DE LA SEGURIDAD DE LA INFORMACION DEL flD2L2jÉRé!íTOEA2c°.ío7
NACIONAL".
4) Se deben implementar controles respecto de la administración de claves,
recuperación de información cifrada en caso de pérdida, compromiso o daño
de las claves y reemplazo de las claves de cifrado.
Se deben utilizar los siguientes algoritmos de cifrado y tamaños de clave:
* `5S
iL ) ``T'` ,```ívíTwí/`{J%{%üffi}Lttt«(i`,\+ T` `mm`Í`T=ffiiffi)1 %«\++,r` r r``t`éí#¢1ffl¡)i;;L)`*` ,, ' , ív`í¥`%t`|);(\#^),+}w T` T,,\í`í,`%,:\¥),
LONGITUDDECLAVE
CASO DE USO ALGORITMO
Para certificad OS
utilizados en servicios
relacionados a la firma
digital (sellado de 2048 o 4096
RSA
tiempo, Bits
almacenamiento segu ro
de document OS
electrónica`st etc.)
Para Qé`rtificadús e 2048 4096
RSA
sitio següfüt Bits
pa[`a y^Certificados ' de
2048 4096Bits
ustutário \ {p'ersonas RSA
físicas o jurídicas).
5) Los algoritmos y de clave mencionados anteriormente a la fecha
de la generación de esta política se consideran seguros. Se recomienda
verificar esta condición periódicamente con el objeto de efectuar las
actualizaciones correspondientes.
6) Los riesgos de fuga de información o perdida de confidencialidad
relacionados con los controles criptográficos deben ser evaluados cada 3
meses por el responsable de la información y el encargado del SGsl, con el
fin de evaluar la seguridad de los algoritmos de cifrado actuales y actualizar
de acuerdo a los informes de las autoridades competentes.
7) Todos los documentos electrónicos que requieran asegurar la integridad y
autenticidad de la información deben incluir una firma digital. El área técnica
=tiEÑJffiE§¥#Eprii=i5N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAP\l
CcorrespondenciaCarrera57No.4328
www.eíército.mil.co, correo electrónico: iemDD®eiército.mil.co
"8 E . '' ' #"E
•= _
==LT,i;L.í..
RESTRINGIDO
Pág. 53 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl N DEL EJERCITO NACIONAL"
debe asesorar al responsable de la información para realizar la firma
electrónica.
8) Al utilizar firmas y certificados digitales, se debe considerar la legislación
vigente que describa las condiciones bajo las cuales una firma digital es
legalmente válida.
9) Todas las claves serán protegidas contra modificación y destrucción; y las
claves secretas o privadas serán protegidas contra copia o divulgación no
autorizada.
10)Se proporcionará una protección adecuada a la infraestructura utilizada para
generar, almacenar y archivar claves, considerándola crítica o de alto riesgo.
11 )Cuando las claves son comprometidas o cuando un funcionario se desvincula
del Ejército Nacional, se deben revocar lo ificados o firmas digitales.
12)Se debe registrar y auditar las activid ivas a la administración de
c'aves.
13)A fin de reducir la probabilidad de compromis aves tendrán fechas de
nicio y caducidad de vigencia, a que sólo puedan ser
utilizadas por un lapso de tiempo a 12 meses.
14)Cuando se utilice criptografía simét se débe asegurar que la metodología
para el envío de la cla e esta solo sea conocida por el
or el Ejército Nacional, se debe regir de acuerdo
a las leyes c s y/o directrices institucionales para tal fin.
Adicionalmente, 1, proporcionará los recursos necesarios para la
sensibilización y ción en seguridad de la informacjón de los servidores
públicos y contratista ceso a información.
a. Normas:
1) EI Ejército Nacional debe establecer un plan de formación en seguridad de la
información, en el cual se incluyan todos los aspectos de seguridad de la
información como:
a) Gestión de activos seguridad de la información
b) Gestión de riesgos de seguridad de la información
c) Gestión de incidentes de seguridad de la información
d) Gestión de contraseñas seguras
#ÉEmFAFÑffiE§M#Erl5lÉN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
Pág. 54 de 76
CONTINUACION DIRECTIVA PERMANENTE NO. n o 2 2 1 i."E
2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
e) Buenas prácticas en seguridad de la información
f) Cumplimiento de lineamientos de seguridad de la información
2) Las sensibilizaciones deben ir dirigidas a todo el personal activo del Ejército
Nacional (Oficiales, Suboficiales, Soldados, Civiles, Auxiliares de lnteligencia)
o quienes se encuentran vinculados con la institución (OPS, Contratistas,
entre otros), [o cual permitirá fortalecer el conocimiento y crear una cultura de
seguridad de la información.
3) Se debe establecer un plan de concienciación anual con actividades lúdicas
que permitan que los funcionarios tengan una educación constante en
seguridad de la información a través los diferentes medios de
comunicación con pantallas de los equip carteleras digitales, correos
electrónicos, entre otros.
4) lncluir los temas de seguridad de la informaci planes de inducción y
reinducción de la institución, es importante tener istros de las personas
que recibieron la inducción.
6) Se debe realiza onocimientos en seguridad de la información
al personal SensI ilizado, es i ortante medir la efectividad de las actividades
de cultura e ridad de 1 rmación.
8) Los funcion son responsables por la custodia y las acciones que se
realicen sobre los activos`informáticos que le han asignado, por lo tanto, debe
estar presente en el sitio de trabajo cuando se realice cualquier
mantenimiento o actualización de dichos activos.
9) Se deben definir compromisos y obligaciones por parte del personal que es
capacitado en temas de seguridad de la información.
10)No se debe dejar en las impresoras documentos expuestos que contengan
información sensible, ya que se puede comprometer su confidencialidad.
6. Respaldo de la información
Écfi=E§MEL+Mi§i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camena 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eiéncito.mil.co
£ñ,ÉEiÑiEili
f
2_
RESTRINGIDO
Pág. 55 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
EL APOYO DE LA SEGURIDAD DE LA INFORMAcl \CIONAL„.
EI Departamento de Comunicaciones (CEDE 6) en coordinación con el
Departamento de lnteligencia y Contrainteligencia (CEDE 2), debe realizar copias de
respaldo de la información dando prioridad a la clasificada con mayores niveles de
importancia y criticidad basados en lo definido en la Ley Estatutaria 1621 de 2013 de
lnteligencia y Contrainteligencia y en el Decreto 1070 de 2015.
a. Normas:
1) Los medios de copias de seguridad se deben almacenar en custodia externa,
asegurando que tenga implementado mecanismos de protección ambiental
como detección de humo, fuego, humed omo mecanismos de control
de acceso físico.
2) Se deben realizar pruebas de resta ación, de acuerdo a un
plan de restauración de copias de ldo est para asegurar que se
puede depender de ellos para uso aso necesario
3) Definir los tiempos de retención y n instalaciones adecuadas
que provean la debida se ntal, permitiendo minimizar el
impacto en las funcion 1, en caso de presentarse una
falla o desastre y poder mación necesaria en el momento
oportuno para res er con los ti OS de restauración de los servicios.
4) Se debe contar c gistros exactos y completos de las copias de respaldo.
5) Definirla' o de copias de respaldo a realizar.
6) Las prue ión se deberían hacer en medios de prueba
dedicado el medio original, para evitar que se cause un
daño 0 p ade1
7) El person de realizar las copias de respaldo y pruebas de
restauración debe ntar con las competencias e idoneidad, además de los
estudios de credi ad, confiabilidad y actualización.
8) Se debe dar cumplimiento a lo establecido en la Directiva 201418
"Lineamientos de Seguridad de la lnformación para el Sector Defensa
Ministerio de Defensa" en su Anexo "M. Procedimiento Gestión de Copias de
Respaldo y recuperación".
7. Transferencia de información
EI Ejército Nacional por intermedio del Depariamento de Comunicaciones y en
coordinación con el Depar±amento de lnteligencia y Contrainteligencia Militar, debe
=fflF=ÉñE§Mífl+Mi=iÉN
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAN
CcorrespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD@eiército.mil.co
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. 0 0 2 21 J¿# 2oi7 HLiNEAMiEP#ó5s6 g:ÉÁ
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
implementar procedimientos y controles para el uso adecuado de las redes y
medios de comunicación de la lnstitución, evitando que los sistemas de información
sean vulnerados y dejar en riesgo la confidencialidad, integridad y disponibilidad de
la información durante la transferencia de información entre funcionarios y terceros.
a. Normas:
1) Los responsables de la información a transferir deben asegurar que la
clasificación de ésta se encuentre actualizada teniendo en cuenta las
propiedades de seguridad: confidencialidad, integridad y disponibilidad, con el
fin de permitir el acceso únicamente a los autorizados.
2) Se debe aplicar lo establecido en el Decret de 2015 para la transmisión
de documentos e información de lntel trainteligencia
3) Unicamente se entrega información a re ores autorizados quienes
garanticen por escrito la reserva legal y protección de la información que se
les vaya a suministrar.
4) Cuando proceda, la Unidad responsable de proporcionar respuesta legal a un
requerimiento de inform clasificad rá verificar previamente entre
otros temas y sin limita
5) La solicitud se ajust atividad a ble vigente
6) La respuesta id el de clasificación, correspondiente a la
naturaleza del d rmación que se ponga en conocimiento del
receptor autoriza
7) La respuesta debe ar adecuadamente la valoración de la información,
uso de términos condicionales y dubitativos, que garantice entre otros la
reserva, el debido proceso, el buen nombre y el derecho a la intimidad.
