Código: TIC-ODI-SGSI-02-

10
PROCESO GESTION DE TECNOLOGÍA DE
LA INFORMACION Y LA COMUNICACIÓN Versión: 1.0

OTROS DOCUMENTOS INTERNOS

Fecha: Marzo 14 de 2019

POLÍTICAS DEL SGSI

Página 1 de 6

TABLA DE CONTENIDO

POLÍTICAS TÉCNICAS DE SEGURIDAD DE LA INFORMACIÓN ........................................................................ 3

10. POLÍTICA DE PROTECCIÓN TRAIGA SU PROPIO DISPOSITIVO (BYOD)............................................... 3
10.1 OBJETIVO .......................................................................................................................................... 3
10.2 ALCANCE ........................................................................................................................................... 3
10.3 POLÍTICA ............................................................................................................................................ 3
10.4 LINEAMIENTOS .................................................................................................................................. 3
10.5 RESPONSABILIDADES........................................................................................................................ 5
10.6 DOCUMENTOS ASOCIADOS ............................................................................................................... 6
 Código: TIC-ODI-SGSI-02-
10
PROCESO GESTION DE TECNOLOGÍA DE
LA INFORMACION Y LA COMUNICACIÓN Versión: 1.0

OTROS DOCUMENTOS INTERNOS

Fecha: Marzo 14 de 2019

POLÍTICAS DEL SGSI

Página 2 de 6

Control de versiones

Versión Fecha de Realizado Observaciones Estado

modificación

V1 2016-2018 Nayibe González. Versión inicial

V2 26/08/2019 Omar Garzón Versión inicial

V3 31/10/2019 UT PwC-CBT. Separación en documento En revisión

independiente

Ajustes generales y adición de

complementos en la política
 Código: TIC-ODI-SGSI-02-
10
PROCESO GESTION DE TECNOLOGÍA DE
LA INFORMACION Y LA COMUNICACIÓN Versión: 1.0

OTROS DOCUMENTOS INTERNOS

Fecha: Marzo 14 de 2019

POLÍTICAS DEL SGSI

Página 3 de 6

POLÍTICAS TÉCNICAS DE SEGURIDAD DE LA INFORMACIÓN

10. POLÍTICA DE PROTECCIÓN TRAIGA SU PROPIO DISPOSITIVO (BYOD)

10.1 OBJETIVO

Definir las medidas necesarias para evitar que la información reservada o pública clasificada del Ministerio del
Trabajo se vea comprometida en su integridad y confidencialidad al ser almacenada en dispositivos ajenos a la
entidad.

10.2 ALCANCE

Esta política se aplica a todos los dispositivos electrónicos personales tales como teléfonos inteligentes, tabletas
y computadores portátiles que no pertenecen la Entidad pero que son utilizados por los servidores públicos del
Ministerio del Trabajo: Empleados públicos de planta (Carrera administrativa, provisionales, funcionarios de
libre nombramiento y remoción), trabajadores oficiales, contratistas y demás personal, para acceder o
almacenar información del Ministerio del Trabajo. A estos dispositivos se les conoce comúnmente dentro del
área de seguridad informática como BYOD (Bring Your Own Device).

10.3 POLÍTICA

El Ministerio del Trabajo permite que los funcionarios, contratistas y terceros tengan acceso a la red de la
Entidad con sus equipos personales bajo estrictas condiciones de seguridad, para acceder a los sistemas
informáticos o a la información que sea requerida para el desarrollo de sus actividades laborales. La entidad
identifica y controla oportunamente los riesgos inmersos en el uso de los equipos personales, estableciendo los
límites y medidas de seguridad necesarias para evitar la afectación de la confidencialidad, integridad y
disponibilidad de la información cuando es manejada a través de estos equipos. Para el uso de los equipos
personales en modalidad BYOD se deben cumplir los siguientes lineamientos.

10.4 LINEAMIENTOS

10.4.1 Cuando se autorice el acceso de dispositivos personales de propiedad de los empleados a la red del
Ministerio del Trabajo, se debe hacer a través de una zona independiente del FW desde la cual se
pueda controlar y restringir el acceso a sistemas informáticos y redes internas de la entidad, junto con
la habilitación de funciones de auditabilidad y registro (logs) de todas las actividades realizadas desde
estos dispositivos.
 Código: TIC-ODI-SGSI-02-
10
PROCESO GESTION DE TECNOLOGÍA DE
LA INFORMACION Y LA COMUNICACIÓN Versión: 1.0

OTROS DOCUMENTOS INTERNOS

Fecha: Marzo 14 de 2019

POLÍTICAS DEL SGSI

Página 4 de 6

10.4.2 Sobre los dispositivos móviles personales tipo smartphone y tabletas autorizados en modelo BYOD,
se deben aplicar medidas de seguridad como la protección de acceso a través de contraseñas
robustas, cifrado de memoria para los repositorios en donde se almacene información del Ministerio,
el uso de antivirus y el control seguridad y reputación de las aplicaciones instaladas en dichos
dispositivos; el funcionario dueño del equipo es el responsable de garantizar que las aplicaciones
instaladas en el dispositivo son confiables y que fueron descargadas de repositorios reconocidos y
seguros.

10.4.3 El funcionario, contratista o tercero al que se autorice un BYOD debe garantizar bajo acuerdo de
confidencialidad que la información del Ministerio del Trabajo reservada o información pública
clasificada correspondiente a sus labores asignadas será almacenada de forma aislada a la
información personal que guarde en su dispositivo o en los repositorios que el Ministerio del Trabajo
le asigne.

