SI-mp-01 Manual de seguridad de la Información COPNIA.pdf

MANUAL DE SEGURIDAD DE LA INFORMACIÓN DEL COPNIA

SI-mp-01

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Vigente a partir de Octubre 2014 3a. Actualización Pág.2/59

TABLA DE CONTENIDO

INTRODUCCIÓN ................................................... ............................................................................. ................................................. ....................... 4 1. CONTEXTO DE LA ENTIDAD .................................................. .......................................................................... ........................ 5 1.1.

................................. 5 CONOCIMIENTO DE LA ENTIDAD Y SU CONTEXTO.................................

1.1.1.

MISIÓN ................................................ ........................................................................... ..................................................... ............................ 5

1.1.2.

VISIÓN ................................................. ........................................................................... ..................................................... ............................. 5

1.1.3.

PRINCIPIOS......................................... PRINCIPIOS.................................................................... .................................................... ........................... .. 5

2. ALCANCE

DEL

SISTEMA

DE

GESTIÓN

DE

SEGURIDAD

DE

LA

........................................................................... ..................................................... ............................. 6 INFORMACIÓN ................................................. 3.

............................................................................ ............................................. ................... 6 NORMATIVIDAD..................................................

4.

............................................................................. ............................................. ................... 6 DEFINICIONES ...................................................

5.

POLÍTICA INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN ............ 8

5.1.

ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE SEGURIDAD

........................................................................................... ................... 9 DE LA INFORMACIÓN. ........................................................................ 5.2.

OTRAS CONSIDERACIONES DE LA POLÍTICA DE SEGURIDAD DE LA

........................................................................... .................................................... .......................... 10 INFORMACIÓN ................................................. 5.3.

.......................... 10 OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN..........................

5.4.

POLÍTICAS ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN INFORMACIÓN ....... 11

5.4.1.

................................. 11 POLÍTICA DE USO DE DISPOSITIVOS MÓVILES .................................

5.4.2.

................................................................ .... 14 POLÍTICA DE TELETRABAJO .............................................................

5.4.3.

POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN ................ 18

5.4.4.

......................................... 24 POLÍTICAS DE LLAVES CRIPTOGRÁFICAS ..........................................

SI-mp-01



5.4.5.

POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA .................... 27

5.4.6.

.................................................. .... 30 POLÍTICA DE GESTIÓN DE CAMBIOS ...............................................

5.4.7.

POLÍTICA DE GENERACIÓN Y RESTAURACIÓN DE COPIAS DE

............................................................................. .................................................... .............................. .... 33 RESPALDO ................................................... 5.4.8.

........................... 35 POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN ............................

5.4.9.

POLÍTICA DE DESARROLLO SEGURO DE SOFTWARE ...................... 39

5.4.10.

POLÍTICA

DE

SEGURIDAD

DE

LA

INFORMACIÓN

PARA

................................................................. ........ 41 RELACIONES CON PROVEEDORES .......................................................... 5.4.11.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES ................... 44

5.4.12.

...................................................... .... 47 POLÍTICA DE USO DE INTERNET ..................................................

5.4.13.

............................. 50 POLÍTICA DE USO DE CORREO ELECTRÓNICO ..............................

5.4.14.

.................................... 53 POLÍTICA DE ACCESO Y REDES SOCIALES SOCI ALES .....................................

5.4.15.

................................... 55 POLÍTICA ACTUALIZACIÓN DE HARDWARE ....................................

5.4.16.

........................ 57 POLÍTICA DE GESTION DE MEDIOS REMOVIBLES REMOVIBLES .........................

........................................................................... .................................................... .............................. .... 58 6. ANEXOS ................................................. 7.

........................................................................... .............................. .... 59 CONTROL DE CAMBIOS .................................................

SI-mp-01



INTRODUCCIÓN El Manual Seguridad de la Información, tiene como fin primordial brindar las herramientas apropiadas para dar cumplimiento a los principios integridad, disponibilidad y confiabilidad de la información, por medio de las políticas de seguridad de la información, en donde se describen las responsabilidades de los usuarios, custodios y propietarios de la información, al igual que objetivos de protección que permitan reducir el impacto en caso tal que ocurra un incidente de seguridad de la información. La implementación del presente manual tiene como fin minimizar las vulnerabilidades y amenazas accidentales o intencionales que puedan facilitar la divulgación, modificación, destrucción o uso ilícito o indebido de los activos de información, y al mismo tiempo, son lineamientos de uso para las áreas responsables de los servicios, activos y sistemas de la Entidad. Dentro del presente documento, se describe las políticas específicas de seguridad que deberán conocer y cumplir por todos los funcionarios y terceras partes del COPNIA que accedan a los activos de la información y sistemas de procesamiento de información. Las mismas se encuentran principalmente orientadas a: 1) Generar controles para proteger los activos de información donde se procesa, opera, almacena o transmite información sensible, 2) Generar conciencia en los usuarios frente al uso responsable de los dispositivos tecnológicos, servicios y activos de información, y 3) Realizar una gestión adecuada que permita minimizar los riesgos ante una eventual pérdida de información.

SI-mp-01



1. CONTEXTO DE LA ENTIDAD CONOCIMIENTO DE LA ENTIDAD Y SU CONTEXTO

1.1.

1.1.1. MISIÓN El COPNIA, es una autoridad pública encargada de la inspección, control y vigilancia del ejercicio de la ingeniería, sus profesiones afines y auxiliare s, a través tra vés de la expedición del Registro Profesional respectivo y que actúa como tribunal de ética de acuerdo con los parámetros establecidos en la ley, para proteger a la sociedad del riesgo que conlleva el eventual mal ejercicio de las profesiones encomendadas.

1.1.2. VISIÓN Ser reconocido en Colombia como entidad pública modelo y líder en los procesos de inspección, control y vigilancia de los profesionales de la ingeniería, profesionales afines y auxiliares mejorando día a día la calidad del servicio a las diferentes partes interesadas.

1.1.3. PRINCIPIOS Adicional a los principios pri ncipios que rigen la función pública, definidos en la Constitución Política y legislación aplicable, el COPNIA se identifica con los siguientes principios: 

  

       

Debido proceso Igualdad Imparcialidad Buena fe Moralidad Participación Responsabilidad, Transparencia Publicidad Coordinación Eficacia Economía

SI-mp-01



Celeridad



ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

2.

El Consejo Profesional Nacional de Ingeniería - COPNIA a través de su Sistema de Gestión de Seguridad de la Información (SGSI) dicta el cumplimiento de disposiciones que tienen con objeto gestionar adecuadamente la seguridad de la información, la gestión de activos, la gestión de riesgos y Continuidad del negocio1, por tal motivo deberán ser conocida y cumplida por todo el personal (funcionarios, colaboradores y terceros) que accedan a la información de la entidad, sistemas de información e instalaciones físicas del COPNIA, tanto en su Sede Nacional y en los Seccionales. El SGSI se encuentra basado en el marco de lo establecido en la normatividad Colombiana vigente, Norma Técnica Colombiana ISO 27001:2013 y la misión institucional del COPNIA. NORMATIVIDAD

3.

El Sistema de Gestión Gestión de Seguridad de la Información Información del COPNIA, se encuentra alineado al cumplimiento de la Normatividad Legal Vigente Colombiana, la cual se encuentra descrita en el Normograma Institucional. DEFINICIONES

4. 

SGSI: Sistema de Gestión de Seguridad de la Información Es parte del sistema gerencial general, basado en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

1 ISO

22301 - Continuidad del Negocio: Negocio: capacidad de la entidad para continuar la entrega de productos o servicios en los niveles predefinidos aceptables después de ocurrido un incidente.

SI-mp-01





Oficial de seguridad Responsable de Seguridad Seguridad de la Información Información o delegado: Es Es responsable del diseño, desarrollo, implantación, mantenimiento y verificación del correcto funcionamiento del Modelo de Seguridad de la Información en línea con los requerimientos de la entidad.



Seguridad Informática Procesos, actividades, mecanismos que consideran las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad.



Seguridad de la información Son todos los controles técnicos y metodológicos que permiten mitigar los riesgos a los que se expone la información.



Confidencialidad La propiedad que esa información esté disponible y no sea divulgada a personas o procesos no autorizados.



Integridad La propiedad de salvaguardar la exactitud e integridad de los activos.



Disponibilidad La propiedad de estar disponible y utilizable cuando lo requiera una entidad autorizada.



Activo Cualquier cosa que tenga valor para la organización.

SI-mp-01





Amenaza Es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir daño (material o inmaterial) sobre los elementos (activos, recursos) de un sistema.



Vulnerabilidad Son la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño.



Activos de información Es todo aquello que las entidades consideran importante o de alta validez para la misma ya que puede contener importante información como lo puede ser Bases de Datos con usuarios, contraseñas, números de cuentas, etc.

5.

POLÍTICA INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN

El COPNIA para asegurar la información ha adoptado buenas prácticas que buscan conservar la integridad, disponibilidad y confidencialidad de la información y de los sistemas de procesamiento de información esenciales para la operatividad de la Entidad. Lo cual se logra mediante el liderazgo y compromiso de la Alta Dirección y con la participación activa de todos los funcionarios, lo que permite una eficacia y eficiencia en el cumplimiento de los lineamientos y requisitos de seguridad, así como el desarrollo de estrategias de mejora mejora continua, conciencia de seguridad seguridad en los funcionarios durante el desarrollo de sus actividades y una respuesta oportuna ante incidentes de seguridad.

SI-mp-01


5.1.


ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

El Sistema de Gestión de Seguridad de la Información del COPNIA, tiene como objetivo principal, establecer los lineamientos, procedimientos y buenas prácticas para conservar la integridad, confidencialidad y disponibilidad de la información, características esenciales de Seguridad. Por tal motivo, el COPNIA, para la prestación de sus servicios y conforme los requisitos y funciones determinados por el Estado y la satisfacción de las partes interesadas (usuarios, entidades de control, sociedad y terceras partes), busca por medio del liderazgo y compromiso de la Alta Dirección y su equipo de trabajo, asegurar la mejora continua de la eficacia, eficiencia y efectividad del sistema de gestión de seguridad de la información. Para tal fin, la Alta Dirección deberá apoyar los siguientes aspectos: 









Asegurar que los objetivos objetivos de la seguridad de la la información se encuentren alineados con los objetivos del COPNIA. Revisar y aprobar periódicamente periódicamente la política de seguridad de la información información del COPNIA. Velar porque las acciones de seguridad de la información información sean ejecutadas de acuerdo a las políticas y lineamientos establecidos. Las mismas serán monitoreadas, reportadas y registradas en caso tal que exista una violación a las políticas y/o controles. Proporcionar los recursos necesarios para el desarrollo e implementación de iniciativas de seguridad de la información. Conformar un Comité de Seguridad Seguridad de la Información, Información, que será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información del COPNIA.

SI-mp-01


5.2.


OTRAS CONSIDERACIONES DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

La Política de seguridad de la información, expresada en el presente manual, especifica las directrices que deberán ser cumplidas por los funcionarios y terceras partes del Consejo Profesional Nacional de Ingeniería – COPNIA con el fin de asegurar un adecuado nivel de integridad, disponibilidad, confidencialidad de la información. Esta política es aprobada por la Alta Dirección del COPNIA mediante acto administrativo, será comunicada a todos los funcionarios y terceras partes para su divulgación y cumplimiento. Con el fin dar continuidad, pertinencia y eficacia a las políticas descritas en el presente manual, las mismas serán revisadas cada año, o cuando se produzcan cambios significativos o posibles aspectos que puedan influir de forma considerable en la misión de la Entidad conforme el procedimiento de verificación de las políticas y procedimientos.

5.3.

OBJETIVOS DE LA SEGURIDAD DE LA L A INFORMACIÓN INFORMACIÓN

El objetivo objetivo principal de la seguridad de la la información información es mantener un ambiente razonablemente seguro alineado a la misión de la Entidad, que permita proteger los activos de información que componen la estrategia del COPNIA, así como el uso adecuado de los recursos y gestión del riesgo, con el fin de preservar la disponibilidad, integridad y confidencialidad de la información, y el aseguramiento de la continuidad del negocio. Como objetivos del SGSI se plantean los siguientes: 



Cumplir con la política y principios de seguridad de la información, con el fin de administrar adecuadamente los riesgos. Asegurar la información y los sistemas de información información sensible, contra contra la divulgación, modificación, apropiación y/o uso no autorizado que comprometan los servicios de la Entidad.

SI-mp-01








5.4.


Concienciar a los funcionarios de los beneficios frente a las buenas prácticas de seguridad de la información. Garantizar la continuidad del Negocio, los servicios y recursos esenciales, frente a la ocurrencia de un incidente de seguridad de la información, que pueda afectar la operatividad del COPNIA. Brindar elementos de trazabilidad de las actividades desarrolladas por el COPNIA, dentro de los eventos que puedan comprometer la seguridad de los activos de información o ante la presencia de un incidente de seguridad de la información. POLÍTICAS ESPECÍFICAS DE SEGURIDAD DE LA INFORMACIÓN

5.4.1. POLÍTICA DE USO DE DISPOSITIVOS MÓVILES ALCANCE Garantizar la seguridad de la información cuando se utilizan dispositivos móviles.

OBJETIVO Adoptar medidas de seguridad apropiadas para la protección de la información contra los riesgos introducidos por el uso de los dispositivos móviles.

DETALLE Teniendo en cuenta los riesgos en el uso de dispositivos móviles (computadores portátiles, tarjetas inteligentes, teléfonos celulares, entre otros), el COPNIA implementará mecanismos de protección física, claves de acceso, cifrado de información, copias de respaldo, instalación de antivirus y autenticación en la conexión remota a la red de la Entidad. Así mismo, se realizarán campañas de sensibilización a los usuarios para concienciarlos y asesorarlos acerca de las buenas prácticas de seguridad, equipos desatendidos y aseguramiento de los dispositivos.

SI-mp-01



Condiciones obligatorias 













Se deberá tener tener especial cuidado al al utilizar dispositivos móviles en lugares públicos, salas de reuniones u otros entornos sin la debida protección por parte de la Entidad. Se deberán proteger física y lógicamente los dispositivos móviles para evitar el hurto, acceso o la divulgación no autorizada de la información, cifrar la información en caso de ser necesario y tener copias de respaldo. se deberá bloquear los servicios de conexión y servicios compartidos cuando no se estén usando. Los dispositivos móviles del nivel directivo y sistemas, solamente podrán conectarse a la red interna del COPNIA, pero en caso de detectarse alguna actividad no autorizada, se restringirá el uso del servicio. Existirá una red VLAN segmentada especial que los contratistas puedan acceder a internet y no a los datos de red de datos productiva de la entidad. La entidad deberá realizar la segregación de redes de comunicación, para mantener la seguridad de la información. Una vez los funcionarios hayan culminado culminado su relación laboral con la entidad, el Área de Sistemas con la información suministrada del Área de Talento humano denegará el acceso a la información o sistemas de información accedidos desde los dispositivos móviles. En caso tal se presente el el extravió extravió o hurto de un dispositivo móvil que contengan información crítica o sensible de la entidad, el funcionario será el responsable de reportar de forma inmediata al Responsable de Seguridad de la Información, quien identificará conforme la información contenida, las medidas de seguridad adecuadas para la protección de la información. Adicionalmente deberá seguir seguir el procedimiento establecido establecido en el caso de siniestros y reclamaciones ante la compañía de seguros descrito en el manual de manejo de bienes AB-mb-01.

SI-mp-01



USOS NO AUTORIZADOS Los dispositivos móviles que manejen o administren información confidencial o crítica de la entidad, no se podrán conectar a una red pública, y deberán ser transportados y usados con cautela para evitar el daño o manipulación no autorizada de la información, así mismo, será necesario evitar dejar el equipo desatendido.



No se deberán realizar instalaciones de aplicaciones de dudosa procedencia que puedan afectar la confidencialidad, integridad y/o disponibilidad de la información almacenada o transmitida por el dispositivo.





Está prohibido almacenar almacenar y transferir información sensible de la Entidad Entidad en dispositivos móviles personales de los usuarios, y aquellos dispositivos que sean de propiedad de la entidad deberán garantizar la debida protección de la información contenida en ellos.

RESPONSABILIDADES 





Todos los funcionarios, colaboradores colaboradores y terceros que tengan acceso a la información por medio de dispositivos móviles deberán cumplir la presente política. El Área de Sistemas, deberá adoptar las medidas medidas y mecanismos mecanismos de seguridad adecuados para proteger la seguridad almacenada y transmitida en los dispositivos móviles de la Entidad. El Responsable Responsable de Seguridad de de la Información Información o delegado en coordinación con el Área de Talento Humano deberán realizar capacitaciones periódicas a todo el personal del COPNIA para el uso adecuado de los dispositivos móviles.

SI-mp-01



PROCEDIMIENTOS POR DOMINIO  

 

Procedimiento de Clasificación y etiquetado de Información. Procedimiento de creación, modificación, modificación, cancelación de cuentas de Usuario y privilegios. Procedimiento de autorización de instalación de Software. Procedimiento Mantenimiento de Equipos.

CONTROLES POR DOMINIO 





Antes de realizar actividades que involucren el uso de dispositivos dispositivos móviles, móviles, se deberá identificar los requisitos mínimos de seguridad, la sensibilidad de la información y las vulnerabilidades y amenazas existentes. Para la transmisión de información de la Entidad Entidad haciendo uso de dispositivos móviles, se deberá establecer canales de comunicación segura para preservar la integridad y confidencialidad de la información. Capacitar periódicamente al personal de la Entidad Entidad en buenas prácticas prácticas de seguridad en el uso de dispositivos móviles.

5.4.2. POLÍTICA DE TELETRABAJO ALCANCE Garantizar la seguridad de la información en las actividades correspondientes al teletrabajo.

OBJETIVO Establecer medidas de seguridad adecuadas para proteger la información contra los riesgos identificados antes, durante y después de las actividades correspondientes al teletrabajo.

SI-mp-01



DETALLE El Consejo Profesional Nacional de Ingeniería, sólo autorizará las actividades de teletrabajo una vez se establezcan los controles de seguridad apropiados, y que estos a su vez cumplan con las políticas de seguridad de la información de la Entidad. El lugar en el cual se llevarán a cabo actividades de teletrabajo, deberá contar con una protección adecuada contra hurto de equipo y/o información, divulgación no autorizada de información, acceso remoto no autorizado a los sistemas internos de la entidad o el mal uso de los medios y servicios.

Condiciones Obligatorias 







Se preverá que la seguridad física física de las instalaciones en donde se lleven a cabo las actividades de teletrabajo, resguarde adecuadamente los equipos y documentos requeridos para llevar a cabo las actividades laborales, así como los mecanismos de seguridad identificados para conservar la integridad, disponibilidad y confidencialidad de la información. Antes de llevar a cabo actividades actividades de teletrabajo, teletrabajo, se realizará un análisis análisis de riesgos relacionados al acceso no autorizado, redes domésticas, a la información o de los recursos por parte de otras personas que comparten el mismo espacio (terceras partes), con el fin de buscar los mecanismos adecuados de protección, requisitos y restricciones en la configuración de los servicios por parte de la Entidad. Los equipos equipos utilizados utilizados para el el teletrabajo, teletrabajo, deberán contar como como mínimo mínimo con la protección de antivirus, requisitos de barreras firewall como parte de la solución de seguridad incluida en el antivirus y demás soluciones requeridas para salvaguardar adecuadamente la información de la Entidad. Se definirán con antelación entre la Entidad Entidad y el Funcionario, Funcionario, el trabajo a realizar, la información a acceder, así como el horario, acuerdos de confidencialidad de la información, sistemas y servicios de la entidad, para los cuales el trabajador tendrá acceso.

