Politica

Proceso Estratégico
Proceso Estrategia y Gobierno de Código EGTI-DI-012

TI
Políticas de Seguridad de Gestión
Versión 1
de Activos de Información
POLÍTICAS DE SEGURIDAD DE GESTIÓN DE ACTIVOS DE

INFORMACIÓN
Bogotá, D.C.,
(MAYO DE 2018)
La impresión de este documento se considera Copia No Controlada La versión vigente se encuentra en la intranet SISGESTION de la UAERMV
Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

111321 Página 1 de 12
PBX: 3779555 – Información: Línea 195
www.umv.gov.co
TI
Versión 1

111321 Página 2 de 12
www.umv.gov.co
TI
Versión 1
CONTENIDO
1. INTRODUCCIÓN...........................................................................................................................................3
2. GLOSARIO DE TERMINOS............................................................................................................................3
3. OBJETIVO GENERAL.....................................................................................................................................5
4. OBJETIVOS ESPECIFICOS..............................................................................................................................5
5. ALCANCE......................................................................................................................................................5
6. DECLARACION..............................................................................................................................................6
7. ACTIVOS DE INFORMACION........................................................................................................................6
8. ROLES Y RESPONSABILIDADES SOBRE LOS ACTIVOS DE INFORMACION.....................................................8
9. CLASIFICACION DE LA INFORMACION.........................................................................................................8
10. MANEJO DE MEDIOS DE ALMACENAMIENTO.............................................................................................9

111321 Página 3 de 12
www.umv.gov.co
TI
Versión 1
1. INTRODUCCIÓN
El siguiente documento hace parte de la POLITICA GENERAL DE TECNOLOGIA Y

SEGURIDAD DE LA INFORMACION Y COMUNICACIONES de la entidad.
La UAERMV Unidad Administrativa Especial de Rehabilitación y Mantenimiento Vial, basará

la Administración de la Seguridad de los Activos de Información, en las políticas contenidas
en este documento; así mismo, como las buenas prácticas y herramientas informáticas que
apoyen el proceso de apoyo: “Gestión de Servicios de Infraestructura Tecnológica” (GSIT).
La UAERMV, comprende la importancia de una adecuada gestión de activos de información,

por lo cual tener un inventario y clasificación de activos es parte esencial del sistema de
gestión de Seguridad de la Información de la entidad, dado que a través de éste se conoce
cuántos activos tiene la entidad, sus propietarios y los responsables de los mismos, así como
el nivel de clasificación que tienen para conocer qué tratamiento debe dársele, con el fin de
evitar la materialización de riesgos en la entidad.
Un activo es cualquier elemento que tenga valor para la organización, sin embargo, en el
contexto de seguridad digital son activos elementos tales como aplicaciones de la entidad
pública, servicios Web, redes, información física o digital, Tecnologías de la Información -TI-
o Tecnologías de la Operación -TO-) que utiliza la organización para su funcionamiento.
2. GLOSARIO DE TERMINOS
 Acuerdo de Confidencialidad: Contrato suscrito entre las partes con el fin de

compartir material confidencial o conocimiento para ciertos propósitos, pero
restringiendo su uso público.
 Copia de seguridad (BACKUP): En tecnologías de la información e informática es
una copia de los datos originales que se realiza con el fin de disponer de un medio de
recuperación en caso de su pérdida.
 Batch: Archivo magnético que tiene almacenada una secuencia de comandos. Al
ejecutarse, reemplaza la operación de digitar los comandos de secuencia cada vez
que se requiere efectuar una operación. Se utiliza para almacenar operaciones
repetitivas.

