GESTIÓN DE SERVICIOS

PROCESO CÓDIGO GSGU10

TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

GUÍA GESTIÓN DE MEDIOS REMOVIBLES

BOGOTÁ D.C.
2016

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina Jefe Oficina Asesora de Jefe Oficina Tecnologías de la
Tecnologías de la Planeación Información
Información
Profesional Oficina Asesora Jefe Oficina Tecnologías de la
de Planeación Información
FECHA: FECHA: FECHA:
05/07/2016 08//08/2016 10/08/2016

Página 1 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

Contenido

1. Objetivo.......................................................................................................................................... 3
2. Alcance.......................................................................................................................................... 3
3. Responsabilidades......................................................................................................................... 3
4. Definiciones.................................................................................................................................... 3
5. Generalidades................................................................................................................................ 5
6. Normas para la gestión de medios removibles...............................................................................5
7. Actividades de la Gestión de Medios Removibles..........................................................................6
8. Documentación de Referencia:......................................................................................................7
9. Registros........................................................................................................................................ 7

Página 2 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

1. Objetivo

Brindar los lineamientos para la adecuada gestión de los medios removibles en la Superintendencia
Nacional de Salud, a fin de propender por la disponibilidad, integridad y confidencialidad de la infor-
mación que maneja la Entidad.

2. Alcance

Todas las estaciones de trabajo propiedad de la Superintendencia Nacional de Salud.

3. Responsabilidades

Todos los funcionarios de la Superintendencia Nacional de Salud, debe conocer y poner en práctica
las disposiciones dadas por la presente guía.

4. Definiciones

Activo de información: Cualquier componente (humano, tecnológico, software, documental

o de infraestructura) que soporta uno o más procesos de negocios de la Entidad y, en
consecuencia, debe ser protegido.

Autenticación: es el procedimiento de comprobación de la identidad de un usuario o recurso

tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información.

Centros de cableado: son habitaciones donde se deberán instalar los dispositivos de

comunicación y la mayoría de los cables. Al igual que los centros de cómputo, los centros de
cableado deben cumplir requisitos de acceso físico, materiales de paredes, pisos y techos,
suministro de alimentación eléctrica y condiciones de temperatura y humedad.

Centro de cómputo: es una zona específica para el almacenamiento de múltiples

computadores para un fin específico, los cuales se encuentran conectados entre sí a través
de una red de datos. El centro de cómputo debe cumplir ciertos estándares con el fin de
garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el
suministro de alimentación eléctrica y las condiciones medioambientales adecuadas.

Cifrado: es la transformación de los datos mediante el uso de la criptografía para producir

datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy
útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no
autorizado a los repositorios de información.

Página 3 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

Confidencialidad: es la garantía de que la información no está disponible o divulgada a

personas, entidades o procesos no autorizados.

Control: es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye

policías, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden
ser de carácter administrativo, tecnológico, físico o legal.

Criptografía: es la disciplina que agrupa a los principios, medios y métodos para la

transformación de datos con el fin de ocultar el contenido de su información, establecer su
autenticidad, prevenir su modificación no detectada, prevenir su repudio, y/o prevenir su uso
no autorizado.

Custodio del activo de información: es la unidad organizacional o proceso, designado por

los propietarios, encargado de mantener las medidas de protección establecidas sobre los
activos de información confiados.

Disponibilidad: es la garantía de que los usuarios autorizados tienen acceso a la

información y a los activos asociados cuando lo requieren.

Equipo de cómputo: dispositivo electrónico capaz de recibir un conjunto de instrucciones y

ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y
correlacionando otros tipos de información.

Integridad: es la protección de la exactitud y estado completo de los activos.

Medio removible: es cualquier componente extraíble de hardware que sea usado para el
almacenamiento de información; los medios removibles incluyen cintas, discos duros
removibles, CDs, DVDs y unidades de almacenamiento USB, entre otras.

Propietario de la información: es la unidad organizacional o proceso donde se crean los

activos de información.

Responsable por el activo de información: es la persona o grupo de personas, designadas

por los propietarios, encargados de velar por la confidencialidad, la integridad y disponibilidad
de los activos de información y decidir la forma de usar, identificar, clasificar y proteger
dichos activos a su cargo.

SSI: Subsistema de Seguridad de la Información.

Sistema de información: es un conjunto organizado de datos, operaciones y transacciones

que interactúan para el almacenamiento y procesamiento de la información que, a su vez,

Página 4 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

requiere la interacción de uno o más activos de información para efectuar sus tareas. Un
sistema de información es todo componente de software ya sea de origen interno, es decir
desarrollado por la Superintendencia Nacional de Salud o de origen externo ya sea adquirido
por la entidad como un producto estándar de mercado o desarrollado para las necesidades
de ésta.

5. Generalidades

Ésta guía da cumplimiento a los lineamientos estipulados en el Anexo A 8.3.1, para la correcta ges-
tión de los medios mencionados se debe conocer la criticidad de los riesgos de seguridad de la infor-
mación que pueden llegar a materializarse en los casos de utilización de medios removibles no autori-
zados.