SI-mp-01















La Entidad deberá disponer disponer de soporte y mantenimiento técnico, para evitar evitar que terceros no autorizados accedan a la información. En lo posible, la Entidad firmarán firmarán pólizas de seguros, para mitigar mitigar los riesgos existentes por pérdida o daño de los equipos suministrados a los funcionarios que ejecutan labores de teletrabajo. En caso de presentarse un incidente de seguridad, se deberá llevar llevar a cabo el Procedimiento de Recuperación en caso de interrupción del servicio, con el fin de salvaguardar la información y permitir la continuidad del negocio. El Área de Sistemas realizará auditorías auditorías y monitoreos periódico de seguridad a los equipos, redes y servicios utilizados durante el desarrollo de las actividades de teletrabajo, con el fin de identificar posibles vulnerabilidades o amenazas existentes. Se revocarán los derechos de acceso a la información, sistemas de procesamiento de información y servicios, así mismo, se realizará la devolución de los equipos y/o dispositivos al finalizar la relación laboral o cambio de roles o responsabilidades al interior de la Entidad. Cada funcionario tienen la obligación de informar informar al Área de Sistemas Sistemas cuando se registre o detecte alguna conexión con su usuario, que no haya sido realizada por el funcionario.




Todos los funcionarios, colaboradores y terceros que tengan tengan acceso a la información y sistemas de información en el desarrollo de actividades correspondientes al teletrabajo deberán cumplir la presente política. El Responsable de seguridad de la información o delegado en coordinación con el Área de Talento Humano deberán realizar capacitaciones periódicas a todo el personal del COPNIA para el uso adecuado de los recursos

SI-mp-01



tecnológicos y las responsabilidades de los funcionarios frente a la seguridad de la información. 

El Uso adecuado de los mecanismos mecanismos de identificación y autenticación de los sistemas de información, generando contraseñas con un nivel de seguridad adecuado, así como el cambio constante de la misma.

SEGUIMIENTO Y CONTROL (MONITOREO) 





Se implementarán sistemas de monitoreo monitoreo que permita identificar violaciones en la autenticación de los usuarios, monitoreando los logs de conexión remota para establecer intentos de conexiones fallidas de usuarios. Se implementarán mecanismos mecanismos de autocontrol que permitan a los usuarios identificar cuando su cuenta fue utilizada (últimos accesos) evitando así el uso de cuentas no autorizadas, con el fin de garantizar la confidencialidad de la información. Se deberá monitorear el acceso y/o modificación modificación no autorizada a la información o sistemas de información de la Entidad.

PROCEDIMIENTOS POR DOMINIO   



Procedimiento de Recuperación en caso de interrupción del servicio. Procedimiento de Clasificación y Etiquetado de Información. Procedimiento de creación, creación, modificación modificación y cancelación de cuentas de Usuario y privilegios. Procedimiento de autorización de instalación de Software.


Se deberá emplear métodos apropiados de autenticación para controlar el acceso de usuarios remotos a la información y sistemas de información información de la Entidad.

SI-mp-01









Se establecerán canales de comunicación seguros para los funcionarios funcionarios de la Entidad autorizados y bloquear otros canales de comunicación, para preservar la integridad y confidencialidad de la información. Se deberá contar con mecanismos de seguridad (firewall, antivirus, antivirus, etc.), que prevengan el acceso o modificación no autorizada a la información o sistemas de información de la Entidad. Se realizará capacitación periódica al personal personal de la Entidad en buenas prácticas de seguridad en el Teletrabajo, con el apoyo del Área de Talento Humano.

ESTÁNDARES DE REFERENCIA OHSAS 18001:2007 - Sistema de Gestión en Seguridad y Salud ocupacional, enfocada al teletrabajo en las organizaciones 5.4.3. POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN ALCANCE Controlar el acceso de la información y restringirla sólo al personal autorizado conforme el perfil de acceso.

OBJETIVO Generar mecanismos para controlar el acceso a la información, medios de procesamiento y sistemas de información alineados a la misión de la Entidad.

DETALLE Esta política tiene como fin controlar el acceso a los sistemas de información del COPNIA, teniendo en cuenta mecanismos de protección para la red, datos y la información, así como la implementación de perímetros de seguridad para la protección de áreas con instalaciones de procesamiento de información, suministro de energía eléctrica, aire acondicionado, y cualquier otra área considerada crítica para la operatividad de la Entidad.

SI-mp-01



El emplazamiento y la fortaleza de cada barrera b arrera estarán definidas d efinidas por po r el Responsable o encargado de seguridad de la Información con el asesoramiento del Responsable de Seguridad física, de acuerdo al resultado de la evaluación de riesgos efectuada. El control de acceso a la información deberá estar previsto para controlar el acceso tanto lógico como físico y se deberán considerar en conjunto.










Los funcionarios y contratistas del COPNIA COPNIA son responsables de la información que manejan y deberán cumplir los lineamientos establecidos por la Entidad, con el fin de evitar pérdidas, accesos no autorizados, exposición y utilización indebida de la información. Así mismo no deberán suministrar información de la Entidad a ningún ente o persona externa sin la debida autorización. Todo funcionario que utilice utilice la información y los sistemas sistemas de información del COPNIA, tiene la responsabilidad de velar por la integridad, confidencialidad y disponibilidad de la información, especialmente si dicha información está clasificada como confidencial y/o crítica. Todos los funcionarios funcionarios y contratistas que laboran para el COPNIA tendrán acceso sólo a la información necesaria para el desarrollo de sus labores. El área de sistemas del COPNIA y los responsables de de la información y los sistemas de información deberán autorizar sólo el acceso de acuerdo con el nivel de autorización asignado. Las claves de acceso compartidas asignadas a los funcionarios funcionarios de los sistemas de información de la Entidad tendrán únicamente carácter de consulta, estas no permiten modificación de la información, se modificarán periódicamente o cuando se requiera y exclusivamente se utilizarán para la gestión de la Entidad. Todos los accesos y claves de usuario para el uso de los sistemas de información del COPNIA, deberán deb erán ser desactivados o cambiados después

SI-mp-01



de que un funcionario, supernumerario o proveedor cese de prestar sus servicios al COPNIA, dicha información será emitida por el Área de Talento Humano al Área de Sistemas, una vez el funcionario culmine sus actividades laborales. 











Los responsables de los sistemas de información, mediante los registros de los sistemas realizarán seguimiento de los accesos y cambios realizados por los usuarios, con el objeto de minimizar el riesgo de pérdida, integridad o confidencialidad de la información. El acceso a la información información y los sistemas sistemas de información deberá ser ser consistente con el procedimiento de clasificación y etiquetado de la información, y así mismo, el acceso estará otorgado con respecto al rol y responsabilidad de cada uno de los funcionarios dentro de la entidad, basándose en la premisa "En general, todo está prohibido, a menos que esté expresamente permitido". permitido" . Los funcionarios del COPNIA, terceras personas y contratistas que tengan acceso a la información deberán firmar un acuerdo de confidencialidad de la información, en donde se establezcan las obligaciones y responsabilidades contractuales relacionadas con la protección del acceso a los datos o los servicios y sistemas de información. Se establecerán requisitos requisitos para la autorización formal de las solicitudes de acceso, así como para la revisión periódica de los controles de acceso y el retiro de los derechos de acceso a los usuarios, conforme el procedimiento de creación, modificación y cancelación de cuentas cuentas de usuario y privilegios. Se deberán atender los requerimientos establecidos establecidos de los lineamientos de Gobierno en Línea, respecto a la publicación de información de la entidad en su página web. Cuando se identifique la necesidad de trabajar con partes externas y se necesite acceso a la información y/o sistemas de información, se deberá

SI-mp-01



realizar una evaluación de riesgos para determinar las implicaciones de seguridad y los requisitos de control. 









Los visitantes de las oficinas del COPNIA deberán ser escoltados por un funcionario quien autorizó el ingreso durante el tiempo de permanencia en la Entidad. Todos los visitantes sin excepción, deberán ser escoltados incluyendo clientes, proveedores, antiguos empleados, miembros de la familia del funcionario, etc. Los centros de cómputo o áreas consideradas críticas, deberán tener acceso restringido y por tal motivo, cualquier persona que requiera ingresar al área deberá registrar el motivo de ingreso y estar acompañada permanentemente de un funcionario del COPNIA. En las instalaciones de la entidad deberán existir elementos de control de incendio, inundación, alarmas, circuito cerrado de televisión, televisión, y de igual forma deberán estar demarcados como como zona restringida. La oficinas deben contar con los mecanismos de control de acceso tales como vigilancia privada, identificación de visitantes, con guardia 7x24x365, y redundancia de recursos y alta disponibilidad N+1 para las sedes con más de 4 funcionarios de la entidad. Los equipos de cómputo (Computadores, servidores, impresoras, equipos de comunicación, entre otros) no n o deberán moverse o reubicarse sin la aprobación previa del Profesional de Gestión Administrativa o el Responsable de los inventarios.




Todos los funcionarios, colaboradores y terceros que tengan acceso a la información y sistemas de información deberán d eberán cumplir la presente política. El Responsable Responsable de Seguridad de la Información Información o delegado en coordinación con el Área de Talento Humano deberá realizar capacitaciones periódicas a todo el personal del COPNIA para el uso adecuado de los recursos

SI-mp-01



tecnológicos y las responsabilidades de los funcionarios frente a la seguridad de la información. 





Los usuarios son responsables por el cumplimiento de buenas prácticas de seguridad en la selección y el uso u so de contraseñas. Los funcionarios funcionarios se comprometen a NO utilizar la red regulada regulada de de energía (tomacorrientes naranja o UPS) para conectar equipos eléctricos diferentes a su computador o demás demás equipos autorizados por los administradores de la red. Todos los funcionarios funcionarios y/o contratistas serán responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.


Procedimiento de clasificado y etiquetado de la información. procedimiento de creación, modificación modificación y cancelación de cuentas de usuario usuario y privilegios.

CONTROLES POR DOMINIO Controles Físicos: Las áreas críticas se protegerán mediante el empleo de controles de acceso físico determinados por el Responsable de Seguridad junto con el Responsable del Área de Sistemas, Sistemas, a fin de permitir el acceso sólo al al personal autorizado. Estos controles tendrán, por lo menos, las siguientes características: 

Supervisar o inspeccionar a los visitantes visitantes a áreas críticas y registrar la fecha y hora de ingreso y egreso. Sólo se permitirá el acceso para propósitos específicos y autorizados.

