política ti ssf-v.1.0

Sede Principal: Edificio World Business Port Cra 69b 24-10 Septimo piso Sede Administrativa: Calle 26 No. 57-41 Torre 8 pisos 15 y 16

Teléfonos: 3487777 - PBX: 3487800 Fax 3487804 www.ssf.gov.co - e-mail: [email protected] Bogotá D.C., Colombia

POLÍTICA DE TI

FO- PIN- CODO- 03 Versión 1

2

Contenido 1 OBJETIVO ....................................................................................................................... 3

2 ALCANCE ........................................................................................................................ 3

3 DESCRIPCIÓN DE LA POLITICA ................................................................................... 3

3.1 Políticas de servicios tecnológicos ....................................................................... 4 3.1.1 Políticas de Adquisiciones Tecnológicas. ..................................................... 7 3.1.2 Política de Custodia. ..................................................................................... 7 3.1.3 Control y mantenimiento de Infraestructura Tecnológica. ............................. 8 3.1.4 Equipos y servicios de computo. ................................................................... 9 3.1.5 Computación en la Nube. ............................................................................ 11 3.1.6 Código Malicioso. ........................................................................................ 12 3.1.7 Gestión de Medíos Magnéticos ................................................................... 12 3.1.8 Políticas de soporte de TIC a los usuarios. ................................................. 12 3.1.9 Políticas sobre el Servicio de Internet. ........................................................ 13 3.1.10 Políticas sobre el Correo Electrónico. ....................................................... 16 3.1.11 Políticas Antivirus y Gestión de la Información ......................................... 19

3.2 Políticas de software. ......................................................................................... 20 3.2.1 Políticas de Adquisición Software. .............................................................. 21 3.2.2 Políticas de Desarrollo de software. ............................................................ 21 3.2.3 Custodia. ..................................................................................................... 26 3.2.4 Uso. ............................................................................................................. 27 3.2.5 Manejo de Cambio. ..................................................................................... 28

3.3 Políticas de seguridad de la información. .......................................................... 28 3.4 Política de la continuidad del negocio. ............................................................... 29 3.5 Política de relación con los proveedores. .......................................................... 30

4 RESPONSABLES .......................................................................................................... 30

5 DEFINICIONES ............................................................................................................. 31

6 INDICADORES .............................................................................................................. 33

7 EXCEPCIONES ............................................................................................................. 34

8 SANCIONES .................................................................................................................. 34

9 REFERENCIAS ............................................................................................................. 34

10 GLOSARIO ............................................................................................................... 35


3

1 OBJETIVO

La presente política, tiene por objeto integrar todas las políticas que deben ser

incorporadas a la Superintendencia de Subsidio Familiar - SSF, con el fin de que

al publicarse a todos los funcionarios y demás colaboradores de la entidad, se

convierta en la herramienta de apropiación del Sistema de Gestión de la

información y las comunicaciones para cada funcionario, contratista y tercero de

la entidad a través de un proceso continuo de divulgación y concientización.

2 ALCANCE

Establecer un marco de gobierno para la gestión de las tecnologías de la

información y las comunicaciones -TIC´s en la SSF, que permita satisfacer la

necesidades actuales y futuras del negocio, basada en criterios de innovación,

calidad, eficiencia, escalabilidad y arquitectura empresarial. Esta política debe

ser aplicadas por funcionarios, contratitas y terceros que gestionen las

tecnologías de la información y las comunicaciones en la SSF.

3 DESCRIPCIÓN DE LA POLITICA

la SSF, en su Plan estratégico de Tecnologías de la Información y las

Comunicaciones establece el uso adecuado de cada una de sus herramientas de

TIC para la gestión del día a día en cumplimiento de sus objetivos estratégicos.

Por lo anterior, cada uno de los funcionarios, contratistas y terceros de la SSF

debe tener en cuenta, que la política:

• Se encuentra adecuada al propósito de la SSF.