111321 Página 4 de 12
www.umv.gov.co
TI
Versión 1
 CPU: Central Processing Unit (CPU/Unidad Central de Procesamiento) también

llamado microprocesador o simplemente procesador, es el componente principal del
ordenador y otros dispositivos programables, que interpreta las instrucciones
contenidas en los programas y procesa los datos.
 Encargado de Seguridad: Persona delegada cuyas funciones principales son
asesorar en materia de seguridad de la información a la UAEMRV y supervisar el
cumplimiento de la presente Política.
 Firewall: Dispositivo tecnológico que tiene como función proteger la red interna de
una compañía de accesos no autorizados del exterior vía Internet.
 GSIT: Gestión de Servicios de Infraestructura Tecnológica.
 LAN: Local área network o red de área local, es la interconexión de una o varias
computadoras y periféricos.
 Medios de almacenamiento: Es un conjunto de componentes utilizados para leer o
grabar datos en el soporte de almacenamiento de datos, en forma temporal o
permanente.
 Medios de almacenamiento removibles: Son los dispositivos de almacenamiento
usados para guardar la información como, memorias USB, memorias SD, Micro SD,
Discos duros externos, CD, DVD, Cintas magnéticas,
 Módem: Dispositivo de comunicación que permite establecer una conexión a través
de la línea telefónica.
 Script: Archivo que contiene una secuencia de comandos que se utiliza para
comunicarse en forma automática entre dos aplicaciones.
 Seguridad de la Información: Protección que se brinda a los activos de información
mediante medidas preventivas con el fin de asegurar la continuidad del negocio y
evitar la materialización de los riesgos.
 Seguridad Informática: Se encarga del aseguramiento de la infraestructura
tecnológica mediante herramientas o elementos físicos, para evitar la materialización
de las amenazas que se propagan por la red.
 SGSI: Sistema de Gestión de la Seguridad de la Información.
 SIT: Sistemas de Información y Tecnología.
 SPAM: Se llama spam, correo basura o mensaje basura a los mensajes no
solicitados, no deseados o de remitente no conocido (correo anónimo), habitualmente
de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas)
que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos
mensajes se denomina spamming.

111321 Página 5 de 12
www.umv.gov.co
TI
Versión 1
 Tercero(s): Cualquier persona natural o jurídica en calidad de proveedor, outsourcing

o consultor.
 TIC: Tecnologías de la información y comunicaciones.
 UAERMV: Unidad Administrativa Especial de Rehabilitación y Mantenimiento Vial.
 USB: El Universal Serial Bus (USB) (bus universal en serie BUS) es un estándar
industrial desarrollado en los años 1990 que define los cables, conectores y
protocolos usados en un bus para conectar, comunicar y proveer de alimentación
eléctrica entre ordenadores, periféricos y dispositivos electrónicos.
 Usuario: Este concepto cobija a todos los clientes internos, servidores públicos y
contratistas que utilicen la red de la entidad.
 VPN: Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private
Network, es una tecnología de red que permite una extensión segura de la red local
sobre una red pública o no controlada como Internet. Permite que la computadora en
la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red
privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.
 WAN: Wide área network o red de área amplia, es una red de computadoras que
abarca varias ubicaciones físicas, proveyendo servicio a una zona, un país, incluso
varios continentes. Es cualquier red que une varias redes locales (LAN).
3. OBJETIVO GENERAL
Definir las políticas para la gestión de los activos de la entidad que incluye el inventario, la
clasificación en términos de confidencialidad, integridad y disponibilidad.
4. OBJETIVOS ESPECIFICOS
a) Identificar los activos de la entidad y definir las responsabilidades de protección

apropiadas.
b) Asegurar que la información reciba un nivel apropiado de protección de acuerdo con
la importancia y criticidad para la entidad.
c) Evitar la divulgación, la modificación, el retiro o la eliminación no autorizados de la
información de la entidad.