SI-mp-01









Controlar y limitar el acceso a la información información y sistemas de información, exclusivamente a las personas autorizadas, utilizando controles de autenticación y monitoreo de los registros de acceso. El COPNIA implementará el uso de identificación visible para los funcionarios y se concienciará al personal acerca de comunicar la presencia de desconocidos no escoltados o cualquier persona que no exhiba una identificación visible. Se revisará y actualizará periódicamente la lista de funcionarios funcionarios autorizados para acceder a las áreas críticas, los cuales serán generadas y firmadas por el Responsable del área.

Control de Acceso Lógico 









Los usuarios sólo tendrán tendrán acceso a los servicios para cuyo uso están específicamente autorizados conforme el procedimiento de creación, modificación y cancelación de usuario y privilegios. El Área de Sistemas del COPNIA, velará por la protección del acceso lógico y físico a los puertos de configuración y diagnóstico de los equipos de red y demás que sean considerados como críticos. Se implementarán controles de enrutamiento en las redes con el fin fin de asegurar que las conexiones entre computadores y los flujos de información, correspondan los lineamientos definidos por la entidad. Todos los usuarios tendrán un identificador único (ID del usuario) para su uso personal, y se elegirán técnicas o mecanismos apropiados de autenticación para comprobar la identidad del usuario. Se restringirán los tiempos tiempos de conexión en la información y/o sistemas de información conforme su clasificación.

SI-mp-01





Todos los sistemas sistemas automáticos que operen y administren administren información sensible, valiosa o crítica para la Entidad como son los aplicativos en producción, sistemas operativos, sistemas de bases de datos y telecomunicaciones deben generar un libro con la bitácora de auditoría de la tareas principales (adición, modificación, borrado). El libro de bitácora de auditoría debe proporcionar suficiente información para apoyar el monitoreo, control y auditorías.

ESTÁNDARES DE REFERENCIA ISO 30300: Información y documentación. Sistemas de gestión para los documentos. LLAVES CRIPTOGRÁFICAS CR IPTOGRÁFICAS 5.4.4. POLÍTICAS DE LLAVES

ALCANCE Proteger la confidencialidad, autenticidad o integridad de la información sensible del COPNIA a través de controles criptográficos

OBJETIVO Establecer los controles criptográficos para generar una adecuada protección de la información sensible o confidencial co nfidencial del COPNIA.

DETALLE Condiciones Obligatorias Es responsabilidad del área de Sistemas definir los algoritmos de cifrado más apropiados para ser utilizados, con base en el análisis de riesgos y considerando los criterios de confidencialidad, integridad, autenticidad y no repudio, así como las tecnologías de cifrado disponibles y costos relacionados. El uso de herramientas de cifrado, sólo será autorizado por el Responsable de Seguridad de la Información y/o persona delegada. La información que contenga contraseñas de usuario o claves para el control de acceso a los sistemas de información catalogados como sensibles no podrán ser

SI-mp-01



almacenadas en texto plano y deberán ser cifradas conforme los controles establecidos. Dentro de los controles identificados con respecto al uso de las llaves criptográficas, los funcionarios del COPNIA deberán tener presente: 











Se permite el uso de certificados certificados digitales como mecanismo mecanismo de seguridad, autenticación e identidad electrónica, para la firma electrónica de los documentos transmitidos o en los accesos al sistema de gestión documental de la entidad. Esto se regirá de acuerdo con los lineamientos establecidos en la Ley 527 de 1999 y sus decretos reglamentarios y complementarios. El Responsable de Seguridad Seguridad de la Información Información y/o la persona delegada, delegada , será la persona encargada de la activación, recepción y la distribución de las llaves criptográficas a los usuarios autorizados y velará por que la llave encuentre activa en el periodo de tiempo previsto. Los responsables de las llaves criptográficas deberán almacenar almacenar las llaves de de forma segura y se comprometerán a restringir el acceso sólo a los usuarios autorizados. De igual forma, una copia de las llaves deberá ser almacenada en sitio seguro por el Responsable de Seguridad de la Información o persona delegada para su recuperación en caso tal que se extravíe la misma. El cambio o actualización de las llaves, será solicitado por el funcionario funcionario responsable, dicha solicitud será autorizada y tramitada por el Responsable de Seguridad de la Información o persona delegada, quien será el encargado de realizar las actividades correspondientes. correspondientes . Las llaves serán revocadas por el Responsable Responsable de Seguridad de la Información o persona delegada cuando las mismas se han puesto en peligro o cuando el funcionario culmine su relación laboral con el COPNIA Las personas que lleven a cabo procesos de cifrado y descifrado de información, en lo posible, deberán utilizar equipos que que no estén conectados a redes públicas o externas o tengan servicios de Internet.

SI-mp-01









Todos los textos de los documentos documentos que se han cifrado y descifrado, en en caso que se requieran deberán ser almacenados y tratados con las medidas de seguridad conforme al grado de clasificación de la información. De igual forma, para su proceso de eliminación eliminación se deberá usar un método de borrado seguro. Para todas y cada una de las actividades pertenecientes a la administración, administración, gestión y eliminación de las llaves criptográficas, se deberá mantener registros de las actividades realizadas. Los acuerdos o contratos de servicio con los proveedores de servicios de criptografía o autoridad de certificación; deberán establecer responsabilidades, confiabilidad de los servicios y tiempos de respuesta.




El Responsable de Seguridad de la Información o delegado, definirán definirán las fechas de activación y desactivación de las llaves, con el fin que sólo sean utilizadas en el periodo de tiempo establecido y coordinar el proceso de eliminación segura de las mismas. Los usuarios de las llaves criptográficas, deberán ser responsables de velar por la disponibilidad, integridad y confidencialidad de las claves y de la información que se cifre o descifre con ellas.

PROCEDIMIENTOS POR DOMINIO 

Procedimiento de clasificación y etiquetado de información.


Se definirán las fechas de activación y desactivación desactivación de las claves para que sólo se puedan utilizar durante un período de tiempo limitado. El período de tiempo se establecerá conforme las circunstancias de uso y el resultado del análisis de riesgos.

SI-mp-01







Las llaves criptográficas deberán ser emitidas emitidas por una autoridad de certificación reconocida y se deberán establecer controles y procedimientos para proporcionar el grado de confianza requerido. Los contenidos de los acuerdos o contratos de nivel de servicio con los proveedores de servicios de criptografía; deberá abarcar los temas de responsabilidad, confiabilidad de los servicios y tiempos de respuesta.

ESTÁNDARES DE REFERENCIA ISO/IEC 11770 - Information technology -- Security techniques -- Key management ISO/IEC 9796 - Information technology — Security techniques — Digital signature schemes giving message recovery ISO/IEC 14888 - Information technology — Security techniques — Digital signatures with appendix 5.4.5. POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA ALCANCE Preservar la seguridad de la información del COPNIA por medio de buenas prácticas en el manejo de documentos, medios de almacenamiento removibles y pantalla de los dispositivos de procesamiento de información.

OBJETIVO Generar controles para que los funcionarios del COPNIA conserven el escritorio limpio de documentos, medios de almacenamiento removibles y pantalla limpia en sus dispositivos de almacenamiento y procesamiento de información.

SI-mp-01



DETALLE Condiciones Obligatorias Para el aseguramiento de la información sensible de la Entidad, los funcionarios deberán adoptar buenas prácticas al momento de manejar y administrar la información del COPNIA, teniendo en cuenta los niveles de clasificación de la información, los riesgos identificados. Para ello se deberá tener en cuenta: 











No deberán permanecer a la vista documentos en papel, dispositivos de almacenamiento (CDs, memorias USB, etc.) Sobre los escritorios u oficinas, con el fin de evitar riesgos de acceso no autorizado, pérdida y daño de la información durante el horario laboral y fuera del mismo. La información información sensible o crítica, crítica, tanto en medios medios físicos como como digitales deberá ser guardada bajo llave cuando no está siendo utilizada, especialmente cuando la oficina se encuentre vacía. Al momento momento de dejar desatendidas los equipos de cómputo o terminales deberán dejarse protegidas bloqueando la cuenta de usuario o mecanismos de autenticación. Los lugares en donde se encuentren encuentren ubicados los puntos de ingreso y salida de correo y mensajería, así como las máquinas de fax e impresoras, no deberán ser de fácil acceso al público, con el fin de evitar el hurto o pérdida de información. Los documentos que contienen contienen información información confidencial o sensible deberán ser retirados inmediatamente de la impresora, fotocopiadora o fax, por el funcionario responsable. Se limitará limitará en lo posible, el uso de fotocopiadoras fotocopiadoras y tecnologías tecnologías de reproducción, con el fin de conservar la confidencialidad y evitar la pérdida o fuga de información de la Entidad.

SI-mp-01





Los datos sensibles almacenados almacenados en los equipos o sistemas sistemas de información, deberán encontrarse ubicados en rutas que no sean de fácil acceso.




Los funcionarios funcionarios del COPNIA, serán los encargados de hacer buen uso de la información tanto física como lógica, y de cumplir los lineamientos descritos en la presente política. Los usuarios son responsables por el cumplimiento de buenas prácticas de seguridad en la selección y el uso de contraseñas. contra señas.

PROCEDIMIENTOS POR DOMINIO 

Procedimiento de clasificación y etiquetado de información.








El Área de Sistemas, Sistemas, limitará limitará el acceso de los dispositivos de impresión o fotocopiadoras, con el fin de impedir que una persona no autorizada duplique información sensible o confidencial de la Entidad. Los equipos serán configurados, para que que se bloqueen después de un tiempo determinado de inactividad. El Responsable de Seguridad de la Información Información o delegado en coordinación con el Área de Talento Humano serán el encargado de capacitar a todos los funcionarios del COPNIA en buenas prácticas de seguridad. Los funcionarios del COPNIA COPNIA que administren administren o manejen información sensible o confidencial de la Entidad, tendrán un lugar adecuado para almacenar la información bajo llave o con los mecanismos de seguridad establecidos.