8) La respuesta la con los protocolos de seguridad, acceso y reserva.
9) La respuesta información suministrada no debe poner en peligro o
riesgo la Seguri y Defensa Nacional, y, a los organismos que integran la
comunidad de lnteligencia, sus métodos, sus procedimientos, sus medios,
sus fuentes, sus agentes, sus servidores públicos o sus asesores.
10)La respuesta no debe dar a conocer capacidades, procedimientos, métodos,
medios, elementos técnicos, operaciones o actividades que comprometan la
Seguridad y Defensa Nacional.
11)Con el fin de asegurar la trazabilidad de la respuesta esta debe quedar
debidamente registrada.
12)El documento de respuesta se debe trasladar a los receptores autorizados,
especificar las prohibiciones o restricciones de su difusión, aleriando sobre
las acciones penales y disciplinarias que acarrea la no observancia de lo
fiEffiE§riflTM15I±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@ek5ncito.mil.co
T:T=+V7„TT _ , ` L.
=_=f__iiE#Q±tiT#_
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No. Ü .¿ 2 t =+at± 2oí 7 „L,NEAM,EP#ó5s7 g:É:
ELAPOY0 DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
consagrado en la Ley Estatutaria 1621 de 2013 de lnteligencia y
Contrainteligencia Militar y en el Decreto 1070 de 2015.
13)Se debe dar cumplimiento a lo establecido en el procedimiento de ``Gestión de
Activos" de lnteligencia y Contrainteligencia.
14)No se permite el intercambio de lnformación del Ejército Nacional, por
sistemas de mensajería instantánea (WhatsApp, Telegram, cuentas de
correos de dominios comerciales, exposición de información en la nube, entre
otros), redes sociales o por medios que alojen información en la nube.
15)Los emisores deben verificar el nombre de los destinatarios previo al envío de
los correos electrónicos que contengan datos clasificados como
confidenciales. Esto permite reducir al máximo el riesgo de fuga de
información o transferencia de informació fidencial a destinatarios no
autorizados.
16)Se prohíbe en el correo electrónico in envío de archivos que
contengan extensiones ejecutables (exe, bat, e
8. Desarrollo seguro
EI Ejército Nacional por inte
Departamento de lnteligencia y Contrain encia Militar, definirá un conjunto de
directrices durante la a y mantenimiento de los sistemas de
información.
a. Normas:
LTiEEffi!ffiE§ri#|Ml§lÉN
Fe en la causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDo®eiército.mil.co
RESTRINGIDO
Pág. 58 de 76
}£c#=o#2co,'oÍ
"LINEAMIENTOS PARA
CONTINUACION DIRECTIVA PERMANENTE
EL APOYO DE LA SEGURIDAD DE LA INFORMAC NACIONAL"
para mantener la disponibilidad e integridad de los datos y de los sistemas de
información.
4) Se deben realizar pruebas de seguridad en un ambiente controlado con el fin
de identificar vulnerabilidades, las cuales deben ser resueltas antes del paso
a producción.
5) Los ambientes de desarrollo, pruebas y producción deben estar separados,
6) El paso de software de un ambiente a otro debe ser controlado y gestionado
de acuerdo a lo definido en el procedimiento de Control de Cambios de la
Directiva 201418 "Lineamientos de Seguridad de la lnformación para el
Sector Defensa Mjnisterio de Defensa").
7) Los usuarios deben utilizar perfiles diferentes en el ambiente de desarrollo,
pruebas y producción; además, asegurar que cada usuario cuente
únicamente con los privilegios necesarios en c ambiente.
8) El ambiente de prueba debe simular el ambien e producción.
9) En caso de requerirse hacer copia de la ción del ambiente de
producción al ambiente de pruebas, lizar únicamente si la
información se encuentra enmascara con el fin de que no se
Ilegue a comprometer.
10)El desarrollo de contratos eberá contar con la asignación
de un supervisor permanente, encargado de controlar que se cumplan los
estándares de seguridad ta n la parte física como lógica de los sistemas
Ningún manten to podr er realizado por personal que no tenga los
respectivos est e Credibilidad y Confiabilidad, ceriificados por
Contrainteligencia
11)Se debe dar cumplimiento a lo establecido en la Directiva 201418
"Lineamie
uridad de la lnformación para el Sector Defensa
" en sus Anexos: "Q. Procedimiento de Control de
Ministerio
Versiones" J. Procedimiento de Control de Cambios", así como lo
establecido en el procedimiento de "Gestión de Cambios". El procedimiento
de cambios se diligencia de acuerdo a la necesidad, es decir si es un cambio
del Subsistema de lnteligencia y Contrainteligencia, se diligencia el propio.
12)Los sistemas de información y aplicaciones están sujetas a evaluaciones de
seguridad basadas en los siguientes criterios:
a) El paso a producción de una nueva aplicación estará sujeto a una
evaluación de seguridad (análisis de vulnerabilidades y ethical hacking)
completa previa a la aprobación de la documentación de control de
cambios y entrada en ambiente de producción.
fiE+ffiE§riflTMl§l±N
Fe en la causa
Entrada princípal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eíéncito.mil.co
Ei iiE E
:L{+~...,<~2Y+2i.Dft
RESTRINGIDO
Pág. 59 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl RCITO NACIONAL"
b) Una aplicación web estará sujeta a una evaluación completa después de
la cual será ligada a los requerimientos de la política de seguridad.
c) Las versiones nuevas y la liberación de parches estarán sujetas a un nivel
de evaluación apropiado basado en el riesgo de los cambios en la
funcionalidad de cada aplicación.
d) Todas las aplicaciones web que se publiquen a nivel interno o en internet
deben accederse por medio de un nombre. No se permitirá la publicación
de una aplicación web utilizando una dirección lp interna o externa.
e) La URL de ingreso a las aplicaciones web no debe incluir puertos, estos
deben enmascararse en el servidor web.
f) La actualización del sistema operativo e instalación de parches estará
sujeta a una evaluación por parte de 1 arrolladores o el proveedor de
la aplicación y los administradores d rma tecnológica del Ejército
Nacional.
g) Todas las aplicaciones o sistem e inform ue requieran el acceso
a una base de datos, debe ediante el principio de
menor privilegio. Esto signific través del cual se accede
a la base de datos deb tener los mínimos necesarios para que
la aplicación o sistem correctamente.
13)Los desarrollos q al interior de la institución deben contar
con los siguient llo seguro:
o: Partir siempre de un modelo de permisos
ndo privilegios por demanda de acuerdo a los
tablecidos las etapas de diseño. Las aplicaciones deben
ejecutar privilegio necesario para realizar el trabajo. Si un
usuario vulnerabilidad de seguridad e inserta un código en el
proceso, es igo malintencionado se ejecutará con los mismos
privilegios que el proceso huésped. Si el proceso se ejecuta como
administrador, el código malintencionado se ejecuta como administrador.
b) Limpiar el código que se pone en producción: Asegurarse de limpiar el
código que se pone en producción, para que no contenga rutinas de
pruebas o cualquier tipo de mecanismo que pueda dar lugar a un acceso
indebido.
c) Usar mecanismos de autenticación robustos: Hoy en día la autenticación
mediante usuario y contraseña únicamente, no se considera segura. Un
sistema de autenticación se considera seguro si implementa al menos dos
de los tres factores de autenticación existentes.
HÉÑJ5ñESM#k#i§iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
CcorrespondenciaCarrera57No.4328
www.eiéocito.mil.co, correo electrónico: iemDD@eiército.rril.co
„`
RESTRINGIDO
Pág. 60 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJ NACIONAL"
(1) Autenticación basada en algo conocido. Ejemplo, una contraseña, un
código PIN o passphrase (PGP).
(2) Autenticación basada en algo poseído. Ejemplo, una tarjeta de la
institución, una tarjeta inteligente (smartcard), dispositivo usb tipo
token.
(3) Autenticación basada en una característica física del usuario o un
acto involuntario del mismo. Ejemplo, verificación de voz, de
escritura, de huellas, de patrones oculares.
(4) Para ello, se puede hacer uso de librerías tales como ESAPI
(Enterprise Security Apl) de OWASP o el SDK de latch (segundo
factor de autenticación).
e) Minimizar la sup Reducir la superficie de ataque consiste
en limpiar la a a operativo de paquetes y/o servicios
innecesarios. :, NFS, SMBCIFS/Samba, servidor de
ventanas X contienen vulnerabilidades.
erceros actualizados: Todos los sistemas de
are de terceros deben actualizarse, es necesario
o de administración de actualización para el software
g) Manejar adecuadamente los errores: Se debe hacer un manejo adecuado
de los errores para evitar al máximo entregar información al atacante. Para
ello, se debe utilizar siempre que sea posible controles de error (try
catch) para que su aplicación no muestre la típica página de error 500.
Una simple página de error 403 (acceso denegado) puede decirle a un
escáner de vulnerabilidades que un directorio sacado de un diccionario
existe, y permitirle montar un aproximado de la estructura de directorios
por ensayo y error.
HiEÑJ5ñEs¥jflEpvii§iÉN
Fe en la causa
Entrada principal Carrera 54 No, 26 25 CAN
CcomespondenciaCarrera57No.4328
www,eiército.mil.co, correo electrónico: iemDD@eiército.mil.co
r ;_ _ _ ?
_~.I=2.PT9Qfí3
_`~¥=`_:L.+=±;g=.Lui±á~_Tí_kT«úg,`=
RESTRINGIDO
CONTINUACION DIRECTIVA PERMANENTE No.