111321 Página 6 de 12
www.umv.gov.co
TI
Versión 1
5. ALCANCE
Aplica para todos los Servidores Públicos de la Unidad: Empleados públicos de planta (de
carrera administrativa y los provisionales), funcionarios de libre nombramiento y remoción,
trabajadores oficiales, contratistas y demás personal que tenga acceso a los recursos y
activos de información durante su ciclo de vida (creación, distribución, transmisión,
almacenamiento, eliminación), y a los activos de información en todas sus formas (digital,
impresa, escrita, y hablada) y está orientada a preservar la confidencialidad y disponibilidad
de la información de la UAERMV, los cuales están sujetos a los mismos requerimientos de
seguridad, y tienen las mismas responsabilidades de salvaguardar la información de la
Unidad; por lo tanto, están obligadas a continuar protegiendo y cumpliendo las políticas de
confidencialidad durante y una vez terminada su relación laboral y/o contractual con la
UAERMV.
Se tendrán en cuenta para esta política específica los controles A.8.0 GESTION DE
ACTIVOS tomado de la norma ISO 27001:2013.
6. DECLARACIÓN
En este documento se encuentran los lineamientos que aseguran una actuación adecuada
para alcanzar un alto nivel en cuanto a seguridad de la información en la UAERMV. La
información es un activo importante para la entidad, tiene un alto valor para la misma, por
esto mismo la unidad ha definido las directrices de seguridad para los Activos de Información
por medio de las cuales se deben orientar todas las acciones a seguir. Estas directrices
hacen parte del marco de POLÍTICAS GENERALES DE TECNOLOGÍA Y SEGURIDAD DE
INFORMACIÓN Y COMUNICACIONES, están basadas en la NORMA TÉCNICA
COLOMBIANA NTC-ISO/IEC 27002 (anteriormente denominada ISO 17799) la cual es un
estándar para la seguridad de la información publicado por la International Organization for
Standardization y la Comisión Electrotécnica Internacional. La versión más reciente es la
ISO/IEC 27002:2013).
Por lo anterior, se busca minimizar riesgos en la información, asegurar la continuidad de la

UAERMV y ayudar en el cumplimiento de los objetivos misionales.
Acuerdo de confidencialidad:

111321 Página 7 de 12
www.umv.gov.co
TI
Versión 1
Todos los Usuarios que administran, leen, modifican o crean información en la UAERMV
deben firmar un acuerdo de confidencialidad o de no divulgación como parte de sus términos
y condiciones iníciales de empleo. Esta directriz también incluye a personal ocasional y los
Usuarios externos no contemplados en un contrato formalizado.
7. ACTIVOS DE INFORMACIÓN.
La información puede existir en muchas formas: Impresa, manuscrita, almacenada en disco

o en medio magnético, en medios electrónicos, presentaciones, videos o conversaciones,
etc., cualquiera que sea la forma de existencia de la información, está siempre debe estar
protegida adecuadamente, para preservar la confidencialidad, integridad y la disponibilidad
de la misma, para esto el dueño o el administrador de la información debe clasificarla para
identificar la necesidad, prioridad y el grado de protección que requiere para comunicar el
requerimiento de medios de tratamiento especial a la Secretaría General – Proceso Sistemas
de Información y Tecnología.
a) ACTIVOS HUMANOS
 Empleados: Empleados públicos de planta (de carrera administrativa y los

provisionales), funcionarios de libre nombramiento y remoción, trabajadores
oficiales, contratistas.
 Externos: Consultores, asesores, especialistas, trabajadores temporales,
proveedores.
a) ACTIVOS FÍSICOS
 Infraestructura física y de TI: Edificios, oficinas, centro de datos, cuartos de

servidores y equipos, armarios de red (Racks), cableado, escritorios, cajones,
archivadores, salas de almacenamiento de medios físicos, dispositivos de
identificación y autentificación, control de acceso del personal y otros dispositivos
de seguridad como por ejemplo las cámaras (circuito cerrado de TV, lectores
biométricos...).
 Controles del entorno de TI: Alarmas, sistema de refrigeración, supresión contra
incendio, sistemas de alimentación ininterrumpida (UPS), planta eléctrica,
alimentación de potencia y de red.