SI-mp-01



ESTÁNDARES DE REFERENCIA ISO 30300: Información y documentación. Sistemas de gestión para los documentos. 5.4.6. POLÍTICA DE GESTIÓN DE CAMBIOS ALCANCE Asegurar que los cambios en los medios y sistemas de procesamiento de la información se encuentren acordes con las necesidades y requerimientos del COPNIA.

OBJETIVO Controlar los cambios en los medios y sistemas de procesamiento de la información, por medio de mecanismos de seguridad adecuados.

DETALLE Los cambios sólo se deberán realizar cuando existe una razón válida para hacerlo, como un incremento en el riesgo para el sistema, sin embargo siempre se deberá evaluar las posibles implicaciones debido al riesgo de introducir nuevas vulnerabilidades e inestabilidad en el sistema. 



Todo requerimiento de mejora (Creación y modificación de programas, pr ogramas, pantallas) o reporte de falla que afecte los sistemas de información del COPNIA, deberá ser solicitado por los usuarios del sistema y para su seguimiento el Área de Sistemas diligenciará el formato SI-fr-09 o el formato SI-fr-08 según sea el caso. Cualquier tipo de cambio en la plataforma plataforma tecnológica deberá quedar formalmente documentado desde su solicitud hasta ha sta su implantación en el formato SI-fr-09. Este mecanismo proveerá herramientas para efectuar seguimiento y garantizar el cumplimiento de los procedimientos definidos.

SI-mp-01













Todo cambio a un recurso informático de la plataforma tecnológica relacionado con modificación de accesos, mantenimiento de software o modificación de parámetros deberá realizarse sin la alteración de la seguridad. El Área de Sistemas Sistemas deberá verificar verificar que los cambios cambios sean propuestos por usuarios autorizados y se encuentren alineados a la licencia de uso y necesidades de la Entidad. El Responsable de Seguridad de la información revisará las solicitudes de cambio y realizará un análisis de impacto, para garantizar que no se violen los requerimientos de seguridad, al mismo tiempo velará por la implementación de mecanismos de control adecuados para el aseguramiento de la información y la continuidad de las operaciones. El Área de Sistemas Sistemas deberá mantener un control de versiones para todas todas las actualizaciones de software y los cambios realizados, con el fin de realizar rollback2 en el caso que sea necesario. El Área de Sistemas Sistemas garantizará que la implementación de los cambios se lleve a cabo sin generar discontinuidad de las actividades operativas, la alteración de los procesos y la operatividad de la entidad para el cumplimiento de la misión institucional.

Los responsables de los cambios, deberán Informar antes de la implementación de un cambio a las áreas o usuarios que puedan verse afectados, con el fin de evitar indisposición y falta de operatividad.





2

Una vez realizado un cambio, el responsable deberá documentar documentar las actividades realizadas, la información relevante y los resultados obtenidos después de realizado el cambio.

En tecnologías de base de base de datos, un datos, un Rollback es una operación que devuelve a la base de datos a algún estado previo. Los Rollbacks son importantes para la integridad de la base de datos, a causa de que significan que la base de datos puede ser restaurada a una copia limpia incluso después de que se han realizado operaciones erróneas.

SI-mp-01








Los funcionarios y usuarios usuarios autorizados deberán velar porque los cambios se encuentren alineado a las necesidades operativas y el cumplimiento de la misión de la Entidad. El Responsable de Seguridad de la Información Información o persona delegada en coordinación con el Área de Sistemas, serán los responsables de controlar los cambios y prever el impacto que puedan ocasionar a la seguridad de la información. El funcionario encargado encargado del cambio, deberá documentar detalladamente las actividades realizadas, así como los resultados obtenidos y los mecanismos de mitigación del impacto en el caso que aplique.


Procedimiento para autorización de instalación de Software Procedimiento de control de cambios. Procedimiento de Recuperación en caso de interrupción del servicio






La solicitud de cambios, sólo será realizada por usuarios autorizados. Los cambios deberán ejecutarse, una vez vez han sido identificados identificados y controlados los riesgos de seguridad de la información, y de igual forma antes de ejecutarlos se deberán encontrar autorizados por el responsable. Los cambios cambios serán documentados para realizar su respectivo seguimiento y auditoría, y al mismo tiempo, se realizará un control de versiones para tener como contingencia un rollback en caso de ser necesario.

ESTÁNDARES DE REFERENCIA ITIL - Biblioteca de Infraestructura de Tecnologías de la Información

SI-mp-01



IEEE STD 1042 Guide to Software Configuration Management 5.4.7. POLÍTICA DE GENERACIÓN Y RESTAURACIÓN DE COPIAS DE RESPALDO

ALCANCE Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información críticos del COPNIA a través de copias de respaldo.

OBJETIVO Realizar copias de respaldo para preservar la disponibilidad de la información y revisarlas regularmente para asegurar la restauración de la información en caso que sea necesario.

DETALLE La información que es soportada por la infraestructura de tecnología informática del COPNIA deberá ser almacenada y respaldada de tal forma que se garantice su disponibilidad. El almacenamiento de la información se deberá realizar interna y/o externamente a la Entidad, de acuerdo con su importancia. La información de copias de respaldo, deberá enviarse al área de sistemas para su custodia, consolidación y archivo de acuerdo a la Tabla de Retención Documental, de tal forma que garantice que la información no sea de condiciones Obligatorias manipulada por ninguna persona externa o i nterna durante su transporte y custodia de la misma, estas copias de seguridad permitirán hacer seguimiento de control en una auditoría o en caso de requerirse recuperar la información de los procesos.

SI-mp-01












Se deberá identificar el el nivel necesario de valor y criticidad de la información de respaldo, así como la frecuencia en donde deberán reflejarse los requisitos de seguridad de la información involucrada y la importancia de la operación continua de la Institución. Los respaldos se se deberán almacenar en un sitio lejano con protección física, lógica y ambiental, a una distancia suficiente para escapar a cualquier daño causado por desastres. Los procedimientos de restauración como como los medios de respaldo, se verificarán y probarán periódicamente para garantizar la disponibilidad de la información en caso de contingencia o desastre. Los funcionarios del Área de Sistemas serán los responsables de generar generar las copias de respaldo de los servidores de red y Bases de Datos, o demás servicios identificados como críticos, en horas no laborables para la entidad. La copia de respaldo deberá tener el mismo tratamiento y manejo conforme el nivel de clasificación de la información contenida.

Usos no autorizados 

Cada funcionario del COPNIA será el el responsable de mantener mantener la información de su computador en las carpetas creadas por el área de sistemas para el almacenamiento en la nube, para garantizar la disponibilidad y copias de seguridad de la información de la Entidad.


El Responsable de Seguridad de la Información y el Área de Sistemas, serán los encargados de custodiar adecuadamente los medios de almacenamiento en donde se alojada la información de respaldo, así como de realizar las pruebas para asegurar la disponibilidad de la información en caso de una contingencia.

SI-mp-01



El dueño de la información es responsable de definir los periodos de retención y la frecuencia con que se hacen las copias de respaldo, con el fin de garantizar la continuidad del negocio. Dicha información puede consultarse en la Tabla de Retención Documental aprobada, además se puede ver el análisis y detalle de la definición de RTO y RPO para las aplicaciones críticas en el



“Informe de Análisis de Impacto en el Negocio (BIA – B u s i n e s s Im Im p a c t Analysis)” 

Los funcionarios de cada dependencia deberán mantener mantener depurada depurada la información de las carpetas compartidas, como buena práctica para la optimización de recursos de la Entidad.


Procedimiento de clasificación y etiquetado de Información. Procedimiento de Copias de Respaldo. Procedimiento de Recuperación en caso de interrupción del servicio.


Se encuentra implementado un procedimiento procedimiento de copias copias de respaldo (BackUp) en el cual se establecen los pasos a llevar a cabo para la extracción de las copias de respaldo, así como un registro en un formato denominado Libro de control de BACKUPS formato SI-fr-06, en donde se registran las actividades realizadas y el consecutivo de las copias.

5.4.8. POLÍTICA DE TRANSFERENCIA DE INFORMACIÓN ALCANCE Mantener la seguridad en el intercambio de información y sistemas de información dentro de la entidad y con cualquier otra organización.

SI-mp-01



OBJETIVO Proteger el intercambio de información a través del uso de los medios de comunicación y transferencia de información de la Entidad.

DETALLE La información del COPNIA relacionada con la topología de la red, el direccionamiento interno, así como las configuraciones y demás datos relacionados con las redes y sistemas de comunicación de la entidad, deberá ser información confidencial y estará bajo b ajo la responsabilidad del Área de Sistemas. Todo intercambio de información o interacción entre sistemas de información con otras entidades, deberá estar soportado con un contrato o acuerdo formalizado y con el visto bueno del Responsable de Seguridad de la Información y el Área de Sistemas.








El Área Área de Sistemas se encargará de implementar implementar herramientas de de detección y protección para salvaguardar adecuadamente la información, garantizando así la confidencialidad, integridad y autenticidad de la información. Los usuarios serán responsables de no abandonar información sensible o crítica en los equipos de impresión, facsímiles, entre otros medios de reproducción. Los funcionarios y terceras partes evitarán evitarán tener conversaciones confidenciales en lugares públicos, oficinas abiertas, lugares de reunión social para evitar su escucha o interceptación de la información no autorizada. El COPNIA establecerá acuerdos formales para el intercambio intercambio de información y de sistemas de información con otras entidades. Estos acuerdos serán de obligatorio cumplimiento.