• Proporcionar el marco para establecer los objetivos del negocio.

• Incluye un compromiso para satisfacer los requisitos aplicables.


4

• Esta disponible como información documentada y aprobada, para las

partes interesadas, según sea apropiado.

• Debe ser mediable.

• Es coherentes con las demás política Institucionales de la SSF.

• Debe ser divulgada al interior de la SSF.

• Debe contar con una periódica adecuación y cuando se produzcan

cambios significativos

3.1 Políticas de servicios tecnológicos

La gestión y uso de los servicios Tecnológicos, se rigen por una serie de

políticas que apoyan el cuidado y correcto funcionamiento de cada uno

de los servicios.

Política general de uso

§ La Oficina de las TIC, es quien asignar, configurar, soportar,

modificar y brindar asesoría sobre el uso y acceso a los servicios

tecnológicos (equipos de computo, servidores de la red interna,

externa y los datos).

§ Los equipos de computo deben ser configurados para las

necesidades de gestión de cada uno de los funcionaros, contratistas

y terceros.

§ Los servicios tecnológicos de la SSF, no deben ser gestionados por

personas ajenas a la SSF.

§ Las conexión de red internas y externas, deben ser especificadas


5

claramente, con las características técnicas y de seguridad

requeridas, para ser aprobadas por la ofician de TIC.

§ La gestión sobre los servicios tecnológicos de la SSF, son para dar

cumplimiento a las funciones establecidas para los funcionaros,

contratistas y terceros, y no para actividades personales o de ocio.

§ El uso, almacenaje, copiado y reproducción de software en los

servicios tecnológicos de la SSF, requieren del consentimiento del

propietario de los derechos de autor.

§ Se deben establecer Acuerdos de Nivel de Servicio – ANS, para

cada uno de los servicios que ofrece la Oficina de TIC.

§ Se deben determinar los Acuerdos de Nivel Operativo – ANO,

conjuntamente con el proveedor para cada uno de los proyectos.

• Todo servicio tecnológico, debe incluir una estrategia de gestión del

cambio organizacional que permita la gestión del impacto y los intereses

de los usuarios del servicio, que garanticen el uso y apropiación de este.

• Se debe definir e implementar un plan de transferencia de conocimiento

por cada proyecto de implementación de los servicios tecnológicos, que

fortalezca las competencias de los usuarios (funcionarios, contratistas y

terceros), y garantice el uso y apropiación de la solución tecnológica.

Política de Restricciones y Obligaciones de los Usuarios

§ Mantener limpios los espacios donde se encuentren ubicados

los servicios tecnológicos.

§ No se debe fumar, consumir alimentos o líquidos en los espacios

donde se encuentre ubicados los equipos de computo


6

(computadores, impresoras, escáner, etc.).

§ No se permite la implementación de aplicaciones no autorizadas en

los equipos de computo asignados a los funcionarios, contratistas y

terceros o servidores que administren los datos.

§ No se permite la realización de modificaciones a las configuración de

los servicios tecnológicos asignados, sin el conocimiento y la debida

autorización de la Oficina de las TIC.

§ No se permite la conexión o desconexión de hardware de los

equipos de cómputo, sin autorización de la Oficina de las TIC.

§ Debe ser reportada a la Oficina de las TIC las falla que se

presenten los equipos de cómputo, para que ellos sean quienes den

solución a la incidencia.

§ Los equipos de computo asignados no son para realizar

actividades ociosas en la Internet que puedan generar

inconvenientes y saturaciones en el ancho de banda de la SSF.

§ No se permite que a través de los servicios tecnológicos a los

que se tiene acceso se generen ataques a otros equipos internos o

externos.

Política de Modificaciones al servicio

La Oficina de las TIC, puede modificar o suspender los servicios

tecnológicos de manera parcial o total a uno o varios de los

funcionarios, contratistas y terceros, cuando se requiera por motivos de

seguridad, por mantenimiento de los servicios preventivo o correctivo, o

por causas de fuerza mayor.