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN oq:A2c°,'o7N`ÁLiyEAMiEP#o6stgÁÉÁ
h) Usuarios y contraseñas en el código: No se debe almacenar contraseñas
dentro del código. Modificar el instalador para que al crear las cuentas de
usuario integradas, se soliciten al administrador contraseñas seguras para
cada cuenta.
i) Registro de eventos: La aplicación deberá almacenar registros
relacionados con actividades de usuario, excepciones, fallas y eventos de
seguridad de la información.
j) Defensa en profundidad: No se debe confiar en un solo punto de defensa.
La aplicación en la mayoría de los casos será siempre la última Iínea de
defensa entre el atacante y servidor torno de redes corporativas.
Por lo tanto, se le deben dispone mos de protección para la
aplicación, al sistema operativo, al s or que aloja la aplicación, a la red
en la que se encuentra el servidor física al sitio donde se
encuentra ubicado el servidor.
k) Realizar pruebas de s sarrollo es necesario llevar a
cabo pruebas funci enfoca en validar la seguridad de la
información.
9. Relaciones con los pr
EI Ejército N del Depariamento de lnteligencia y
Contrainteligen( r, debe identificar requisitos de seguridad para proteger la
información, e i los dentro de los acuerdos con proveedores, por medio de un
análisis que perm Ios riesgos de seguridad de la información asociados
para implementar acción dependiendo del tipo de actividad con el
proveedor.
a. Normas:
1) Se debe tener en cuenta la documentación relacionada con los servicios,
infraestructura de tecnologías de la información (Tl), sistemas de información
y activos a los cuales tendrá acceso los proveedores, esto deberá ser
controlado teniendo en cuenta los permisos de acuerdo al trabajo a realizar y
los acuerdos firmados, los cuales deben tener requisitos mínimos de
seguridad, que se deben hacer cumplir haciendo seguimiento por medio de
mecanismos establecidos.
ÉEjEñE§M#EEMi§ieN
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eiército.mil.co
•31.
E
TTT1
RESTRINGIDO
Pág. 62 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAC i3N°D2L2jÉR;'.:oEA2c°,ío7N`;L|N
2) EI Ejército Nacional, debe incluir dentro de los acuerdos a firmar con el
proveedor, todos los controles de seguridad aplicables.
3) Cuando exista la necesidad de otorgar acceso de terceras partes a los activos
de información del Ejército Nacional, deberá realizarse siempre con la
participación del responsable de la información, además de realizar una
evaluación de riesgos para identificar los requerimientos de controles
específicos, teniendo en cuenta, entre otros, los siguientes aspectos:
a) El tipo de acceso requerido (físico, Iógico y a qué recurso)
b) Los motivos para los cuales solicita el acceso
c) El valor'de la información
d) Los controles empleados por el proveedor.
a) Forma en los que se cumplirán los requisitos legales aplicables
b) Medios para garantizar que todas las partes involucradas en la
tercerización incluyendo los subcontratistas, conocen sus
responsabilidades en materia de séguridad.
c) Forma en que se mantendrá y comprobará la integridad y
confidencialidad de los activos.
d) Controles físicos y lógicos que se utilizarán para restringir y delimitar el
acceso a la información sensible
e) Forma en que se mantendrá la disponibilidad de los servicios ante la
ocurrencia de desastres.
f) Niveles de seguridad física que se asignará al equipamiento tercerizado.
g) Derecho a la auditoria por parte del Ejército Nacional.
flEJffiE§M#|Mi=i±N
Fe en ki causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electnónico: iemDD®eiéncfto.mil.co
EE±iíu'[ ' u', JÍ
RESTRINGIDO
EP#áNyuoA3'E°k%'E53=',¥#DRET&NE¥5E#:c!ÓgD2EL2EjlÉRc,;o¥M2co,io7úLiN"iEPÍSo6s38Á#
7) Todos los funcionarios y contratistas deben firmar la cláusula y acuerdo de
confidencialidad que deberá ser pane integral de los contratos utilizando
términos legalmente ejecutables y contemplando factores como
responsabilidades y acciones de los firmantes para evitar la divulgación de
información no autorizada., lo cual deber ser verificados por la sección de
seguridad militar de las Unidades Operativas Mayores, Menores y Tácticas.
Este requerimiento también se aplicará para los casos de pasantes o
practicantes o cuando se permita el acceso a la información y a los recursos a
personas o lnstituciones externas.
Se deben formalizar los niveles de acuerdo de servicio y los acuerdos de
intercambio de información con cada pr entro del contrato realizado,
de acuerdo a los lineamientos estableci Ejército Nacional.
9) Los encargados de la infraestructu gica deben verificar las
condiciones de comunicación segura, cifrado isión de información,
desde y hacia los terceros.
10) Los supervisores de contratos con dministrar los cambios en
el suministro de servicio oveedores, manteniendo los
niveles de cumplimient rvicio ridad establecidos con ellos y
monitoreando la aparició nuevos rie
11 )EI Oficial de segu rmación o quien haga sus veces debe validar
y verificar en 1 lizadas por proveedores el cumplimiento de
las lineamientos ad de la información. Se debe tener un registro de
la activida
12)EI Ejército nal por intermedio de los Departamento de lnteligencia y
Contrainte ilitar y el Departamento de Comunicaciones, debe
verificar q dificación o actualización a la infraestructura de
tecnologías ormación por parte de terceros esté debidamente
diligenciada y rizada siguiendo los lineamientos establecidos en el
procedimiento de control de cambios.
13)EI Ejército Nacional, debe verificar que toda información a que tenga acceso
al tercero con motivo de las actividades desarrolladas para la lnstitución,
deberá tener unos niveles básicos de protección. El tercero se deberá
comprometerse a:
a) Firmar compromiso de reserva sobre la información de lnteligencia y
Contrainteligencia a la que tenga acceso.
b) Tomar medidas adecuadas (cifrado, encapsulado, entre otras.), para
mantener la confidencialidad de la información que sea transmitida o
ÉeJffiE§MEH/Mi5iÉN
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDp@eiército.mil.co
ü
===__1Tr
RESTRINGIDO
Pág. 64 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl ACIONAL".
resida en sus computadores o dispositivos que contengan información
del Ejército Nacional.
c) Una vez finalizado el contrato, el proveedor deberá borrar de manera
segura de sus dispositivos móviles (formateo a bajo nivel), toda la
información que pueda tener del Ej.ército Nacional.
d) El proveedor debe informar al Oficial de Seguridad de la información o
quien haga sus veces acerca de los datos de las personas nuevas y los
sistemas y carpetas de red a las que requieren acceso. Además, de
informar al supervisor del contrato, acerca del personal que se retira para
deshabilitados los accesos.
10. Gestión de Activos
EI Ejército Nacional, debe identificar todos de información, y
mantener un inventario actualizado, exacto, c e y documentado con
todos los aspectos relevantes de cada u los teniendo en cuenta
la confidencialidad, integridad y dis[ ibilidad de la información, para
identificar su valor y critici a activo debe tener un responsable
que garantice los nivele uridad rrespondan según sea el caso.
a. Normas:
1) Los servidores p COSy contratistas al servicio del Ejército Nacional,
ben co meter a identificar, priorizar, clasificar, etiquetar,
r, devo y gestionar los activos de información que se
para su uso y bajo su responsabilidad.
lasificación y valoración de los activos de información
e acuerdo al documento "Metodología de Clasificación
de Activos" del Ejército Nacional.
3) Se debe mantener un registro actualizado y exacto de todos los activos
de información necesarios para la prestación de servicios, de acuerdo al
formato "Inventario Gestión de Activos" del Ejército Nacional.
4) Todos los activos de información deben tener asignado un custodio que
tiene la responsabilidad de mantener los controles de seguridad
adecuados para su protección.
5) Los responsables de la información son los encargados de identificar y
clasificar la información, de acuerdo con el grado de sensibilidad y
criticidad, además son los encargados de documentar y actualizar la
fiEJffiE§M#TMi=i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eLéiicito.mil.co
RESTRING]DO
Pág. 65 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
EL APOYO DE LA SEGURIDAD DE LA INFORMAC
clasificación efectuada y definir las funciones que deberán tener
permisos de acceso a la información.
6) La información del Ejército Nacional que goce de reserva legal debe
enmarcarse dentro de los niveles de clasificación de seguridad de la
información, de acuerdo a lo establecido en el Decreto 1070 de 2015
Ariículo 2.2.3.6.2, así:
e) Ultrasecreto: Es el nivel de clasificación que se debe dar a todos los
documentos de inteligencia y contrainteligencia que contengan
información sobre posibles amenazas, riesgos, oportunidades o
capacidades, que puedan afectar al exterior del país los intereses
del Estado o las relaciones inte
f) Secreto: Es el nivel de clasi e se debe dar a todos los
documentos de inteligencia encia que contengan
información sobre posibles amena gos, oportunidades o
capacidades, que del país los intereses
del Estado.
g) Confidencial: E que se debe dar a todos los
documentos lgencla ontrainteligencia que contengan
información so posibles amenazas, riesgos, oponunidades o
dan afectar directamente las instituciones
demo
Restri clasificación que se debe dar a todos los
e inteligencia y contrainteligencia que contengan
ción de las nstituciones militares, de la Policía Nacional o de
rgams ependencias de inteligencia y contrainteligencia,
s amenazas, riesgos, oportunidades o capacidades,
afectar en las citadas instituciones y organismos, su
operaciones, medios, métodos, procedimientos,
integrantes y fuentes.
7) La información del Ejercito Nacional que no goce de reserva legal con
base en los anteriores criterios serán regidas bajo las directrices de la
Ley 1712 de 2014 "Transparencia y del derecho de acceso a la
información pública nacional".