SI-mp-01









Cuando se requiera conectar la red o los sistemas de información información del COPNIA con la red o sistemas de otra entidad, esta solicitud deberá ser estudiada y avalada por el Responsable de Seguridad de la Información, incluyendo un análisis de los posibles riesgos asociados y posteriormente debe escalarse con el Comité de Seguridad para su respectiva aprobación, considerando siempre la necesidad de apoyar la misión del COPNIA. Se debe proteger la información involucrada en transacciones en línea, para evitar la transmisión incompleta, rutas equivocadas, alteración y divulgación. Los acuerdos para el intercambio de información deberán contener, como como mínimo la siguiente información: Responsabilidades y procedimientos para controlar y notificar la transmisión y la recepción de información, Procedimientos para garantizar la trazabilidad y no repudio, repudio, o o Responsabilidades en caso de incidentes de seguridad de la información. información. Políticas, procedimientos procedimientos y normas para proteger la información información y los o medios contenedores. o







Los funcionarios que requieran transportar información confidencial a otras entidades, deberán hacer uso de transporte o servicios de mensajería confiables, que garanticen la confiabilidad de la información. La información confidencial y sensible deberá permanecer cuando sea sea necesario en espacios cerrados con llave, entrega en mano, embalaje con sellos de seguridad, entre otros mecanismos de seguridad requeridos para proteger la información. La información que físicamente deberá ser movilizada, estará debidamente identificada, marcada y clasificada, conforme a lo establecido en los procedimientos de clasificación y etiquetado de información.

SI-mp-01



RESPONSABILIDADES Todos los funcionarios, colaboradores y terceros que transmitan información deberán cumplir la presente política.







El Responsable de Seguridad Seguridad de la Información Información o persona delegada en coordinación con el Área de Sistemas, serán los responsables de implementar todos los controles de seguridad identificados para proteger la integridad, disponibilidad y confidencialidad de la información a ser transferida. El funcionario encargado de la transmisión transmisión de la información, información, velará porque se generen registros de las actividades realizadas, especialmente en los casos de tratarse de información confidencial o crítica de la entidad.


Procedimiento de transferencia de información Procedimiento de clasificación y etiquetado de información






Se implementarán herramientas herramientas y dispositivos de seguridad que permitan proteger la integridad, disponibilidad y confidencialidad de la información en el momento de ser transferida. La firma firma de los acuerdos de confidencialidad entre las partes, garantiza la total reserva de la información, así como los alcances frente al tratamiento y divulgación de la información. La contratación contratación de de empresas de mensajería confiables, que que garanticen total reserva en el envío de información sensible o critica para la entidad.

ESTÁNDARES DE REFERENCIA ISO 30300: Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario.

SI-mp-01



5.4.9. POLÍTICA DE DESARROLLO SEGURO DE SOFTWARE ALCANCE Mantener la seguridad del software y sistemas de información desarrollados en el COPNIA.

OBJETIVO Establecer y aplicar reglas para el desarrollo de software y de sistemas de información, desarrollados al interior del COPNIA

DETALLE Para el desarrollo del Software y de los sistemas de información seguro, es importante que los responsables y personas involucradas dentro del proceso tengan en cuenta lineamientos y buenas prácticas que permitan un adecuado manejo de la información y la preservación de un nivel de seguridad óptimo.


Se planeará la metodología metodología a utilizar y el cronograma de etapas del desarrollo del software o sistema de información, teniendo en cuenta los requerimientos de la Entidad y las necesidades para el cumplimiento misional institucional del COPNIA.

Se deberá generar por parte de los usuarios autorizados las especificaciones funcionales y no funcionales de los sistemas de información, definiendo los requisitos sobre la calidad, seguridad y funcionalidad del código.





Una vez se haya realizado el desarrollo del código, se deberá validar las condiciones y tipos de pruebas a realizar, con el fin de revisar la funcionalidad y requerimientos descritos, entre ellos los de seguridad.

SI-mp-01









El Área de Sistemas y el Responsable de seguridad de la información deberán validar los criterios de aceptación, con sus respectivas pruebas para detectar códigos maliciosos o troyanos, puertas traseras, entre otros. El COPNIA COPNIA realizará los acuerdos sobre licencias, propiedad de los códigos y derechos de propiedad intelectual con respecto al desarrollo de los códigos fuentes y usabilidad contratados o desarrollados internamente. Todo cambio que se realice, deberá cumplir con la política política de gestión de cambios, y así mismo con el procedimiento pro cedimiento de control de cambios.




El Área de Sistemas Sistemas al igual que el Responsable de de Seguridad de de la Información, serán los encargados de realizar la supervisión del desarrollo conforme a los parámetros planeados, requerimientos realizados, y criterios de aceptación. Los usuarios del software software o sistemas de información, información, deberán realizar las solicitudes de desarrollo o modificación de manera formal al Área de Sistemas.


Procedimiento de clasificación y etiquetado de información Procedimiento para autorización de instalación de Software Procedimiento de control de cambios




Se establecerá una metodología y cronograma de desarrollo, con el fin de conocer el alcance y requerimientos detallados. El Área de Sistemas y el Responsable de Seguridad de la Información, Información, realizarán la respectiva revisión de funcionamiento y documentación del código, así como los criterios de aceptación, con el fin de evitar vulnerar la seguridad de la Entidad.

SI-mp-01





Se llevará a cabo un control de versiones versiones por parte del desarrollador y las pruebas de funcionamiento necesarias, para asegurar el buen funcionamiento del software o sistema de información.

ESTÁNDARES DE REFERENCIA ISO 9126 - estándar internacional para la evaluación del Software, fue originalmente desarrollado en 1991 para proporcionar un esquema para la evaluación de calidad del software La norma ISO 8402 Gestión y garantía de Calidad, evaluar la calidad durante el desarrollo de un software desde un punto de vista general ISO / 12207-1995 - PROCESO DEL CICLO DE VIDA DEL SOFTWARE, Establece un proceso de ciclo de vida para el software que incluye procesos y actividades que se aplican desde la definición de requisitos, pasando por la adquisición y configuración de los servicios del sistema, hasta la finalización de su uso. Estándar ISO 9126 del IEEE y la Mantenibilidad, identificar los atributos claves de calidad para el software: funcionabilidad, fiabilidad, usabilidad, eficiencia, Mantenibilidad y portabilidad. de gestión organizacional Capability Maturity Model Integration (CMMI), sistema de gestión enfocado en la mejora continua del producto o servicio en todo su ciclo de vida, involucrando marketing, involucrando marketing, compras, compras, diseño, diseño, fabricación fabricación y entrega. POLÍTICA DE SEGURIDAD RELACIONES CON PROVEEDORES

5.4.10.

DE

LA

INFORMACIÓN

PARA

ALCANCE Minimizar los riesgos asociados al acceso de los activos de información por parte de los proveedores de la Entidad.

SI-mp-01



OBJETIVO Asegurar que los l os controles de seguridad asociados al acceso acce so de los proveedores a los activos de información de la Entidad, se implementen, operen y mantengan.

DETALLE Cuando exista la necesidad de otorgar acceso a terceras partes a información de la entidad, el Responsable de Seguridad de la Información o delegado y el Propietario de la Información, llevarán a cabo una evaluación de riesgos para para identificar los requerimientos de controles específicos.


Para brindar el acceso a la información de la entidad por parte de proveedores, se deberá tener en cuenta los siguientes parámetros: El tipo tipo de acceso requerido (físico/lógico y a qué recurso). Los motivos motivos para los cuales se solicita el acceso. o o El valor valor de la información y su clasificación. o Los controles empleados por la tercera parte. La incidencia de este acceso en la seguridad de la información. o controles, requerimientos de seguridad y compromisos de o Los confidencialidad aplicables, restringiendo los permisos a otorgar. o







En ningún caso se otorgará otorgará acceso a proveedores a las instalaciones de procesamiento o áreas críticas, hasta no haber implementado los controles de seguridad y se haya firmado un contrato o acuerdo que defina las condiciones de acceso. El responsable de la información, información, realizará un monitoreo monitoreo y revisión revisión de los servicios de proveedores para asegurar que se cumplan los términos y condiciones acordados. Dentro de los contratos o acuerdos celebrados con los proveedores que requieran acceder a la información de la entidad, se deberá establecer el

SI-mp-01



cumplimiento de las políticas de seguridad, protección de activos, protección de datos, autorización de acceso, administración de cambios o aquellas consideradas relevantes para garantizar un adecuado aseguramiento de la información.






Todos los funcionarios, colaboradores y proveedores que tengan acceso a la información deberán cumplir con la presente política. El responsable de la información, información, deberá velar por el cumplimien cumplimiento to de los servicios contratados, así como requerimientos de controles específicos del resultado de la valoración de riesgos. No se permitirá permitirá el acceso a la información y sistemas de información información de los proveedores antes de la firma del contrato o acuerdo que defina las condiciones para la conexión o acceso, así mismo, posterior a la implementación de los controles identificados como necesarios para la protección de la información.


Procedimiento de transferencia de información Procedimiento de etiquetado y clasificación de información




Se implementarán implementarán los controles de de seguridad identificados en el estudio de riesgos para asegurar la protección de la información. Se firmará firmará los acuerdos de confidencialidad entre las partes, que garantiza la confidencialidad de la información, así como los alcances frente al tratamiento y divulgación de la información.

SI-mp-01





Se realizará monitoreo y revisión de los servicios para asegurar que se cumplan los términos y condiciones de seguridad, y el manejo apropiado de la información.

ESTÁNDARES DE REFERENCIA ISO 30300: Información y documentación. Sistemas de gestión para los documentos. 5.4.11.

POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

ALCANCE Establecer las medidas necesarias para garantizar la seguridad de los datos de carácter personal, evitando su posible adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

OBJETIVO Garantizar la privacidad y protección adecuada de las bases de datos, los centros de tratamiento de información, equipos, sistemas, programas y personas que intervengan en el tratamiento de datos personales por medio de mecanismos de seguridad.

DETALLE Para el tratamiento de la información, es importante identificar las personas que intervienen durante el tratamiento de la misma. Dentro de las personas identificadas se encuentra: 1) Responsable del Archivo: es responsable de que los datos personales

sean tratados con la seguridad e integridad necesaria y sus funciones y obligaciones serán asumidas por las personas que se deleguen. 2) Responsable de Seguridad: el Responsable del Archivo delega el seguimiento de sus principales obligaciones y deberes como persona encargada de la verificación del cumplimiento de las obligaciones de Seguridad.