7

3.1.1 Políticas de Adquisiciones Tecnológicas.

Toda la adquisición de infraestructura debe estar contemplada en el Plan

de Compras de la entidad, el plan de gestión de la infraestructura

tecnológica, el PETIC y debe estar sujeta a los procedimientos

establecidos por la SSF. No obstante, de acuerdo con necesidades de la

Entidad, será posible la adquisición de hardware que no estuviera

inicialmente previsto.

Cualquier necesidad de adquisición de las dependencias deben ser

gestionadas en coordinación con la Oficina de las Tecnologías de la

Información y Comunicación – Oficina de las TIC, previa validación de la

infraestructura actual para identificar la disponibilidad de esta, el plan de

gestión de la infraestructura tecnológica y no generar gastos a la

entidad.

Las adquisiciones de la infraestructura deben generarse como una

solución integral de la SSF, se deben establecer como obligatorio la

adquisición de las pólizas necesarias, velar por cubrir la necesidades de la

adquisición de repuestos y el mantenimiento de la infraestructura.

La adquisición de la Infraestructura se debe priorizar en los fabricantes

con presencia en el país y con capacidad de brindar soporte técnico

garantizado. De igual manera, se pueden realizar adquisiciones por

empresas distribuidoras nacionales e internacionales, debidamente

autorizadas por los fabricantes y así poder garantizar el soporte técnico.

3.1.2 Política de Custodia.

La Oficina de las TIC es al responsable de la custodia de los activos

fijos tecnológico, mediante los procesos establecidos y aprobados por el

Sistema de Gestión de Calidad.


8

Los activos físicos tecnológicos deben estar protegidos de los riesgos

del entorno físico y lógico, esta protección es necesaria para reducir las

posibles pérdidas o averías de los activos y esta bajo responsabilidad

Oficina de las TIC.

La Oficina de las TIC, es quien define los activos físicos tecnológicos

que deben ser dados de baja según lo establece los procedimientos

aprobados en el sistema de gestión de calidad, por su nivel de

obsolescencia, por no encontrarse aptos para su funcionamiento y por

no poder realizarle un efectivo mantenimiento.

Los funcionarios, contratistas y terceros que tengan bajo su custodia los

equipos de cómputo son responsables de su buen uso y deben atender

la normatividad establecida por la SSF. Los equipos de computo, pueden

ser reasignados según las necesidades para la ejecución de las

actividades de cada uno de los funcionarios, contratistas o terceros de la

entidad.

Los equipo de cómputo que sean de propiedad de los funcionarios,

contratistas o terceros, e ingresados a la entidad son de total

responsabilidad de estos.

3.1.3 Control y mantenimiento de Infraestructura Tecnológica.

La oficina de TIC, debe elaborar, actualizar y mantener el plan de gestión

de la infraestructura tecnológica de la SSF.

Los mantenimientos preventivos o correctivos sobre la infraestructura

tecnológica de la SSF, deben ser planeados, coordinados, comunicados y

ejecutados por la Oficina de las TIC.


9

La Oficina de TIC, debe gestionar la configuración sobre cada uno de los

componentes de la solución de TIC, como se establece en el

procedimiento.

La oficina de TIC, debe realizar el monitoreo continuo de los servicios

tecnológicos y validar el cumplimiento de los ANS de cada uno de ellos.

Es de obligatorio cumplimiento la adquisición de las pólizas de garantía

sobre toda la infraestructura tecnológica que se adquiera en la SSF.

3.1.4 Equipos y servicios de computo.

Esta políticas está orientada a formar a los usuarios en el cuidado y

adecuado funcionamiento de los equipos y servicios de computo

asignados.

La asignación de los equipos de cómputo y el acceso a la red de datos,

debe ser realizada por la oficina de TIC. La asignación debe ser a

personal de la SSF (funcionarios, contratistas o terceros), en ninguna

circunstancia deben ser operados por personas ajenas al Instituto

Distrital de Turismo.