10.4.4 Cuando se almacene información del Ministerio del Trabajo en un BYOD tipo laptop, se debe configurar
el dispositivo para que utilice un perfil de usuario específico para el almacenamiento de la Información
correspondiente al ejercicio de sus funciones.

10.4.5 Los BYOD deben obligatoriamente cifrar la información del Ministerio del Trabajo de acuerdo con la
política de controles criptográficos y lineamientos del sistema de gestión de seguridad de la
información.

10.4.6 El usuario al que se le autorice el uso de BYOD debe cumplir con la reglamentación vigente en materia
de uso de software legal. El usuario es enteramente responsable de contar con todo el software de su
dispositivo debidamente licenciado.

10.4.7 Todo dispositivo BYOD debe cumplir con todos los lineamientos de seguridad del sistema de gestión
de seguridad de la información.

10.4.8 El acceso a la información del Ministerio del Trabajo desde los BYOD debe estar sujeto a lineamientos
que garanticen la trazabilidad de las acciones realizadas sobre la misma, considerando la identificación
de la persona, proceso o sistema que realiza el acceso, acciones realizadas, instante de tiempo en
que se realizan las acciones y ubicación.

10.4.9 El Ministerio del Trabajo por medio del responsable del área o proceso al que pertenece el funcionario
a quien se autorice el uso de un dispositivo en la modalidad BYOD debe contar con la autorización del
dueño del dispositivo para instalar software de cifrado de datos y borrado seguro de datos para prevenir
la divulgación de información reservada o publica clasificada de la Entidad en caso de robo o extravío
del dispositivo.

10.4.10 El acceso de dispositivos en la modalidad BYOD se otorgará únicamente cuando el dispositivo cumpla
con todos los requisitos y condiciones de seguridad exigidos en esta política.
 Código: TIC-ODI-SGSI-02-
10
PROCESO GESTION DE TECNOLOGÍA DE
LA INFORMACION Y LA COMUNICACIÓN Versión: 1.0

OTROS DOCUMENTOS INTERNOS

Fecha: Marzo 14 de 2019

POLÍTICAS DEL SGSI

Página 5 de 6

10.4.11 Todo dispositivo BYOD debe tener las aplicaciones de software debidamente actualizadas y en
correcto funcionamiento para evitar la exposición de vulnerabilidades que una vez explotadas puedan
permitir el acceso no autorizado o el ingreso y la manipulación externa de código malicioso. El dueño
del dispositivo es responsable de suministrar y mantener al día dicho software.

10.4.12 Cualquier excepción a las políticas o lineamientos de este documento debe ser presentada, revisada
y aprobada por el comité de gobierno digital y seguridad de la información.

10.5 RESPONSABILIDADES

10.5.1 Los responsables de los procesos y áreas del Ministerio del Trabajo junto con el líder de seguridad de
la información determinarán en conjunto que procesos y bajo qué circunstancias se autorizará el uso
de dispositivos personales que no pertenecen a la entidad (BYOD) para almacenar o procesar
información institucional reservada o información pública clasificada, así como la aplicación de las
políticas de seguridad requeridas para proteger la información que se almacene y gestione en el
dispositivo personal del funcionario, contratista o tercero.

10.5.2 La oficina TIC a través del líder de seguridad definen las características y condiciones mínimas que
requieren los equipos personales para que puedan acceder a la información o recursos informáticos
del Ministerio, están características contemplan el tipo de dispositivos, el procesamiento, la memoria,
las versiones de sistema operativo, necesarias para que puedan operar con un desempeño adecuado
luego de la aplicación de medidas de seguridad como el cifrado de repositorios de almacenamiento o
uso de antivirus.

10.5.3 El grupo de soporte informático verifica que los dispositivos cumplen las características y condiciones
mínimas dispuestas en esta política, en caso contrario se debe rechazar la conexión de dicho
dispositivo.

10.5.4 Los responsables de áreas y procesos deben conocer y velar por que los lineamientos de seguridad
de los dispositivos BYOD se apliquen preservando la seguridad de la información de la entidad y
respetando el derecho fundamental a la Intimidad y privacidad del propietario del dispositivo.

10.5.5 El propietario del dispositivo debe aplicar todas las medidas de seguridad razonables que estén a su
alcance para preservar la integridad y el acceso restringido a la información que se encuentre en su
dispositivo personal.

10.5.6 En caso de robo o perdida de un dispositivo personal que ha tenido acceso a la red del Ministerio, el
propietario del mismo debe informar inmediatamente al responsable del área o proceso, al grupo de
soporte informático y a la autoridad competente.

10.5.7 Los responsables de áreas y procesos del Ministerio del Trabajo con apoyo del grupo de soporte
informático pueden realizar periódicamente revisiones a los equipos BYOD para certificar que están
cumpliendo con las políticas de seguridad de la Información de la Entidad, las revisiones preservaran
 Código: TIC-ODI-SGSI-02-
10
PROCESO GESTION DE TECNOLOGÍA DE
LA INFORMACION Y LA COMUNICACIÓN Versión: 1.0

OTROS DOCUMENTOS INTERNOS

Fecha: Marzo 14 de 2019

POLÍTICAS DEL SGSI

Página 6 de 6

el derecho fundamental a la Intimidad del usuario del BYOD y las normas sobre Protección de Datos
de carácter personal.

10.6 DOCUMENTOS ASOCIADOS

• Matriz de roles y responsabilidades de seguridad y privacidad de la información.

• Política sobre uso de controles criptográficos y gestión de llaves.