8) Los documentos de inteligencia y contrainteligencia que contengan
información relacionada con diferentes niveles de clasificación de
seguridad, asumirán la del nivel más alto que tenga la información
contenida en ellos.
E
ÉeJ5ñE§PLiflEFtii5MÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiércfto.mil.co, correo electrónico: iemDD@ejéncfto.mil.co TTTTTTL=±
RESTRINGIDO
Pág. 66 de 76
"LINEAMIENTOS PARA
CONTINUACION DIRECTIVA PERMANENTE No.
ELAPOYO DE LA SEGURIDAD DE LA INFORMAC ¡ÓgD°EL2Ej2ERtciíg#c°,`o7N'ÁLiN
9) Se debe dar cumplimiento a lo establecido en los procedimientos de
"Gestión de Activos" y "Gestión de Medios" de lnteligencia y
Contrainteligencia estipulados en la presente directiva.
10) Los activos de información deben tener un uso aceptable siguiendo las
siguientes indicaciones definidas, así:
a) Protección de la confidencialidad, integridad y disponibilidad:
(1) De acuerdo con la clasificación del activo frente a la
confidencialidad, integridad y disponibilidad, el servidor público
o contratista debe verificar que el acceso es coherente con su
rol; en caso contrario debe abstenerse de hacerlo e informar del
hecho a su Jefe lnmediat ncargado en lnteligencia y
Contrainteligencia de 1 a lnformación Para que
se tomen las medida
(2) Todos los servidores públicos y están obligados a
reportar accesos o modificaciones no autorizados o uso
indebido de n activo.
b) Uso de la 1
(1) Los responsab]es de los activos de información deben asegurar
ueel so a éstos se realice dependiendo su nivel de
e los activos de información deben asegurar
ue éstos s cuentren actualizados cuando exista un cambio
el proceso en cuanto a su medio de almacenamiento,
responsable y custodio.
c) Correo Electrónico:
(1) No es permitido utilizar cuentas personales o comerciales para
transmitir cualquier tipo de activo de información del Ejército
Nacional.
(2) La cuenta de correo electrónico institucional asignada a un
funcionario público o contratista, es para uso exclusivo de las
actividades de sus funciónés y es su responsabiiidad veiar por ia
seguridad del acceso.
fiEÑJffiE§PLi#E"i§i±N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electíónico: iemDD®eiéncito.mil.co
J_*
RESTRINGIDO
Pág. 67 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION DEL ACIONAL"
d) Recursos Compartidos:
(1) La dirección de Protección de Datos y Archivos de lnteligencia
establecerá los protocolos para la creación, uso y control de los
recursos companidos que se requieran, a su vez brindará los
permisos de lectura y escritura y las medidas de protección
necesarias.
11. Gestión de incidentes de seguridad de la información
EI Ejército Nacional, establece r€ Iidades, controles y un
procedimiento de gestión de incidentes ridad de la información que
permitirá asegurar una respuesta rápida, rdenada a los incidentes de
seguridad de la información.
a. Normas:
1) Los servidores pública eberán reportar al Oficial de
Seguridad o quien hag vento o incidente de seguridad
de la informa ezSe identifique cualquier situación que ponga
en riesgo integridad o confidencialidad de la misma
En cas ficial reportará siguiendo el protocolo y
conducto o la criticidad del evento presentado.
unidad designada por el Ejército Nacional
incidentes de seguridad de la información,
n la responsabilidad de investigar y documentar los
oriados, tomando las medidas necesarias para evitar su
calando los incidentes de acuerdo con su criticidad.
3s de los activos de información, funcionarios y
terceros deben reportar los incidentes de seguridad que identifiquen o
que reconozcan su posibilidad de materialización, de acuerdo al
procedimiento "Gestión de lncidentes de seguridad de información" del
subsistema de lnteligencia.
4) Se debe documentar todo el procedimiento de gestión de incidentes
de seguridad de la información de acuerdo con las indicaciones del
procedimiento de "Gestión de lncidentes de seguridad de la
información" del Ejército Nacional.
5) Todo evento de seguridad de la información que se identifique por
medio del monitoreo y revisión de los registros logs y que ponga en
HiEmpAÑffiE§rifflTMi5iÉN
Fe en La causa
Entrada principal Camera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiéncito.mil.co, correo electrónico: iemDD®eiército.mil.co
RESTRINGIDO
Pág. 68 de 76
CONTINUACION DiRECTivA PERMANENTE No. 0 0 2 2 1 017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EjÉRCITO NACIONAL"
riesgo la confidencialidad, integridad y disponibilidad de la
infraestructura tecnológica deberá ser reportado de acuerdo al
procedimiento de "Gestión de lncidentes de seguridad de la
información" del Ejército Nacional.
6) En los casos que sea necesario realizar recolección y preservación de
la evidencia en las investigaciones que se realicen durante el análisis
de un incidente de seguridad de la información, se debe cumplir de
acuerdo a lo establecido en el procedimiento "Recolección de
Evidencia" del subsistema de lnteligencia.
12. Organización de la seguridad de la información
Es importante tener claridad que los re les de la Seguridad de la
lnformación son todos los servidores públicos ontratistas con acceso a la
información del Ejércjto Nacional.
a. Normas de organización de seguridad de
13. No Repudio
EI Ejército Nacional definirá los controles requeridos para garantizar el No
fiEjffiESM#TMi=i±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo elecmónico: iemDD@eiéncito.mil.co
FT:TrT¥,ñí=s+trñ .T
RESTRINGIDO
Pág. 69 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACION \CIONAL„.
repudio5 de la lnformación a través de la trazabilidad, retención, auditoria y el
intercambio electrónico de lnformación gestionada por los funcionarios,
contratistas o terceros.
a. Normas:
1) Para los procesos que se requieran se deben implementar
mecanismos (sistemas de biometría) en los que no exista la
posibilidad de desafiar la validez de una acción por parte de quien la
generó.
2) Algunos mecanismos a implementar deberán ser certificados o contar
con un tercero en que todos confí e permita avalar la integridad
y el origen de los datos.
3) Se deben contar con regi ientas que permita hacer
trazabilidad de las acciones recepción, entrega de
información y otros, que se ara poder garantizar el
no repudio.
4) Estos registros se Pe rdida o modificación de tal
manera que se ga a d e integridad
5) Los servicios de intercambio trónico de información deben
incorporar anismos que sean garantía de no repudio.
14. Privacidad y con
al adopt n lineamiento de tratamiento y protección de
eben ser aplicados, conforme a lo establecido en Ley
3 y la Ley 1581 de 2012.
a. Normas:
1) Todo servidor público y/o contratista al Ejército Nacional deberá
realizar los estudios de Credibilidad y Confiabilidad previo a la
suscripción del contrato de la vinculación y cada vez que lo requiera la
lnstitución.
5 Definición No Repudio: El no repudio sirve a los emisores o a los receptores para negar un mensaje transmitido.
Por lo que cuando un mensaje es enviado, el receptor puede probar que el mensaje fi]e enviado por el presunto
emisor. De manera similar, cuando un mensaje es recibido, el remitente puede probar que el mensaje fiie recibido por
el presunto receptor. 20. "Norma ISO 27001 :2013 Sistemas de Gestión de Seguridad de la lnformación (SGSI)".
#ÉE_PñfiE§PLiL+Effi§iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
Comespondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eiército.mil.co
. í ,,'
RESTRINGIDO
Pág. 70 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL EJÉRCITO NACIONAL".
2) Se debe firmar un acuerdo de confidencialidad, el cual debe contener
un compromiso por pafte del servidor público con el Ejército Nacional,
de no divulgación de la información interna y externa a la que tenga
acceso como parte del desarrollo de las funciones que desempeña.
3) El acuerdo de confidencialidad debe indicar la vigencia del mismo, el
cual debe mantenerse por la vigencia que considere el Ejército
Nacional, Iuego de terminada la vinculación con la lnstitución.
4) El tratamiento de datos personales debe estar sujeto a lo establecido
en la normatividad vigente.
5) Se debe indicar la finalidad del tratamiento de datos personales, la
cual debe ser informada al titular.
6) El tratamiento sólo puede n el consentimiento previo,
expreso e informado del titular de los
7) La información a tratar debe ser veraz, mpleta, exacta, actualizada,
comprobable y comprensi
15. lntegrjdad
La política de lntegridad se refiere al manejo integral de la información tanto
interna como externa, conocida o administradas por servidores públicos,
contratistas o terc elacionados con el Ejército Nacional.
a. Normas:
verbal, física o electrónica debe ser procesada,
ada o transmitida integralmente, coherentemente y
mente a las personas autorizadas a través de los medios
s sin modificaciones ni alteraciones,
caso de vinculación contractual, el compromiso de
administración y manejo integro e integral de la información interna y
externa debe hacer pafte de las cláusulas del respectivo contrato, bajo
la denominación de cláusula de integridad de la información.
3) Para la información que se clasifique como Restringida, Confidencial,
Secreta y Ultrasecreta y requiera ser transmitida a través de canales
de comunicación se deben utilizar mecanismos que permitan
garantizar que la información mantiene su integridad mientras es
transmitida por la red, es decir, que la información es completa y
exacta de punto a punto en la transmisión.
ÉÑJffiE§M#iMisi±N
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemoD®eiéncito.mil.co
FC=7=? . V= <~+. ''= T `=.T.=.iiii. ,=s,c . , _ .,== +_`..., `
RESTRINGIDO
Pág. 71 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 0 0 qE 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN DEL ) ÑACIONAL".