Los usuarios, que requieran apoyo u orientación en el manejo y gestión

de los equipos de computo asignados y la información que contengan,

deben solicitar el mismo a la Oficina de TIC.

Los equipos de cómputo y el acceso a la red de datos, no pueden ser

utilizados para fines personales o de ocio. Las actividades a realizarse

sobre estos equipos y la red deben relacionarse a los programas y

proyectos administrativos y misionales de la SSF.


10

La instalación de licenciamiento en cada uno de los equipos de

computo debe ser realizado o autorizado por la Oficina de TIC de la

SSF.

Es prohibido el uso, almacenamiento y reproducción de software sin el

consentimiento del propietario de los derechos de autor.

Usos aceptables.

Los siguientes son los usos aceptables de los recursos de cómputo y el

acceso a la red de datos, que permitan lograr un correcto desempeño a

los usuarios en sus funciones y optimización de los recursos de

cómputo:

• Las actividades en desarrollo de las funciones propias de la

SSF (misionales, administrativas y de apoyo)

• Presentaciones, talleres, congresos y cursos virtuales

organizados pro la SSF.

• Actividades propias de la SSF, que requieran el uso de

medios electrónicos y redes de datos.

Obligaciones de los usuarios

• Se requiere que los usuarios respeten la integridad de los equipos de

computo, el acceso a la red de datos y las instalaciones asignadas.

• No se debe fumar, consumir alimentos y/o bebidas en los espacios

donde se encuentren los equipos de computo.

• Los usuarios deben mantener limpias las áreas donde se encuentren


11

los equipos de computo.

• Cualquier incidencia sobre los equipos de cómputo y acceso a la red

de datos, debe ser reportado a al Oficina de TIC, para apliquen la

solución pertinente.

• No se debe conectar o desconectar hardware externos al equipo de

computo sin autorización de la Oficina de TIC.

• No puede realizar instalaciones de software sin contar con la aprobación

de la Oficina de TIC.

• El software de comunicación instantánea a instalar y utilizar debe ser

aprobado por la Oficina de TIC

• Los equipos de computo no pueden ser utilizados para actividades

ociosas o juegos; de igual manera, no puede ser utilizado para

descargar archivos o software que saturen el ancho de banda de la

SSF.

• Los usuarios no pueden utilizar sus equipos de computo asignados

para lanzar ataques a otros equipos conectados en red.

• Los usuarios no cuentan con autorización para realizar

modificaciones a la configuración del equipo de computo asignado.

3.1.5 Computación en la Nube.

La SSF, debe garantizar que a través de la virtualización de los

escritorios, los datos que almacene los usuarios permitirán su gestión de

manera centralizada.

Los servicios que requieran ser virtualizados, deben ser evaluados en

cuanto al impacto y los riesgos de seguridad, continuidad, capacidad y

disponibilidad, según el proceso de gestión de cambios de la SSF.


12

3.1.6 Código Malicioso.

La SSF, debe implementar sobre los equipos de computo, los servicios

tecnológicos y los dispositivos tecnológicos propios, controles de detección y

prevención sobre códigos maliciosos, para esto la SSF debe ser muy estricta

en los permisos de instalación de software con licenciamiento apropiado y

acorde con la propiedad intelectual.

3.1.7 Gestión de Medíos Magnéticos

La SSF, debe generar un inventario de todos los medios magnéticos que

gestionan la información de la Entidad, este inventario debe contener las

condiciones y restricciones de cada uno de los medios, indicadas por los

fabricantes para determinar su tiempo de conservación. Cada medio debe

ser debidamente marcado para la correcta gestión de la información que

contenga.

Los medios magnéticos que no sean requeridos y ya cumplieron con su

función debe ser destruido y se debe garantizar por que su información no

pueda ser recuperada.

Los medios magnéticos que requieran ser almacenados y salvaguardados,

deben ser protegidos contra el acceso no autorizado, el mal uso de este o

corrupción del medio, dentro o fuera de la SSF.