SI-mp-01



3) Usuarios de los archivos: es el personal que habitualmente utiliza el

sistema de información de acceso a los activos de información, como parte de sus obligaciones laborales. 4) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento;












Los funcionarios funcionarios deberán acceder únicamente únicamente a los datos que se requieran para el desarrollo de las funciones, guardando estricta reserva y no divulgarlos más allá de lo estrictamente necesario. Cualquier incidente incidente ocurrido en el el manejo manejo de los datos de carácter personal será comunicado de acuerdo con lo indicado en el procedimiento de Reporte y Gestión de incidentes de seguridad. Los funcionarios del COPNIA COPNIA no deberán retirar retirar de la entidad ninguna clase clase de datos sin autorización expresa del Responsable de Seguridad y del Responsable del Archivo. Se deberán borrar periódicamente los archivos que contengan datos de carácter personal y que no sean requeridos para el desarrollo de las actividades dentro de la Entidad. Los archivos que contengan datos de carácter personal, que vayan a ser desechados o reutilizados, deberán proteger la información mediante mecanismos de destrucción óptimos que impidan la recuperación de la información. Antes de generar archivos que que contengan datos personales se deberá gestionar la autorización (evidenciable) de los titulares de los datos, en donde se establezca la finalidad y tipos de datos.

SI-mp-01











El Responsable de la información, será el encargado de decidir sobre la finalidad, contenido y uso de los datos personales, así como el tratamiento fuera de las instalaciones. El Responsable de la información información en coordinación con el Responsable de Seguridad, velará por la actualización constante de las listas de acceso a los sistemas de información que procesen o almacenen datos personales, estableciendo los mecanismos apropiados para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado. El Responsable de la información, deberá gestionar y resolver las peticiones de acceso, rectificación o cancelación de los datos personales realizadas por los titulares. Así como, comunicar a los titulares las variantes existentes con respecto al procesamiento o almacenamiento de los datos de carácter personal. El Responsable de Seguridad verificará que las medidas medidas de seguridad física física y lógica implementadas para proteger los datos de carácter personal sean acordes con las necesidades de la Entidad y los riesgos identificados.






Conocer y cumplir cumplir las políticas internas en materia materia de seguridad, y especialmente la referente a protección de datos de carácter personal. Utilizar los controles y medidas medidas que se hayan establecido para proteger tanto los datos de carácter personal como los propios sistemas de información y sus componentes. No intentar saltar saltar los mecanismos y dispositivos de seguridad, evitar cualquier intento de acceso no autorizado a datos o recursos, informar de posibles debilidades en los controles.

SI-mp-01




Procedimiento de Reportes Reportes y Gestión de incidentes de seguridad Procedimiento de Recolección y Administración de Evidencia Procedimiento de clasificación y etiquetado de la Información








Los datos personales no se deberán transmitir transmitir a terceros tercero s o entidades entidades que no proporcionen niveles adecuados de protección de datos, y los cuales no hayan sido autorizados para su tratamiento. Se realizarán auditorías auditorías periódicas para verificar el cumplimiento cumplimiento de los controles de seguridad, así como el cumplimiento de la presente política. La firma firma de los acuerdos de confidencialidad entre las partes, que garantiza la total reserva de la información, así como los alcances frente al tratamiento de los datos personales. La actualización constante de las listas listas de acceso autorizado a los sistemas sistemas de información, implementación de mecanismos apropiados para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado

ESTÁNDARES DE REFERENCIA ISO 30300: Información y documentación. Sistemas de gestión para los documentos. 5.4.12.

POLÍTICA DE USO DE INTERNET

ALCANCE Proteger la información de la Entidad haciendo uso de buenas prácticas de seguridad en el uso del Internet.

SI-mp-01



OBJETIVO Generar los mecanismos apropiados para el buen uso del servicio de internet por parte de los funcionarios del COPNIA, para la protección de la información de la Entidad.

DETALLE Condiciones Obligatorias Las nuevas amenazas cibernéticas son uno de los principales riesgos de seguridad para los sistemas sistemas de información, información, por tal razón se deberán tomar las siguientes precauciones de seguridad sobre la utilización de Internet: Todos los funcionarios del COPNIA, tendrán la obligación a dar cumplimiento a la Ley 679 de 2001, acatando las prohibiciones que le han sido impuestas. Por consiguiente se obligan a no utilizar utilizar los servicios, redes y sistemas del COPNIA que impliquen directa o indirectamente, bajar o consultar información de actividades sexuales y/o material pornográfico.









El spam o correo basura son son los mensajes no deseados de seados que hacen referencia a publicidad pudiendo además contener virus; estos mensajes deberán eliminarse sin ser leídos para evitar el aumento de la cantidad del correo basura en el buzón así como la posibilidad de intrusión de virus en el sistema. Se usará regularmente el antivirus para revisar revisar la información procedente de internet y se verificará periódicamente su actualización, con la colaboración del Área de Sistemas, quienes prestarán apoyo para tal fin. El Área de Sistemas activará las actualizaciones de los sistemas sistemas de información de forma automática, las cuales contribuyen con la protección de los equipos ante ataques de virus provenientes de Internet.

SI-mp-01










No se utilizará canales de chat o grupos sociales como Faceboo k, Twiter, Youtube, Google+, etc, en horario laboral con fines personales personales sin previa autorización del COPNIA. No se descargará de de Internet, ni se alojará en los discos discos duros de los equipos de cómputo información como música, videos, ni software sin licencia (a nombre del COPNIA). No se descargará información información de sitios web web de los que no se se tenga referencias de seriedad, o que no sean medianamente conocidos. Si se descarga información, archivos, los mismos se deberán revisar con el antivirus actualizado antes de realizar cualquier tipo de actividad. No se podrá realizar el intercambio de información de propiedad del COPNIA y/o de sus funcionarios con terceros, a menos que exista una autorización por parte del responsable del archivo o en su defecto el responsable de seguridad de la información o contrato de por medio que autorice el intercambio de información.






Los funcionarios del COPNIA son responsables del uso adecuado de los recursos y en ningún momento pueden realizar prácticas ilícitas o mal intencionadas que atenten contra terceros o contra los lineamientos de seguridad de la información. El Responsable Responsable de Seguridad Seguridad de la Información y el Área de Sistemas, serán los encargados de velar por el cumplimiento de la presente política haciendo uso de monitoreo del servicio e implementación de los mecanismos de seguridad adecuados. El Responsable Responsable de Seguridad Seguridad de la Información en coordinación con el Área de Talento Humano será el encargado de capacitar a todos los funcionarios del COPNIA en buenas prácticas de seguridad.

SI-mp-01




Procedimiento de actualización e instalación de Software. Procedimiento de Creación, modificación y cancelación de usuarios y privilegios.






Monitoreo permanente de tiempos de navegación y páginas visitadas visitadas por parte de los funcionarios y/o terceros. Se contará con las herramientas adecuadas adecuadas para controlar el acceso y navegación de Internet. Eliminación periódica de las cookies cookies y archivos temporales almacenados almacenados en los navegadores de los funcionarios del COPNIA.

5.4.13.

POLÍTICA DE USO DE CORREO ELECTRÓNICO ELECT RÓNICO

ALCANCE Asegurar la integridad, disponibilidad y confidencialidad de la información contenida o emitida del correo electrónico institucional de los funcionarios del COPNIA.

OBJETIVO Generar los controles necesarios para preservar la disponibilidad, integridad y disponibilidad de la información de la entidad transmitida, recibida y/o almacenada en el correo electrónico.

DETALLE Condiciones Obligatorias 

El usuario y contraseña del correo electrónico electrónico de cada funcionario del COPNIA es personal e intransferible, por lo tanto el uso y manejo es responsabilidad absoluta del funcionario.

SI-mp-01













La información emitida y transmitida transmitida por el el correo electrónico de cada funcionario es responsabilidad única y exclusiva del usuario. En el caso de que a cualquier usuario le llegue una comunicación comunicación o correo electrónico sospechoso, de alguien desconocido o spam, deberá reportarlo de inmediato, sin abrirlo, al correo electrónico de soporte del COPNIA. El COPNIA COPNIA se reserva el derecho a auditar y vigilar los correos electrónicos institucionales para garantizar que sea utilizada sólo para propósitos laborales. Estas auditorías se realizarán periódicamente, al azar o cuando exista una investigación sobre una situación en particular. En caso que un usuario olvide olvide su contraseña deberá notificarlo al al área de soporte para su recuperación o cambio. El servicio de correo electrónico sólo estará vigente mientras los funcionarios tengan relación laboral con el COPNIA, una vez culmine la relación el Área de Sistemas eliminará los accesos después de recibido el comunicado del área de Talento Humano.






Se prohíbe el envío por fuera de la Entidad de de información información confidencial por por medio del correo electrónico sin autorización o el consentimiento del remitente original. No se utilizará la cuenta de correo electrónico suministrada por el COPNIA, para asuntos personales. Se prohíbe el envío de mensajes de correo electrónico en donde se divulgue, comente comente o exprese hechos, opiniones opiniones o asuntos internos interno s del COPNIA que puedan afectar la reputación, seguridad e imagen de la Entidad.

SI-mp-01













No se permitirá a terceras personas leer, revisar, interceptar, modificar modificar o destruir información relacionado con los funcionarios o la entidad, sin el consentimiento expreso del remitente y del destinatario de la comunicación. Se prohíbe el envío de correos electrónicos electrónicos con material ofensivo, ilegal o pornográfico o de cualquier otra índole no autorizada. Se prohíbe a los funcionarios suscribirse a listas de correo electrónico o grupos de noticias que divulguen información o mensajes ajenos a las funciones y deberes de la Entidad sin la debida autorización. No se podrá hacer uso de comunicac comunicaciones iones para propósito personal o asunto privado del funcionario o para el recibo y envío de mensajes en cadena, redes sociales, juegos, concursos, encuestas, páginas de entretenimiento o cualquier otro asunto o servicio no oficial o ajeno a las funciones laborales del COPNIA. Los funcionario del COPNIA, no están autorizados para utilizar las cuentas de correo electrónico de la entidad asignadas para el envió de correos masivos, la entidad cuenta con una herramienta especial para realizar este tipo de campañas por lo que se solicita informar estas novedades al área de soporte






Los funcionarios del COPNIA COPNIA deberán conocer y cumplir la la presente política política y las buenas prácticas de seguridad relacionadas con el uso del correo electrónico institucional. No se deberá ceder ni comunicar comunicar a otros la contraseña; los funcionarios serán responsables ante la entidad de todos los accesos y actividades que se puedan haber realizado con su usuario y contraseña. Cada uno de los usuarios será el el encargado de hacer copias de respaldo o backup en su buzón de correo electrónico, así como depurar periódicamente la información contenida en el mismo.