16. Disponibilidad del servicio e información.
E[ Ejército Nacional proporcionará los recursos suficientes a los
Departamentos de lnteligencia y Contrainteligencia Militar y al Depanamento
de Comunicaciones y desarrollará esfuerzos tendientes a garantizar la
continuidad de las operaciones para sus procesos con el fin brindar la
disponibilidad de los servicios; así mismo, responderá de manera efectiva ante
eventos adversos según la dimensión y el grado de afectación de los mismos;
se restablecerán las operaciones con el menor costo y pérdidas posibles,
manteniendo la Seguridad de la lnformación durante dichos eventos, de igual
manera se mantendrán canales de comunicación adecuados hacia
funcionarios y demás partes interesadas.
Para esto el Ejército Nacional por interme epartamento de lnteligencia
y Contrainteligencia Militar y el Departamen omunicaciones deberá
evaluar el impacto de eventos que afectan los de la lnstitución y que
tienen soporte en la infraestructur a prestación de terceros,
igualmente, deberá desarroll ad para aquellos servicios
que son críticos y acional, dichos planes deben
considerar medidas t s, además deberán probarse y
revisarse de maner ódica.
a. Normas:
e contar con un Plan de Continuidad del
qu?^asegure la operación de los procesos críticos ante la
cia de entos no previstos o desastres naturales.
e lnteligencia su activo más importante es el recurso
o tanto será su prioridad y objetivo principal establecer
Ias estrategias para protegerlo.
3) Los niveles de recuperación mínimos requeridos, así como los
requerimientos de seguridad, funciones y responsabilidades deben
estar incorporados y definidos en el Plan de Continuidad de Negocio.
4) Los jefes de dirección son los responsables del Plan de Continuidad
del Negocio serán los encargados de mantener documentados y
actualizar e informar cualquier cambio a todos los interesados.
5) Los análisis de riesgos, impacto al negocio y estrategias de
continuidad realizados sobre los planes de continuidad que estén
61. Norma ls0 27001:2013 Sistemas de Gestión de seguridad de la lnformación (SGSI).
E
fl±E_FEJ5ñE§MiflEpúi§iÉN
Fe en La causa
Entrada principal Carrera 54 No. 26 25 CAN
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eiército.mil.co r+r
RESTRINGIDO
Pág. 72 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
EL APOYO DE LA SEGURIDAD DE LA INFORMAcl DEL EJERCITO NACIONAL"
operando, deben ser evaluados por lo menos cada año, para asegurar
que continúan reflejando las estrategias y necesidades de la
operación, esta labor debe ser coordinada por las unidades de riesgos
con el apoyo de los dueños de procesos críticos.
6) Todos los sistemas de información que soporian las funciones críticas
de la lnteligencia y Contrainteligencia deben tener un plan de
recuperación de Tl que le permita garantizar una respuesta efectiva y
eficiente ante eventos de desastre o interrupciones mayores, el cual
estará a cargo del área de Tecnología y Comunicaciones.
7) Los procesos críticos deben soportarse en aplicaciones e
infraestructura técnica robusta, software y hardware confiable y en
instalaciones alternas o duplicada
8) Se requiere proveer al persona Ia documentación de
acciones a llevar a cabo en el e de un desastre o
emergencia que puede afectar las apli iones de la operación
infraestructura técnica. habilitando 1 rocesos críticos de
lnteligencia y Contrai restaurados en escalas
tiempo aceptables.
9) Los planes de continu deben robados periódicamente y como
resultado de estas pruebas realizar OS ajustes correspondientes.
10)Se debe identificar, acordar y documentar todas las responsabilidades
y los pro imientos para la continuidad de los servicios informáticos.
11) Se debe lzar la definición y actualización de las normas,
tos, procedimientos y estándares relacionados con la
ad del negocio.
e elaborar un plan de recuperación ante desastres para el
)uto y un conjunto de procedimientos de contingencia,
retorno a la normalidad para cada uno de los servicios
y sistemas prestados identificados como críticos y misionales dentro
de la lnteligencia y Contrainteligencia.
13)Se debe realizar los análisis de impacto a la operación y los análisis
de riesgos de continuidad para posteriormente proponer posibles
estrategias de recuperación en caso de activarse el plan de
contingencia o continuidad, con las consideraciones de Seguridad de
la lnformación a que haya lugar.
17. Registro y auditoría
Esta política de Registro y Auditoría define lo pertinente a las auditorías que se
realizan a los procesos del alcance del Sistema de Gestión de Seguridad de la
HiE E§¥iflE!MI§I±N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr`l
Comespondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD@eiéncito
RESTRINGIDO
Pág. 73 de 76
CONTINUACION DIRECTIVA PERMANENTE No. DtE2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMA( 5ñ=c}ÑA CIONAL"
Información e indica temas del registro y conservación de las evidencias de las
actividades y acciones que afectan los activos de información.
a. Normas:
1) EI Área de Evaluación y Seguimiento del Depariamento de lnteligencia
y Contrainteligencia debe planificar, establecer, implementar y
mantener un programa de auditoria interna que incluyan la frecuencia,
los métodos, las responsabilidades, los requisitos de planificación y la
elaboración de informes.
2) Las acciones correctivas deben ser a la causa de las no
conformidades encontradas.
3) EI Área de Evaluación y Seguimi€ epartamento de lnteligencia
y Contrainteligencia debe ase e los resultados de las
auditorías se informen a que se conserve la
información documentad la implementación del
programa de auditoria.
4) EI Area de Evalua epartamento de lnteligencia
y Contraintelige ebe de P lan de auditoria y un equipo
auditor que ute, el c e cumplir con las capacidades
habilidades ocimientos a su ejecucion
5) Los pro uditoria deben tener en cuenta la importancia de
los proce rados y los resultados de las auditorias previas
6) LOs udjtoría deben incluir toda la información de registro
ym e eventos de seguridad, estos registros se deben
almacenar p o menos por un periodo de tres años.
7) Las se deben realizar acorde a la normatividad
egales aplicables a la naturaleza de la lnteligencia
Contrainteligencia.
8) Se deben desarrollar planes de auditoría interna para evaluar los
niveles de aplicabilidad de la seguridad de la información en todos sus
ámbitos, tanto digitales como físicos.
9) Se debe garantizar la evaluación de los controles, la eficiencia de los
sistemas, el cumplimiento de los lineamientos y procedimientos del
SGsl y Contrainteligencia; así como recomendar lo pertinente sobre
las deficiencias detectadas.
10)El almacenamiento de los registros de las auditorías internas
realizadas al Sistema de Gestión de Seguridad de la lnformación se
debe realizar de acuerdo a lo establecido en el procedimiento de
E
#ÉEmpApñiñE:M#Epri,§IÉN
Fe en La causa i:;!?:':.`,:!:i
Entrada principal Carrera 54 No. 26 25 CAN
CcomespondenciaCarrera57No.4328
www.eiército.mil.co, correo electrónico: iemDD®eiército.mil.co ,,(, PIB'
RESTRINGIDO
Pág. 74 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 17 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓ 5Íoffic°, ONAL„.
Auditor.ías lnternas de la Directiva 201418 "Lineamientos de
Seguridad de la lnformación para el Sector Defensa Ministerio de
Defensa").
11)Se debe dar cumplimiento a lo establecido en la Directiva 201418
``Lineamientos de Seguridad de la lnformación para el Sector Defensa
Ministerio de Defensa" en sus Anexos: ``R. Procedimiento de
Auditorías lnternas".
12)Cuando ocurra una no conformidad como resultado de la auditoria el
Sistema de lnteligencia debe reaccionar de manera oportuna y tomar
las acciones para controlarla y corregirla.
18. Ubicación y protección de los equipos
EI Datacenter debe estar ubicado de forma tal personas no autorizadas no
puedan ver la información durante el acceso.
El acceso físico debe ser controlada por ción de Sistemas de
lnformación y Comunicaciones a todo ni
Se debe realizar seguimiento a las iciónes (temperatura, humedad,
voltaje, apertura y cierre de pue ue pueden llegar a afectar
adversamente el Datacenter y se deben do mentar los seguimientos
EI Datacenter de mplir con 1 stándares internacionales de cableado
estructurado.
19. Equipo de pio y pantalla limpia
a. Normas:
1) Al ihiprimir documentos con niveles de clasificación, éstos deben ser
retirados de la impresora inmediatamente.
fiEE+HE§M#Erl§l¿N
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAl\I
Correspondencia Camera 57 No. 43 28
www.eiército.mil.co, correo electrónico: iemDD®eíército.mil.co =====1
#E
9rt=>nl`.`ri.= +1= _ _ _
Hli¡ EHE ?E f`jE(;|)C,Í(J5!3E,\i=c~{_,' |.` . ` _`L`_ ¡
``:':_9.:_i±
RESTRINGIDO
Pág. 75 de 76
CONTINUACION DIRECTIVA PERMANENTE No. Dl:.F 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMACIÓN clTol CIONAL„.
2) Los computadores cargarán por defecto el fondo de pantalla, este no
podrá ser modificado y deberá permanecer activo.
3) Los funcionarios de la institución, deben bloquear la pantalla de su
computador cuando por cualquier motivo se ausenten del puesto de
trabajo.
4) Los servidores públicos son responsables y asumen las
consecuencias por la pérdida de información que esté bajo su
custodia.
5) Se prohíbe el almacenamiento de información personal en los
computadores institucionales.
El escritorio lógico debe estar libre de información clasificada.