3.1.8 Políticas de soporte de TIC a los usuarios.

La SSF, por medio de la oficina de TIC, debe garantizar una única mesa de

ayuda como canal oficial para atender los incidentes y requerimientos sobre


13

los servicios de TIC de acuerdo con el catalogo de servicios de la SSF y los

Acuerdos de Nivel de Servicio – ANS establecidos para cada uno de ellos.

Gestión de requerimientos.

La mesa de ayuda, debe mantener informado a los usuarios solicitante de la

evolución de sus requerimientos. Si el requerimiento no puede ser

implementado en los tiempos establecidos en los ANS, el usuario debe ser

informado.

Gestión de incidentes.

La mesa de ayuda, debe aplicar el procedimiento para gestión del registro,

asignación de prioridad, valoración del impacto, clasificación, actualización,

escalado, resolución y cierre formal del incidente reportado.

Si la incidencia requiere restauración de servicios, este debe ser atendido de

manera inmediata mediante la aplicación de una solución temporal o

definitiva. Debe informarse al usuario de la solución aplicada.

Si la incidencia no requiere una restauración de servicios inmediata, durante

su gestión, se debe mantener informado a los usuarios solicitantes de la

evolución del incidente. Si el requerimiento no puede ser implementado en

los tiempos establecidos en los ANS, el usuario debe ser informado.

3.1.9 Políticas sobre el Servicio de Internet.

Mediante esta política, se busca minimizar los riesgos de la exposición

de la información gestionada a través de los sistemas de información y

aplicaciones de la SSF a códigos malicioso a través de la red, debido a los


14

altos niveles de acceso de los funcionarios, contratistas y terceros a

internet y redes púbicas. De igual manera, evitar el uso de las

herramientas tecnologicas en actividades no relacionadas con las

funciones asignadas.

Políticas Generales del uso del servicio de Internet.

La Oficina de las TIC, es la encargada en la SSF de brindar el servicio

de acceso a Internet, así velar por su adecuado uso y correcto

funcionamiento.

Cada cuenta asignada a un funcionario, contratista y tercero tendrá

asignado una serie de privilegios y restricciones sobre los servicios

tecnológicos que se ofrecen en la SSF, los cuales son personales e

intransferible, por lo que es necesario que sean salvaguardada;

cualquier acción inadecuada en los servicios tecnológicos, serán

asociados y de responsabilidad de la cuenta que realizó la acción, por

lo que debe darse un uso responsable a los accesos asignados a su

cuenta y evitar la utilización de las misma por parte de personas no

autorizadas.

El acceso al Internet está definido para actividades y tareas

institucionales. Mediante monitoreo y estadisticas se analiza el trafico de

Internet, para poder detectar el uso inadecuado de los servicios de

internet.

Los funcionarios, contratistas y terceros, utilizan únicamente los servicios

para los cuales están autorizados. Los datos e información gestionada a

través de la internet, son de responsabilidad del usuario dueño de la

cuenta que lo realizó.


15

La Oficina de las TIC, tiene la facultad para restringir los sitios de

Internet que se definan como no requeridos para las labores propias de

la SSF o que puedan afectar el funcionamiento de la infraestructura

tecnológica. Cada una de as excepciones de acceso a sitios en la

internet deben ser debidamente justificadas por las dependencias de

manera formal ante la Oficina de las TIC.

Faltas graves en el uso de la Internet.

La Oficina de las TIC, considera pertinente establecer como faltas

graves en el uso del Internet, las siguientes:

• Ingresar a páginas pornográficas.

• Ingresar a página de personas u organizaciones al margen de

la ley.

• Ingresar a páginas con contenidos ilegales.

• Acceso a servicios de TV.

• Descargar e instalar programas no aprobados por la Oficina de

las TIC.

• Descargar paquetes que modifiquen la configuraciones de los

equipos de computo asignados.