SI-mp-01




Procedimiento de Reporte Reporte y Gestión de incidentes de seguridad Procedimiento de Recolección y Administración de Evidencia Procedimiento de clasificación y etiquetado de la Información






Se realizarán auditorías auditorías periódicas para verificar el cumplimiento cumplimiento de los controles de seguridad, así como el cumplimiento de la presente política. El Área de Sistemas realizara la asignación de contraseñas contraseñas de forma forma periódica, garantizando un nivel de complejidad para la generación generación de las mismas. Se realizarán capacitaciones de buenas prácticas del uso de los recursos de la entidad, en donde se desarrollen temas acerca del uso adecuado del correo electrónico institucional.

5.4.14.

POLÍTICA DE ACCESO Y REDES SOCIALES

ALCANCE Minimizar los riesgos asociados al acceso o emisión de información no autorizada de la Entidad por medio de redes sociales.

OBJETIVO Asegurar que los controles de seguridad asociados al uso de las redes sociales brinden la protección adecuada a los activos de información de la Entidad.

SI-mp-01



DETALLE Usos no autorizados 









No se utilizará canales de chat o grupos sociales como Faceboo k, Twiter, Youtube, Google+, etc, en horario laboral con fines personales personales sin previa autorización del COPNIA, El Área de Atención al Usuario será el responsable de manejar los canales de redes sociales con la imagen institucional de la entidad. No se deberá publicar información información confidencial confidencial o perteneciente al COPNIA que pueda afectar la imagen de la Entidad. Si algún funcionario del del COPNIA COPNIA observa información pública de la Entidad Entidad que pueda estar afectando la imagen del COPNIA, se deberá comunicar al Área de Comunicaciones para que realice los trámites pertinentes frente a la misma. Los Funcionarios beberán ser cauteloso en el uso de las redes sociales, teniendo en cuenta que son fuentes usadas para hurto de información, y de explotación de vulnerabilidades de seguridad. Cuando un funcionario del del COPNIA se encuentre navegando en una red social autorizada, deberá ser cuidadoso al dar clic en enlaces publicados en los muros, teniendo en cuenta que allí se albergan la mayoría del software malicioso, acción que puede poner en peligro la información de la Entidad.




Todos los funcionarios deberán cumplir la presente política. Todo empleado empleado está obligado obligado a informar por escrito al al Responsable de Seguridad de la Información, sobre cualquier situación, incidente o problema de seguridad identificado.

SI-mp-01




Procedimiento de Reporte Reporte y Gestión de incidentes de seguridad Procedimiento de Recolección y Administración de Evidencia Procedimiento de actualización e instalación de Software


El Área de de Sistemas Sistemas y/o el Responsable de seguridad de la Información realizarán auditorías y supervisión del uso de los recursos tecnológicos.

5.4.15.

POLÍTICA ACTUALIZACIÓN DE HARDWARE HARDWARE

ALCANCE Generar una planeación de la infraestructura del COPNIA conforme los requerimientos funcionales y misionales de la Institución.

OBJETIVO Asegurar el buen b uen funcionamiento de la infraestructura tecnológica del d el COPNIA en un escenario futuro, acorde con el cumplimiento de la misión y procesos críticos institucionales.

DETALLE 



Cualquier cambio que se requiera realizar en los equipos de cómputo de la Entidad (cambios de procesador, monitor, teclado, mouse, adición de memoria o tarjetas) debe tener previamente una evaluación técnica del área de sistemas, el supervisor del contrato de mantenimiento y la autorización del responsable de manejo de bienes para la actualización de seriales y hojas de vida de mantenimiento de los equipos. La reparación técnica de los equipos, que implique la apertura de los mismos, únicamente puede ser realizada por el personal capacitado, previa autorización del supervisor del contrato de mantenimiento y del Responsable del manejo de bienes.

SI-mp-01





Los equipos de cómputo cómputo (PC, servidores, comunicaciones, comunicaciones, etc.) no deben moverse o reubicarse sin previa autorización de los responsables del manejo de bienes y visto bueno del Responsable de seguridad de la Información.










Todos los funcionarios deberán cumplir la presente política. Todo empleado está obligado a solicitar por escrito al al Responsable de de Manejo de bienes, cualquier movimiento o modificación que se lleve a cabo con los Equipos. Los funcionarios y contratistas que realicen las labores de administración administración del recurso informático son responsables por la implementación y permanencia de los controles sobre los recursos tecnológicos. El Responsable de Seguridad de la Información, Información, deberá velar por la seguridad de todos los equipos de la Entidad. El Área de Sistemas está encargada de diseñas y ejecutar ejecutar planes de mantenimiento preventivo a los equipos del COPNIA.


Procedimiento de Mantenimiento de Equipos Trabajo en Áreas Seguras Recuperación en caso de interrupción del servicio




Se llevará a cabo un inventario actualizado de bienes tecnológicos, tecnológicos, en donde se establezca por lo menos la ubicación, responsable y características generales del Equipo. Se desarrollarán planes de mantenimiento preventivo de los equipos con motivo de identificar posibles fallas de funcionamiento.

SI-mp-01


5.4.16.


POLÍTICA DE GESTION DE MEDIOS REMOVIBLES REMOVIBLES

ALCANCE Establecer el uso adecuado de los medios removibles durante la vida útil del Equipo en la Entidad.

OBJETIVO Asegurar el uso, reutilización y eliminación de medios removibles, con el fin de garantizar que la información se salvaguarde adecuadamente.

DETALLE 









El uso de medios de dispositivos dispositivos removibles (ejemplo: CDs, DVDs, Blueray, USBs, discos duros externos, celulares, cintas) en el COPNIA, solo serán autorizados para los funcionarios cuyo perfil del cargo y funciones lo requiera, y serán controlado por el responsable de administración de bienes en coordinación el Área de sistemas. Los funcionarios se deberán comprometer a asegurar física y lógicamente el dispositivo a fin de no poner en riesgo la información de la entidad. El contenido de medios medios reutilizables que contengan información crítica o sensible de la Entidad que se van a retirar de las instalaciones se les deberá realizar un borrado seguro con el fin de evitar recuperación de información. Para el retiro de dichos medios se debe contar con la autorización del Área de Sistemas. Los medios que contengan información información sensible o confidencial se eliminarán mediante técnicas de incineración, trituración o borrado seguro de datos, dejando registro de las acciones realizadas durante el proceso de eliminación, para facilitar la trazabilidad de eventos. Los funcionarios del COPNIA COPNIA al momento reutilizar o eliminar medios medios removibles que almacenen información confidencial o sensible de la

SI-mp-01



Entidad, deberán llevar a cabo el procedimiento de Gestión de Medios Removibles.






Todos los funcionarios deberán cumplir la presente política. Los funcionarios funcionarios del Área de Sistemas serán los encargados de efectuar las copias de respaldo frente a la solicitud realizada por los funcionarios del COPNIA frente a la reutilización y eliminación de los medios removibles. Los funcionarios del Área Área de Sistemas deberán realizar el borrado borrado seguro de los medios de removibles al momento de reutilizar o eliminar los medios removibles de la Entidad.


Procedimiento de Mantenimiento de Equipos. Procedimiento de Gestión de Activos de información. Procedimiento de clasificación y etiquetado de la Información.




Se realizará un borrado seguro a los equipos al momento momento de reutilizar o eliminar medios removibles. El Área de Sistemas controlará la distribución y uso de los medios medios removibles del COPNIA.

6. ANEXOS 6.1. 6.2. 6.3. 6.4. 6.5.

Procedimiento Clasificación y Etiquetado de la Información. Procedimiento autorización de instalación de software Procedimiento Control de Cambios. Procedimiento Creación, modificación modificación y cancelación de usuarios y privilegios. Formato de Creación, modificación y cancelación de usuarios.

SI-mp-01


6.6. 6.7. 6.8. 6.9. 6.10. 6.11. 6.12. 6.13. 6.14. 6.15. 6.16. 6.17. 6.18. 6.19. 6.20.


Procedimiento Gestión de Medios Removibles. Procedimiento Incidentes de Seguridad. Procedimiento Mantenimiento de Equipos. Formato Mantenimiento Equipos. Procedimiento gestión de Activos de información. Procedimiento Recolección y administración de evidencias. Procedimiento Recuperación en caso de Interrupción Interrupción del Servicio. Formato Reporte de incidentes de seguridad. Procedimiento Transferencia de Información. Procedimiento Verificación de políticas y procedimientos. Procedimiento configuración configuración de switches, routers y firewall. Procedimiento copias de respaldo (backup). Procedimiento trabajo en áreas seguras. seguras. Procedimiento administración del riesgo. El Informe de Análisis Análisis de Impacto en el Negocio Negocio (BIA – Business Impact Analysis).

7. CONTROL DE CAMBIOS No.

Fecha

1 2

Jun-2009 Sep-2012

3

Oct-2014

Descripción del cambio o modificación Creación de documento Actualización Actualización Ajuste de acuerdo a la norma ISO 27001 y cambio en el nombre del manual de: Plan de Contingencia y Políticas de Seguridad de Sistemas de Información a Manual de Seguridad de la Información del COPNIA.

DIANA LORENA TORO BETANCUR Consultor ADALID ELABORÓ

CARLOS ROBERTO VALLEJO CUBILLOS Prof. de Gestión de Sistemas REVISÓ

CARLOS ALBERTO JARAMILLO JARAMILLO Director General APROBÓ

SI-mp-01 Manual de seguridad de la Información COPNIA.pdf

Recommend Documents