6. Normas para la gestión de medios removibles

 Se encuentra restringida la conexión no autorizada de cualquier elemento de almacenamiento

de acuerdo a las Políticas de Tercer Nivel del Subsistema de Seguridad en la Información AS-
PO09.

 La Superintendencia Nacional de Salud a través de la Oficina de Recursos Físicos asigna los

medios removibles de almacenamiento para que puedan ser utilizados por los funcionarios de
la entidad, contratistas y demás terceros facultados en los sistemas de información y en la pla-
taforma tecnológica.

 El uso de medios removibles de almacenamiento solamente es autorizado a los funcionarios,

contratistas y demás terceros con el aval del Jefe de oficina, Delegado, Secretario General o
Superintendente.

 Los medios de almacenamiento removibles como cintas, discos duros removibles, y dispositi-
vos USB, que contengan información institucional, deben ser controlados y físicamente prote-
gidos por el funcionario responsable de la información.

 La información que es almacenada en medios removibles y que debe estar disponible por lar-
go tiempo, es protegida y controlada adecuadamente para evitar que ésta se vea afectada por
el tiempo de vida útil del medio.

 El funcionario al devolver el medio removible a la Oficina de recursos Físicos previamente con

el acompañamiento de la mesa de servicios se asegurará de hacer un borrado seguro de la in-
formación contenida en el medio.

Página 5 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

 La responsabilidad de la información contenida en los medios removibles es del funcionario

que está a cargo del mismo y la gestión deberá hacerse acuerdo de las directrices del Grupo
de gestión documental responsable de la disposición de los registros e información digital.

7. Actividades de la Gestión de Medios Removibles

No Actividad Descripción Responsable

.
1 Solicitar la El funcionario o tercero que tiene la
activación de necesidad de utilizar el recurso USB o la
los puertos USB unidad CD/DVD debe hacer la solicitud
o la unidad de
CD/DVD mediante el Jefe de Oficina, Delegado,
Secretario General o Superintendente a Jefe de Oficina, Jefe de
Oficina Asesora,
través de la Mesa de Ayuda, al teléfono Delegado, Secretario
40123 o al correo General o
soporte.oti@supersalud.gov.co, solicitar Superintendente.
al, el envío de un correo electrónico
indicando la justificación de la necesidad.
2 El funcionario de mesa de servicios Mesa de Servicios
Registrar en la
herramienta de deberá registrar y escalar la solicitud al
gestión de la grupo de Administración y Seguridad de la
mesa de Información en la herramienta de gestión
Servicios con el propósito de dejar la trazabilidad
pertinente.
3 Verificar si la El Oficial de la seguridad de la información
justificación es o quien haga sus veces, analiza el Oficial de Seguridad de la
viable mensaje recibido y autoriza o no el acceso Información
a los recursos solicitados.
4 En caso de que la solicitud sea
Solicitar la
apertura del autorizada, el Oficial de Seguridad de la Oficial de Seguridad de la
recurso Información comunica al funcionario Información
encargado del grupo de Administración y
Seguridad de la Información para que
proceda a establecer el acceso.
En caso que No sea autorizada la solicitud
se procederá a informar al área
correspondiente las razones de la
negación.
5 Conceder El encargado de la apertura del acceso

Página 6 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

No Actividad Descripción Responsable

.
permisos debe informar a través de la herramienta Funcionario Grupo de
de gestión de TI que el acceso ha sido Administración y
asignado y el tiempo que está disponible Seguridad de la
Información
el recurso y cerrar la solicitud en la
herramienta de gestión.
6 Una vez transcurrido el tiempo asignado Funcionario Grupo de
Desactivación
Administración y
de acceso a se debe cerrar el acceso a los recursos
previamente asignados. Seguridad de la
recursos
Información
Si es de carácter permanente se debe
incluir en los controles pertinentes.

8. Documentación de Referencia:

 Norma NTC IEC 27001:2013 Anexo 8

CONTROL DE CAMBIOS
FECHA DEL
ASPECTOS QUE DETALLES DE RESPONSABLE DE
CAMBIO VERSIÓ
CAMBIARON EN EL LOS CAMBIOS LA SOLICITUD DEL
DD/MM/ N
DOCUMENTO EFECTUADOS CAMBIO
AAAA
Solicitud de
creación mediante
memorando NURC:
3-2016-014942
Jefe Oficina de
Adopción del documento Tecnologías de la 11/08/2016 1
Se realiza
Información
aprobación
Mediante
memorando NURC:
3-2016-015043
Actualización del Se realizan Jefe Oficina de 09/12/2016 2
documento correcciones de Tecnologías de la
redacción en la Información
sección 6.
Normas
para la gestión de
medios removibles.
Se realiza
aprobación
Mediante

Página 7 de 8
 GESTIÓN DE SERVICIOS
PROCESO CÓDIGO GSGU10
TECNOLÓGICOS

GUÍA GESTIÓN DE MEDIOS REMOVIBLES VERSIÓN 2

memorando NURC
3-2016-022687

Página 8 de 8