• Descargar programas que permitan realizar conexiones

automáticas.

• La Distribución o reproducción de programas que permiten

conexiones automáticas vía Web o medios magnéticos.

• Descargar de archivos (música, videos, plataformas de


16

entrenamiento) no requeridas para las actividades de la SSF.

• Participar en juegos o entrenamientos en línea no requeridos

para las actividades de la SSF.

• Consulta de información inapropiada que pueda incomodar a

los funcionarios, contratistas y terceros en los espacios

comunes.

La omisión de estas restricciones será reportada al Oficina Asesora de

Control Interno.

3.1.10 Políticas sobre el Correo Electrónico.

Mediante esta política, se busca el buen uso del correo electrónico de la

SSF, por parte de los funcionarios, contratistas y terceros.

Políticas Generales del uso del servicio del Correo Electrónico.

Todos los funcionarios y contratistas de la SSF, tendrá asignada una

cuenta de correo institucional, para atender los asuntos y actividades

propias de su función en la SSF.

La Oficina de las TIC, proporcionará el servicio de correo institucional y

debe velar por su correcto funcionamiento y uso por parte de los

funcionarios y contratistas.

La Oficina de las TIC, desactivará las cuentas de correo que se encuentren

inactivas por más de tres (3) meses consecutivos y no sean reportados en

vacaciones o licencias. De igual manera, desactivará las cuentas que se

detecten sean mal utilizadas.


17

Las cuentas de correo son intransferibles, por lo que se deben asignar

claves seguras por parte de los usuarios de estas y no deben ser

compartidas.

La información enviada o recibida a través de las cuentas de correo es de

total responsabilidad del usuario que tiene asignada la cuenta.

Es responsabilidad de los usuarios del correo electrónico, el realizar

continuamente la revisión y depuración de sus buzones de correo, para

mantener el espacio disponible para la gestión de los nuevos mensajes.

Los usuarios con cuenta de correo de la SSF asignada deben tener

cuidado al decidir abrir archivos adjuntos en los mensajes con

remitentes sospechosos o desconocidos. Si considera que el mensaje

recibido es sospechoso debe inmediatamente informar a la Oficina de

las TIC, para que ellos realicen las validaciones pertinentes.

Al culminar el usuario con cuenta de correo asignada su vinculación con

la SSF, la cuenta de correo será desactivada posterior a recibir la

comunicación formal de su desvinculación.

Actividades prohibidas en el uso del Correo Electrónico

La Oficina de las TIC, considera pertinente establecer como actividades

prohibidas en el uso del correo electrónico, las siguientes:

• Enviar correos cuyo contenido no sea de carácter institucional.

• Enviar correos de tamaño superior al establecido. Los correos

electrónicos al interior de la SSF con alcance Institucional, que

requieran un mayor tamaño al establecido, deben ser publicados en

la Intranet de la SSF, su solicitud debe realizarse según lo

establecido en el procedimiento pertinente.


18

• Utilizar el correo para actividades no institucionales.

• Promocionar a través del correo interno o externo bienes o servicios

particulares que no tengan relación con los objetivos institucionales.

• Enviar correos de forma masiva. Si se requiere el servicio de envío

masivo debe ser solicitada a la Oficina de las TIC.

• Enviar o dar respuesta a cadenas de mensajes personales o

masivas, que no tengan carácter institucional.

• Enviar o reenviar correos internos o externos con información contra

la moral.

• Publicar, distribuir o divulgar información inapropiada o ilegal a través

del correo institucional.

• Enviar o reenviar correos internos o externos que fomente

comportamientos que dé lugar a responsabilidades civiles,

administrativas o penales.

• Enviar correo con información que transgreda las normas nacionales

o internacionales referentes a los Derechos de Autor.

• Enviar correos internos y externos promocionando bienes o servicios

que no tengan relación sus funciones en la SSF.

• Enviar o reenviar correos que contengan propaganda o información

de carácter político partidista.