111321 Página 8 de 12
www.umv.gov.co
TI
Versión 1
 Hardware de TI: Computadores de escritorio y portátiles, dispositivos de

almacenamiento, servidores, firewall, routers, dispositivos de comunicaciones,
impresoras, scanners, fotocopiadoras.
 Documentación: Procedimientos, programas, guías, formatos, manuales y
demás documentación física de propiedad de la entidad.
b) ACTIVOS DE SERVICIOS DE TI
 Servicios de autenticación y administración de usuario, aplicaciones, servidores

proxy, servicios de red, servicios web, servicios inalámbricos, antivirus,
antispyware, antispam, detección y prevención de intrusiones, seguridad, FTP,
bases de datos, correo electrónico y mensajería instantánea, herramientas de
desarrollo, contratos de soporte y mantenimiento de software.
Las políticas de seguridad de la información descritas en este documento aplican a todos los
activos de información durante su ciclo de vida, incluyendo creación, distribución,
transmisión, almacenamiento y eliminación.
8. ROLES Y RESPONSABILIDADES SOBRE LOS ACTIVOS DE INFORMACIÓN
8.1. Inventario de Activos.

Se deben identificar los activos asociados con la información e instalaciones de
procesamiento de información, y se debe elaborar y mantener un inventario de estos
activos.
8.2. Propiedad de los Activos.

Los activos de información que hacen parte del inventario deben tener un propietario
o responsable, de acuerdo con la asignación de activos fijos en el caso del hardware
y de la información de acuerdo con el rol desempeñado en la entidad.
Encargado de inventarios de activos de información.

Responsable encargado de generar, mantener y actualizar el inventario de los activos
de la entidad, así como la asignación indicando los responsables de la custodia de
dichos activos.
Personal de la UAEMRV.
Responsable encargado de garantizar la integridad, confidencialidad y disponibilidad
del inventario de activos que este bajo su custodia.

111321 Página 9 de 12
www.umv.gov.co
TI
Versión 1
8.3. Uso Aceptable de los Activos

Se deben identificar, documentar e implementar reglas para el uso aceptable de
información y de activos asociados con información e instalaciones de procesamiento
de información.
8.4. Devolución de los Activos.

Todos los empleados y usuarios de partes externas deben devolver todos los activos
de la organización que se encuentren a su cargo, al terminar su empleo, contrato o
acuerdo.
9. CLASIFICACION DE LA INFORMACIÓN
9.1. Clasificación de la Información.

La información se debe clasificar en función de los requisitos legales:
o Valor.
o Criticidad.
o Susceptibilidad a divulgación o a modificación no autorizada.
o Confidencialidad.
o Integridad.
o Disponibilidad.
9.2. Etiquetado de la Información.

Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el
etiquetado de la información, de acuerdo con el esquema de clasificación de
información adoptado por la entidad.
9.3. Manejo de los Activos.

Se deben desarrollar e implementar procedimientos para el manejo de activos, de
acuerdo con el esquema de clasificación de información adoptado por la
organización.
En el caso de copias o reproducciones de activos de información, clasificados como

Reservado, deben aplicar las mismas políticas y normas de seguridad definidas para
los activos de información originales.

111321 Página 10 de 12
www.umv.gov.co
TI
Versión 1
La eliminación o destrucción de los activos de información, sean estos documentos

en papel, bienes muebles (equipos, computadores, notebook, u otros similares),
deberá efectuarse de acuerdo con la normatividad vigente.
10. MANEJO DE MEDIOS DE ALMACENAMIENTO
10.1. Gestión de medios de almacenamiento removibles.

Se deben implementar procedimientos para la gestión de medios removibles, de
acuerdo con el esquema de clasificación adoptado por la entidad.
10.2. Disposición de los medios de almacenamiento.

Se debe disponer en forma segura de los medios cuando ya no se requieran,
utilizando el procedimiento establecido.
10.3. Transferencias de Medios Físicos