Toda la documentación física (im debe estar guardada en los
cajones bajo llave en los escritori
La información debe alojarse en I s creadas para tal fin y
ordenada de acuerdo a la TRD.
20. Separación de los ambientes
Las áreas de Comuni Nacional deben contar con
ambientes de desarro y producción separados por máquinas físicas o
máquinas virtuales
Las áreas de Co aciones del Ejército Nacional debe controlar el acceso
al ambien rrollo de \Ia misma forma que controla el acceso al
E
#É5ñic=ffiE§M#TMi5iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAN
rlr "
Correspondencia Carrera 57 No. 43 28
www.eiército.mil.co, correo electiiónico: iemDD®eiército.mil.co
RESTRINGIDO
Pág. 76 de 76
CONTINUACION DIRECTIVA PERMANENTE No. 2017 "LINEAMIENTOS PARA
ELAPOYO DE LA SEGURIDAD DE LA INFORMAcl NDEL AcloNAL".
g=yS#pffi,#ñffi!#!mffFT,#wg#!®ffiffi
# F#:+#+ñ É_#+y
ÉÑjE5EsrÉ5flEprii§iÉN
Fe en la causa
Entrada principal Carrera 54 No. 26 25 CAr\l
Correspondencia Carrera 57 No. 43 28
www.eiércfto.mil.co, correo electrónico: iemDD@eiéncito.mil.co .___~.ti +
!E/í:+':Lf L i=:tFf'~, _
~
' MINISTERIO DE DEFENSA NACIONALX,,COMANDOGENERALFUEFEASMILITARES Pág. _ de_
FICHA TÉCNICADIRECTIVAS Código: FOJEMPP450
| EJÉRCITONACIONALJEFATURADEESTADO IVIAYOR
Versión: 0
PLANEACIÓN Y POLITICAS
Fecha de emisión: 20160830
Deparúmento cEDE2 | DirectivapermanenteN° | 002 2| A
Fecha de expedición:
' 1 nTr` r)n„
Objeto: LTneamíéhíoáésüecíficos de seguridad de la información
Para: lnspector General del Ejército Nacional Comandante
Comando de Transformación del Ejército del Futuro Jefes
de Estado Mayor Comando Ejército Jefes de Depariamento
Comandantes Comandos Funcionales Dependencias
Estado Mayor Comandantes Unidades Operativas Mayores,
Menores Fuerzas de Tarea Unidades Tácticas TropasEjército.
Finalidad: Lineamientos específicos de seguridad de la información para
el Subsistema de lnteligencia y Contrainteligencia Militar y
apoyo al Ejército Nacional.
Vigencia: A partir de la Fecha de su expedición
Nivel de clasificación: Restringido
Misión General: EI Ejército Nacional a través del CEDE2 lnteligencia. Establecer los
lineamientos específicos de seguridad de la información para el Subsistema de lnteligencia
y Contrainteligencia Militar y apoyo al Ejército Nacional.
lnstrucciones de coordinación:
EI Subsistema de lnteligencia y Contrainteligencia Militar , dentro del marco de su misión
Institucional, reconoce la importancia de identificar y proteger los activos de información del
Ejército Nacional, asegurando su disponibilidad, confidencialidad e integridad,
comprometiéndose a estab ecer, implementar, mantener y mejorar continuamente la
Seguridad de la lnformación enmarcado en el cumplimiento del ordenamiento legal y en
concordancia con la misión, visión, objetivos estratégicos y valores de la lnstitución.
1. Dispositivos Móviles: Garantizar la seguridad en el uso de dispositivos móviles.
2. Teletrabajo: Garantizar la seguridad del teletrabajo.
3. Acceso lógico y físico: Limitar el acceso a información y a instalaciones de
procesamiento de información.
4. Controles Criptográficos: Asegurar el uso apropiado y eficaz de la criptografía para
proteger la confidencialidad, la autenticidad y/o la integridad de la información.
'r MINISTEFUO DE DEFENSA NACIONAL Pág, _ de_
COIVIANDO GENEFUL FUERZAS MILITARES Código: FOJEMPP450
FICHA TÉCNICADIRECTIVAS
EJÉRCITO NACIONAL
JEFATURA DE ESTADO MAYOR Versión: 0
PLANEACIÓN Y POLITICAS
Fecha de emisión: 20160830
5. Recursos Humanos: Asegurar que los empleados y contratistas comprenden sus
responsabilidades y son idóneos en los roles para los que se consideran.
6. Respaldo de la información: Proteger la información contra la pérdida de datos.
7. Transferencia de información: Mantener la seguridad de la información transferida
dentro de la lnstitución y con cualquier entidad externa.
8. Desarrollo Seguro: Asegurar de que la seguridad de la información esté diseñada e
implementada dentro del ciclo de vida de desarrollo de los sistemas de información.
9. Relaciones con los proveedores: Asegurar la protección de los activos de la
organización que sean accesibles a los proveedores.
10.Gestión de Activos: ldentificar los activos organizacionales y definir las
responsabilidades de protección apropiadas.
11.Gestión de incidentes de seguridad de la información: Asegurar un enfoque
coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida
la comunicación sobre eventos de seguridad y debilidades. '
12. Organización de la seguridad de la información: Establecer un marco de referencia
de gestión para iniciar y controlar la implementación y la operación de la seguridad de la
información dentro de la organización.
13. No Repudio: No repudio de la lnformación a través de la trazabilidad, retención, auditoria
y el intercambio electrónico de lnformación gestionada por los funcionarios, contratistas
o terceros.
14. Privacidad y confidencialidad: Cuando sea aplicable, se deben asegurar la privacidad
y la protección de la información de datos personales, como se exige en la legislación y
la reglamentación pertinentes.
15. lntegridad: Manejo integral de la información ta'nto interna como externa, conocida o
administradas por servidores públicos, contratistas o terceros relacionados con el
Ejército Nacional.
16. Disponibilidad del servicio e información: Asegurar la disponibilidad de instalaciones
de procesamiento de información.
17. Registro y auditoría: Registrar eventos y generar evidencia.
: ,...... :..:
Pág. _ de_
MINISTERIO DE DEFENSA NACIONAL
` COIVIANDO GENERAL FUERZAS MILITARES Código: FOJEMPP450
FICHA TÉCNICADIRECTIVAS
EJÉRCITO NACIONAL
JEFATUF`A DE ESTADO MAYOR
"5= pLANEAC|ÓN Y POLITICAS Versión: 0
Fecha de emisión: 201608~30
18. Seguridad en gestión de proyectos: Controles mínimos de seguridad de la información
que deben ser tenidos en cuenta para los proyectos que sean estructurados por el
Ejército Nacional.
19.Áreas de despacho y carga: controlar los puntos de acceso tales como áreas de
despacho y de carga, y otros puntos en donde pueden entrar personas no autorizadas,
y si es posible, aislarlos de las instalaciones de procesamiento de información para evitar
el acceso no autorizado.
20.Ubicación y protección de los equipos: Los equipos deberían estar ubicados y
protegidos para reducir los riesgos de amenazas y peligros del entorno, y las
oportunidades para acceso no autorizado.
21. Equipo desatendido, escritorio limpio y pantalla limpia: Asegurarse de que a los
equipos desatendidos se les dé protección apropiada, adoptar una política de escritorio
limpio para los papeles y medios de almacenamiento removibles, y una política de
pantalla limpia en las instalaciones de procesamiento de información.
22.Separación de los ambientes: Separar los ambientes de desarrollo, prueba y
operación, para reducir los riesgos de acceso o cambios no autorizados al ambiente de
operación.
£' MINISTERIO DE DEFENSA NACIONAL Pág. _ de_
\ ::ÉMRACTTDo°NGAEc|:RtAt FUEFms MiLiTAREs FICHA TÉCNICADIRECTIVAS Código: FOJ EMPP450
JEFATURA DE ESTADO MAYOR
= = PLANEACIÓNYPOLITICAS Versión: 0
Fecha de emisión: 20160830
Departamento cEDE2 | DirectivapermanenteN° 002 9fl .,,7+
Fecha de expedición:
?7 DIC 2017 '~`
Objeto: lnformación de lnteligencia.
Para: lnspector General del Ejército Nacional Comandante
Comando de Transformación del Ejército del Futuro Jefes
de Estado Mayor Comando Ejército Jefes de Departamento
Comandantes Comandos Funcionales Dependencias
Estado Mayor Comandantes Unidades Operativas Mayores,
Menores Fuerzas de Tarea Unidades Tácticas TropasEjército.
Finalidad: Definición, clasificación y conceptos generales sobre
información y sus diferencias.
Vigencia: A partir de la Fecha de su expedición
Nivel de clasificación: Restringido
Misión General: EI Ejércit o Nacional a través del CEDE2 lnteligencia. Definición,
clasificación y conceptos ge nerales sobre información y sus diferencias.
lnstrucciones de coordinaApartirdelaexpedicióndeción:laLey Estatutaria 1621 del 17 de abril 2013, que fortalece el
marco jurídico a las actividades de inteligencia y contrainteligencia, se ordena que toda la
información y documentos producidos por las Agencias y dependencias que llevan a cabo
actividades de lnteligencia y Contrainteligencia debe ser debidamente clasificada con unos
niveles que dotan a estos documentos e información de reserva legal por un término general
de 30 años. DECRETO 857 DE 2014PorelcualsereglamentalaLeyEstatutaria1621del17de abril de 2013
"por medio de la cual se expiden normas para fortalecer el marco legal que permite a los
organismos, que llevan a cabo actividades de inteligencia y contrainteligencia, cumplir con
su misión constitucional y legal, y se dictan otras disposiciones"
Pág. _ de_
MINISTERIO DE DEFENSA NACIONALCOMANDOGENEFULFUERZASMILITARES
FICHA TÉCNICADIRECTIVAS Código: FOUEMPP450
EJÉRCITO NACIONALJEFATUFUDEESTADO MAYOR
Versióh: o
PLANEACIÓN Y POLITICAS
Fecha de emisión: 20160830
CAPITULO IV
Documentos de inteligencia y contrainteligencia, órdenes de operaciones y/o
misiones de trabajo
Artículo 5°. Documentos de lnteligencia y Contrainteligencia. Son documentos de
inteligencia y contrainteligencia todos aquellos originados, procesados y/o producidos en los
organismos de inteligencia y contrainteligencia con los niveles de clasificación establecidos
en el presente decreto. Estos documentos de conformidad con la ley están protegidos por
la reserva legal.