• Utilizar el correo para enviar o reenviar mensajes no deseados,

correos molestos, spam, comerciales.

• Enviar o reenviar correo para difamar, insultar, acosar, amenazar o

infringir de cualquier otra forma a una persona que labore o no en la

SSF.


19

• La transmisión de archivos que contengan virus, programas

perjudiciales o nocivos para los equipos o redes institucionales.

3.1.11 Políticas Antivirus y Gestión de la Información

Lineamientos que cada uno de los funcionarios, contratistas o terceros

deben tener en cuenta para brindar la protección adecuada a los

equipos de computo ante un posible ataque de virus informático.

Políticas Generales.

• No se debe abrir archivos cuya extensión no sea conocida o que se

esté absolutamente seguro de que el mail proviene de una persona

conocida y confiable o que haya informado previamente del envío de

este.

• La Oficina de TIC, debe implementar firewall a nivel físico y lógico,

para minimizar el riesgo de ataques sobre la infraestructura tecnológica

de la SSF, filtrar los contenidos y la gestión de las políticas para el

Internet.

• Los archivos deben ser trabajados en el equipo de computo

asignado por la SSF y luego copiados a un medio magnético

externo, no deben trabajarse directamente sobre el medio magnético

externo debido a que si es dañado por un virus su recuperación

puede no ser realizada.

• Se debe realizar la copia de seguridad de la información de los

equipos de computo asignados a los funcionarios, contratistas y

terceros, como lo establece en el procedimiento aprobado por el

sistema de gestión de calidad de la SSF.


20

• La Oficina de las TIC, lanzará periódicas actualizaciones a los

sistemas operativos o aplicaciones para minimizar las posibilidades

de acceso de virus y aumentar la protección contra los ataques

informáticos.

Política sobre la Aplicación de Antivirus

• Los funcionarios, contratistas y terceros, deben generar una cultura

de ejecución periódica de vacunación de las unidades internas del

equipo de computo asignado como funcionario, contratista o tercero.

• Los funcionarios, contratistas y terceros, deben realizar la aplicación

y revisión del antivirus a las unidades externas que requiera conectar

al equipo de computo, antes de ser utilizadas.

• La Oficina de las TIC, debe velar por que todos los funcionarios,

contratistas y terceros, tengan el conocimiento operativo para la

aplicación del antivirus en las unidades internas y externas del

equipo de computo.

3.2 Políticas de software.

La Oficina de las TIC es la responsable de planificar, desarrollar y ejecutar las

actividades relacionadas con el desarrollo, actualizaciones e instalaciones del

software de la SSF. De igual manera, debe planificar la ejecución de pruebas

funcionales y de seguridad de los sistemas nuevos o modificados antes de

colocar en producción.


21

3.2.1 Políticas de Adquisición Software.

Toda adquisición de software debe estar contemplada en el Plan de

Compras de la entidad, el PETIC, alineado a la arquitectura de sistemas

de información y debe estar sujeta a los procedimientos establecidos por

la SSF y deben ser aprobadas por la Oficina de las TIC. Es posible, que

por necesidad de la Entidad, se requiera la aprobación de la adquisición

de software no previsto.

Cualquier necesidad de adquisición de las dependencias deben ser

gestionadas en coordinación con la Oficina de las TIC, previa validación

del software actual, la arquitectura de sistemas de información y la

capacidad instalada, para identificar la disponibilidad de esta y no

generar gastos a la entidad.

La adquisición de software debe realizarse a empresas, proveedora de

productos de alta calidad y con respaldo técnico.

La adquisición de nuevo software, debe contar con una etapa de

verificación (estudio previo) por parte de la Oficina de las TIC, para

determinar que no existe una solución al interior de la entidad que cubra

la necesidad, que el software es integrable con los sistemas existentes

en la entidad y si la solución puede ser del mercado o a la medida.