Los medios que contienen información se deben proteger contra acceso no
autorizado, uso indebido o corrupción durante el transporte.
El traslado de activos de información debe efectuarse aplicando medidas de control

acordes con la evaluación de criticidad del activo y el impacto para el proceso al cual
está relacionado. En particular, el traslado de activos de información tales como
equipos, computadores, u otros dispositivos tecnológicos.
REVISIÓN Y APROBACIÓN:
Validado por
Elaborado y/o Actualizado por
RESPONSABLE DIRECTIVO
EQUIPO OPERATIVO SIG del Aprobado por:
SIG
Proceso:
del Proceso:
OMAR FERNANDO GARZON /
GLORIA MÉNDEZ
Contratista / Proceso EGTI
Acompañamiento EQUIPO
TÉCNICO SIG:
Firma: Firma:
ANDREA DEL PILAR ZAMBRANO MARCELA ROCÍO MÁRQUEZ MARTHA PATRICIA AGUILAR
Contratista /Proceso DESI ARENAS COPETE
(Secretaría General) Representante de la Alta Dirección
CONTROL DE CAMBIOS:

111321 Página 11 de 12
www.umv.gov.co
TI
Versión 1
APROBADO
Representante
VERSIÓN DESCRIPCIÓN FECHA
de la Alta
Dirección SIG
Revisado y actualizado por el Ing. Omar Fdo.
Garzón Giraldo (Especialista en Seguridad de la
Información), se realizó la separación de la
POLÍTICA DE GESTIÓN DE ACTIVOS DE
INFORMACIÓN de la POLÍTICA GENERAL DE
TECNOLOGÍA Y SEGURIDAD DE LA Jefe Oficina
1 INFORMACIÓN Y COMUNICACIONES, se agregó Mayo 2019 Asesora de
introducción, se modificó el objetivo general, se Planeación
agregaron los objetivos específicos, se efectuó la
modificación del alcance, se agregó: la definición de
activos de información, glosario de términos, roles y
responsabilidades, clasificación de la información,
manejo de medios.

111321 Página 12 de 12
www.umv.gov.co

Politica

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politica

Cargado por

Copyright:

Formatos disponibles

Proceso Estratégico

Proceso Estrategia y Gobierno de Código EGTI-DI-012

POLÍTICAS DE SEGURIDAD DE GESTIÓN DE ACTIVOS DE

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

El siguiente documento hace parte de la POLITICA GENERAL DE TECNOLOGIA Y

La UAERMV Unidad Administrativa Especial de Rehabilitación y Mantenimiento Vial, basará

La UAERMV, comprende la importancia de una adecuada gestión de activos de información,

 Acuerdo de Confidencialidad: Contrato suscrito entre las partes con el fin de

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

 CPU: Central Processing Unit (CPU/Unidad Central de Procesamiento) también

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

 Tercero(s): Cualquier persona natural o jurídica en calidad de proveedor, outsourcing

a) Identificar los activos de la entidad y definir las responsabilidades de protección

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

Por lo anterior, se busca minimizar riesgos en la información, asegurar la continuidad de la

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

La información puede existir en muchas formas: Impresa, manuscrita, almacenada en disco

 Empleados: Empleados públicos de planta (de carrera administrativa y los

 Infraestructura física y de TI: Edificios, oficinas, centro de datos, cuartos de

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

 Hardware de TI: Computadores de escritorio y portátiles, dispositivos de

 Servicios de autenticación y administración de usuario, aplicaciones, servidores

8. ROLES Y RESPONSABILIDADES SOBRE LOS ACTIVOS DE INFORMACIÓN

8.1. Inventario de Activos.

8.2. Propiedad de los Activos.

Encargado de inventarios de activos de información.

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

8.3. Uso Aceptable de los Activos

8.4. Devolución de los Activos.

9.1. Clasificación de la Información.

9.2. Etiquetado de la Información.

9.3. Manejo de los Activos.

En el caso de copias o reproducciones de activos de información, clasificados como

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

La eliminación o destrucción de los activos de información, sean estos documentos

10. MANEJO DE MEDIOS DE ALMACENAMIENTO

10.1. Gestión de medios de almacenamiento removibles.

10.2. Disposición de los medios de almacenamiento.

10.3. Transferencias de Medios Físicos

El traslado de activos de información debe efectuarse aplicando medidas de control

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

Calle 26 No. 57-41 Torre 8, Pisos 7 y 8 CEMSA – C.P. EGTI-DI-012

También podría gustarte