Los documentos de inteligencia y contrainteligencia pueden estar contenidos en medios
físicos, digitales o similares, de acuerdo con los desarrollos científicos o tecnológicos y
deben encontrarse bajo la administración, protección, custodia y seguridad de los
organismos de inteligencia y contrainteligencia, Ios receptores autorizados o las entidades
del Estado que de acuerdo con la ley deban conocer de ellos.
Artículo 6°. Protección de los documentos de inteligencia y contrainteligencia. De
conformidad con la ley, Ios documentos de inteligencia y contrainteligencia estarán
amparados, en todo momento, por la reserva legal en cualquiera de los niveles de
clasificación que se les asigne. La difusión contenida en estos documentos de inteligencia y
contrainteligencia observará los parámetros y restricciones consagrados en la Constitución,
la Ley 1621 de 2013, el presente decreto, los manuales y protocolos que se establezcan al
interior de cada organismo para su adecuada administración, protección, custodia y
seguridad de la información.
CAPÍTULO VI
Reserva legal, niveles de clasificación, sistema para la designación de los niveles de
acceso a la información y desclasificación de documentos
Artículo 10. Reserva legal. En los términos del artículo 33 de la Ley 1621 de 2013, los
documentos, información y elementos técnicos de los organismos de inteligencia y
contrainteligencia estarán amparados por la reserva legal y se les asignará un nivel de
clasificación de acuerdo con lo establecido en el siguiente artículo.
Artículo 11. Niveles de clasificación de la información. Los niveles de clasificación de
seguridad de la información que goza de reserva legal serán los siguientes:
Pág. _ de_
MINISTERIO DE DEFENSA NACIONAL
FICHA TÉCNICADIRECTIVAS Código: FOJEMPP450
\ :.°ÉMRACTTDo°NGAEc¥:#A: FUERZAS MILITAREsJEFATURADEESTADOMAYOR
J PLANEACIÓNYPOLITICAS Versión: 0
Fecha de emisión: 20160830
a) Ultrasecreto. Es el nivel de clasificación que se debe dar a todos los documentos de
inteligencia y contrainteligencia que contengan información sobre posibles amenazas,
riesgos, oportunidades o capacidades, que puedan afectar al exterior del país los intereses
del Estado o las relaciones internacionales.
b) Secreto. Es el nivel de clasificación que se debe dar a todos los documentos de
inteligencia y contrainteligencia que contengan información sobre posibles amenazas,
riesgos, oporiunidades o capacidades, que puedan afectar al interior del país los intereses
del Estado.
c) Confidencial. Es el nivel de clasificación que se debe dar a todos los documentos de
inteligencia y contrainteligencia que contengan información sobre posibles amenazas,
riesgos, oportunidades o capacidades, que puedan afectar directamente las instituciones
democráticas.
d) Restringido. Es el nivel de clasificación que se debe dar a todos los documentos de
inteligencia y contrainteligencia que contengan información de las instituciones militares, de
la Policía Nacional o de los organismos y dependencias de inteligencia y contrainteligencia,
sobre posibles amenazas, riesgos, oportunidades o capacidades, que puedan afectar en las
citadas instituciones y organismos, su seguridad, operaciones, medios, métodos,
procedimientos, integrantes y fuentes.
Parágrafo. Los documentos de inteligencia y contrainteligencia que contengan información
relacionada con diferentes niveles de clasificación de seguridad, asumirán la del nivel más
alto que tenga la información contenida en ellos.
Sin perjuicio de lo establecido en el artículo 34 de la Ley 1621 de 2013, a mayor nivel de
clasificación de seguridad de la información, mayores serán las restricciones y controles
para el acceso a la misma por parte de los receptores, las autoridades, los servidores
públicos y asesores que deban conocer de ella. Estas restricciones deberán quedar
establecidas en actos administrativos, manuales, protocolos, tarjetas de autorización para
manejo y acceso a la información y contratos respectivos en cada uno de los organismos de
inteligencia y contrainteligencia.
Articulo 12. Criterios para dar acceso a la información. Los organismos de inteligencia y
contrainteligencia para dar acceso interno y externo a la información que goza de reserva
legal y tenga nivel de clasificación, cumplirán con los siguientes criterios:
a) Mantener el principio de compartimentación a paftir de la necesidad de saber y conocer
estrictamente lo necesario para el desempeño de la función que le es propia. Así mismo,
establecerán un mecanismo interno que determine los niveles de acceso para cada
funcionario o asesor del organismo de inteligencia y contrainteligencia.
Pág. _ de_
MINISTERIO DE DEFENSA NACIONAL
COMANDO GENERAL FUERZAS MILITARES Código: FOJEMPP450
EJÉRCITO NACIONALts::i#A#ÓDNEyE::£,??cxáyoR FICHA TÉCNICADIRECTIVAS
Versión: 0
Fecha de emisión: 20160830
b) Entre mayor sea el nivel de clasificación de la información, mayores serán las
restricciones como los controles que se deben aplicar para tener acceso a ella.
c) ldentificar a los receptores de productos de inteligencia y contrainteligencia, estableciendo
su nivel de acceso.
d) Desarrollar guías y/o protocolos, cuando sea el caso, para recibir, compartir e
intercambiar información de inteligencia y contrainteligencia.
e) lmplementar de forma física y/o mediante la utilización de herramientas tecnológicas, el
sistema de acceso a los diferentes niveles de clasificación, con capacidades de
administración, monitoreo y control, con base en los cargos, perfiles y funciones
determinadas en la estructura de cada organismo de inteligencia y contrainteligencia.
f) Suscribir acuerdos, protocolos o convenios, en los términos de la Constitución y la Ley,
para recibir, compartir o intercambiar información que goce de reserva legal con agencias
de inteligencia y contrainteligencia extranjeras.
Cada organismo documentará sus procedimientos, en sus manuales o protocolos, para
asegurar la reserva legal, los niveles de clasificación y dar acceso a la información a las
autoridades o receptores competentes.
CAPÍTULO Vll
Seguridad y restricciones en la difusión de productos e información de inteligencia
y contrainteligencia
Artículo 13. Seguridad y restricciones en la difusión de productos de inteligencia y
contrainteligencia. Los organismos y dependencias de inteligencia y contrainteligencia
deberán para los casos de difusión de productos de inteligencia y contrainteligencia a los
receptores autorizados por la ley, indicar la reserva legal a la que está sometida la
información y expresar, al receptor autorizado de la misma, si se trata de un producto de
inteligencia o contrainteligencia "de solo conocimiento" o "de uso exclusivo", teniendo como
referencia las siguientes restricciones para cada caso, así:
a) De solo conocimiento. Es aquel producto de inteligencia y contrainteligencia que tiene
un receptor autorizado por ley, solo para conocimiento directo y, únicamente, como
referencia o criterio orientador para tomar decisiones dentro de su órbita funcional. El
receptor autorizado recibe el producto bajo las más estrictas medidas de seguridad, reserva
Fñffi L`,= h\:,jj.? 5, ,?r:, =iL L:`_ ,: ; JE|
' Pág. _ de_
MINISTERIO DE DEFENSA NACIONAL
COIVIANDO GENERAL FUERZAS IvllLITARES Código: FOJ EMPP450
FICHA TÉCNICADIRECTIVAS
\ EJÉRCITONACIONALJEFATURADEESTADO MAYOR
versióh: o
PLANEACIÓN Y POLITICAS
Fecha de emisión: 20160830
legal y protocolos adecuados. El receptor autorizado no podrá difundir la información
contenida en el producto de inteligencia y contrainteligencia.
b) De uso exclusivo. Es aquel producto de inteligencia y contrainteligencia que tiene un
receptor autorizado por ley, solo para su conocimiento directo y uso exclusivo. Este producto
solo podrá ser empleado como referencia para tomar decisiones dentro de su órbita
funcional. El receptor autorizado recibe el producto, bajo las más estrictas medidas de
seguridad, reserva legal y protocolos adecuados. El receptor autorizado podrá difundir esta
clase de información bajo su responsabilidad, únicamente, para establecer cursos de acción
que permitan la toma de decisiones para el cumplimiento de los fines establecidos en la
Constitución y la ley.
En ninguno de los anteriores casos, se podrá revelar fuentes, métodos, procedimientos,
identidad de quienes desarrollan o desarrollaron actividades de inteligencia y
contrainteligencia o poner en peligro la seguridad y defensa nacional.
Las autoridades competentes y los receptores de productos de inteligencia o
contrainteligencia deberán garantizar, en todo momento, Ia reserva legal de la misma.
No se entregarán productos de inteligencia y contrainteligencia a aquellas autoridades
competentes o receptores autorizados que no garanticen, por escrito, la reserva legal, la
seguridad y la protección de la información contenida en los documentos o informes que les
vayan a ser suministrados.
El documento con el cual se traslade la reserva legal de la información, a las autoridades
competentes o receptores autorizados, deberá especificar la prohibición de emitir copias o
duplicados de la misma, aleriando sobre las acciones penales y disciplinarias que acarrea
la no observancia de lo consagrado en la ley.
Artículo 14. Suministro de información. Cuando proceda, el organismo de inteligencia y
contrainteligencia, responsable de dar respuesta legal a un requerimiento de información de
inteligencia, deberá verificar previamente que:
a) La solicitud se ajuste a lo preceptuado en el artículo 34 de la Ley 1621 de 2013.
b) La respuesta identifique el nivel de clasificación, correspondiente a la naturaleza del
documento o la información que se ponga en conocimiento de la autoridad competente.
c) La respuesta debe reflejar adecuadamente la valoración de la información, el uso de
términos condicionales y dubitativos, que garantice entre otros la reserva, el debido proceso,
el buen nombre y el derecho a la intimidad.
d) La respuesta cumpla los protocolos de seguridad, acceso y reserva.
r'JZ MINISTERIO DE DEFENSA NACIONAL Pág. _ de_
COIVIANDO GENERAL FUERZAS MILITARES Código: FOJ EMPP450
FICHA TÉCNICADIRECTIVAS
EJÉRCITO NACIONAL
JEFATURA DE ESTADO MAYOR Versión: 0
PLANEACIÓN Y POLITICAS
Fecha de emisión: 20160830
e) La respuesta con la información suministrada no debe poner en peligro o riesgo la
seguridad y defensa nacional, y, en los organismos que integran la comunidad de
inteligencia, sus métodos, sus procedimientos, sus medios, sus fuentes, sus agentes, sus
servidores públicos o sus asesores. Los criterios de váloración y ponderación del presente
literal los fijará el Jefe o Director de cada organismo, según corresponda.
f) La respuesta no debe dar a conocer capacidades, procedimientos, métodos, medios,
elementos técnicos, fuentes, operaciones o actividades de inteligencia o contrainteligencia.
g) La respuesta debe quedar debidamente registrada para tener la trazabilidad de la misma.
En el documento de respuesta se debe trasladar a las autoridades competentes o receptores
autorizados la reserva legal de la información y especificar las prohibiciones o restricciones
de su difusión, alertando sobre las acciones penales y disciplinarias que acarrea la no
observancia de lo consagrado en la ley.
DiRECcioN C)E NEGciclos GErilER/,.LES CF.:Ei i
_. ._ c,`1,í`.Clj!ij!Ü jl`jrio1:,Ú __
'`'f
Pág. _ de_
MINISTERIO DE DEFENSA NACIONAL
FICHA TÉCNICADIRECTIVAS Código: FOJEMPP450
• ¡| Ej°ÉMRACTTDo°NGAECT5#LFUEFms MiLiTAREsJEFATURADEESTADOMAYOR
Versión: 0
PLANEACIÓN Y POLITICAS
Fecha de emisión: 20160830
Departamento cEDE2 i DirectivapermanenteN° |002 2|~
Fecha de expedición: ®/ , r\T,` ,../`,,7
Á t l,/Í ,,'1„'/
Objeto: Uso de Redes Sociales.
Para: Inspector General del Ejército Nacional Comandante
Comando de Transformación del Ejército del Futuro Jefes
de Estado Mayor Comando Ejército Jefes de Departamento
Comandantes Comandos Funcionales Dependencias
Estado Mayor Comandantes Unidades Operativas Mayores,
Menores Fuerzas de Tarea Unidades Tácticas TropasEjército.
Finalidad: Aplicación permanente en relación al uso de redes sociales
para los miembros del Ejército Nacional.
Vigencia: A partir de la Fecha de su expedición
Nivel de clasificación: Restringido
Misión General: EI Ejércit o Nacional a través del CEDE2 lnteligencia. Aplicación
permanente en relación al us o de redes sociales para los miembros del Ejército Nacional.
lnstrucciones de coordinación:
Velar por el empleo de buenas prácticas en relación al uso de redes sociales para los
miembros del Ejército Nacio nal, en coordinación con el Comando de Apoyo Operacional y
Ciberdefensa (CAOCC) y e Comando de Apoyo de Combate de Contrainteligencia Militar
(CACIM).1.Como integrantes de las Fuerzas Militares se debe propender por la seguridad propia,
la de su familia, Ia de la misión y la de la institución, evitando ponerla en riesgo a
través de la publicaci ón de contenidos relacionados con el cargo, funciones y otras
actividades laborales.
2. El personal Del Ejército Nacional no debe emplear, participar y difundir por redes
sociales asuntos rela cionados con la lnstitución o utilizar escudos, logos, emblemas
y lemas de imagen co rporativa de manera directa o indirecta, sin autorización previa
y escrita del superior jerárquico competente.
3. El uniforme represent a la lnstitución Militar, por lo tanto no se deben publicar en redes
sociales, videos o fotografías propias o de compañeros en las que aparezcan
uniformados.
4„ Ningún contenido rela cionado con el Ejército Nacional, puede ser difundido por las
redes sociales, sin la autorización previa del superior competente.
si tiene dudas sobre el
5. Está prohibido develar información del Ejercito Nacional,
' _ r_ __ ___ __ _
contenido que quiere en las redes sociales, se debe consultar con los superiores o el
personalcompetenteolosresponsablesdelacustodiadelainformacióninstitucional.
6. Como política general solo el personal previamente autorizado por escrito, puede
publicar información del Ejercito Nacional en redes sociales.
7. No se deben publicar datos o información que goza de reserva legal del Ejercito
Nacional o terceras paries relacionadas, toda vez que puede acarrear acciones
penales, disciplinarias o administrativas contra el o los funcionarios que lo hagan.
8. No se debe dar por cierio, ni reenviar todos los contenidos que se reciban a través
de las redes sociales, ya que las mismas son aprovechadas para desinformar y
desvirtuar la realidad de los hechos, antes de dar por cieria y recircular una
información relacionada con el Ejército Nacional, verifique que la misma es originada
en fuentes oficiales fidedignas.
9. Se debe ser responsable con los contenidos que se publica, teniendo en cuenta que
la interacción en las redes sociales puede ser vista por cualquier persona y puede
facilitar el trabajo de espías que pueden obtener sin esfuerzo contenidos escritos y
audiovisuales relacionados con la defensa y la seguridad nacional.
10.Se debe asegurar que el contenido que se comparte en las redes soc!ales es
verdaderoyporningúnmotivosedebecompartirmaterialquetengacarácterofensivo
o se aparte de los códigos de ética y honor en el Ejército Nacional.
11. Tener en cuenta que el ejército Nacional puede ser asociado con el contenido que se
publique, por lo tanto, las opiniones que se manifiesten siempre deben estar
encaminadas a forialecer el prestigio y los valores institucionales que consagran la
Constitución Política y la Ley.
12.Antes de publicar cualquier información en las redes sociales, se debe verificar que
no se esté propiciando la fuga de información, violación de la reserva y
confidencialidad, la cual se obligó a preservar con la firma del acta de compromiso
de reserva o el juramento de posesión en el cargo.
13. Concientizar a familiares y amigos sobre los riesgos que se pueden generar como
consecuencia de la publicación de contenidos que afecten la seguridad personal,
familiar e institucional; así mismo se debe tener especial cuidado de otros riesgos que
se generan al interactuar en las redes sociales ya que las mismas pueden son
usadas ilegalmente por organizaciones extremistas, delincuencia organizada,
agentes hostiles y amenazas similares.
14. Los oficiales, suboficiales y soldados deben recordar que está prohibido difundir,
circular, recircular, o participar en grupos y foros de las redes sociales con contenidos
y temas relacionados con política paftidista. Se debe cumplir con las normas
establecidas en la Constitución y la Ley, así;
_,_.____b"".T®`m.mmím/~Üoft_l
DIREccicNllt:Í',jEr]C)cl.CsGfíÉr:ftl.\Ltl]C£icl£`Íi!;
Pág. _ de_
MINISTERIO DE DEFENSA NACIONALÍCOMANDOGENEFULFUERZASIvllLITARES
Código: FOJEMPP450
FICHA TÉCNICA
i EJERCITO NACIONAL
JEFATURA DE ESTADO MAYOR
`€~ PLANEACIÓN Y POLITICAS DIRECTIVAS Versión: 0
Fecha de emisión: 20160830
a) ``La Fuerza Pública no es deliberante., no podrá reunirse sino por orden de autoridad
legítima, ni dirigir peticiones, excepto sobre asuntos que se relacionen con el servicio
y la moralidad del respectivo cuerpo y con arreglo a la ley. Los miembros de la Fuerza
Pública no podrán ejercer la función del sufragio mientras permanezcan en servicio
activo, ni intervenir en actividades o debates de pariidos o movimientos políticos."
b) "lntervenir activamente en forma directa o indirecta en la política partidista o proceder
con parcialidad en comisión del servicio, en beneficio de una fracción política
determinada."
c) "Expresar pública y abiertamente inconformismo frente a proyecíos o
determinaciones del Gobierno Nacional o de las Fuerzas Militares."
15. Se aclara que no se trata de prohibir el empleo de las redes sociales sino que dicho
uso se haga con el rigor y la responsabilidad adecuada, evitando que el manejo
inapropiado afecte la protección personal y familiar de los funcionarios o tener un
impacto negativo para la seguridad, imagen y prestigio del Ejercito Nacional.