3.2.2 Políticas de Desarrollo de software.

El desarrollo de software a la medida se deberá efectuar a través de

contratación de personal externo a la entidad y deberá ser supervisado

por el área que suscriba el contrato, con el acompañamiento de la

Oficina de las TIC.


22

Los recursos y el diseño de las aplicaciones buscan aumentar la

eficiencia operacional y/o misional, a través del intercambio electrónico

de información.

Las áreas usuarias del software que se encuentre en desarrollo deben

participar activamente desde el inicio hasta la terminación de todo el

proceso.

La Oficina de las TIC debe velar que el software adquirido o

desarrollado pueda integrarse con los sistemas de información

existentes y que este orientado a la utilización de la plataforma de

interoperabilidad del Estado.

La adquisición o desarrollo de Software deberá implementarse según lo

establecido en el ciclo de vida, criterios de seguridad y de calidad en el

desarrollo de software.

Las áreas usuarias del software en desarrollo son responsables, con la

orientación de la Oficina de las TIC, de ejecutar las pruebas y posterior

aprobación requeridas antes de la entrega definitiva y puesta en

producción del software.

Se debe tener a disposición ambientes de desarrollo o pruebas

representativas, previas a la implantación definitiva del software y

ambientes de producción; es decir, de utilización definitiva claramente

diferenciados.

Cuando se requiera realizar el desarrollo de un software nuevo, la

Oficina de TIC debe verificar, mediante un estudio o análisis previo, que

la solución no va a generar duplicidad de tareas.

Las desarrollos realizados deben dar cabal cumplir con los

requerimientos de desarrollo seguro establecidos por la Oficina de las


23

TIC conforme con la Política de Seguridad de la Información, definidas

en la SSF.

Los desarrollo de software realizados por los funcionarios, contratistas o

terceros, en la ejecución de sus obligaciones será de propiedad

intelectual de la SSF, salvo si en sus obligaciones o alcance indica lo

contrario.

No se permite, que los funcionarios, contratistas o terceros de la SSF,

realicen copias del software con el que se relacionan, o cedan

autorización de acceso a terceros al software de propiedad intelectual o

con licencia de uso de la SSF.

Toda modificación de software crítico bien sea por actualizaciones o

modificaciones, deberá ser analizada previamente en ambientes

independientes de desarrollo y prueba, con el objetivo de identificar y

analizar los riesgos de seguridad que acarrea dicha modificación.

La Oficina TIC, debe velar por la gestión de configuración y el control de

versiones de los diferentes softwares, según lo establezca el

procedimiento.

Los cambios de versiones deben ser planeados y acordados

conjuntamente con el área usuaria y la Oficina de TIC.

Política para la especificación detallada de requerimientos

La Oficina de las TIC, debe garantizar la disponibilidad de una Mesa de Ayuda

como canal único para dar correcta atención a los requerimientos de los

usuarios de la SSF de acuerdo con el catálogo de servicios de TIC ofrecido,

para generar una respuesta oportuna, teniendo en cuenta los acuerdos de

nivel de servicio ofrecidos.


24

De igual manera, proveerá información del estado de evolución del

requerimiento al usuario solicitante. Si existe la posibilidad que durante la

gestión del requerimiento no se de cumplimiento a los Acuerdos de Niveles de

Servicio, se debe comunicar al usuario solicitante.

La Oficina de TIC, debe proveer a las áreas usuarias de instrumentos para la

especificación de los requerimientos, según se define en el procedimiento.

Política para el diseño de Sistema

Los nivel de confidencialidad del software, se definirá teniendo en cuenta la

criticidad de la información que se gestione en este software. Los gestores de

bases de datos, deben garantizar el nivel de protección adecuado.

Todo software crítico para la SSF deberá incluir la generación de registros de

auditoría, considerando como mínimo la identidad del usuario que lee, borra,

escribe, o actualiza, el tipo de evento y la fecha y hora del evento. Estos

registros deben ser protegidos contra la manipulación no autorizada.

En la etapa de diseño se deberá proyectar el rendimiento esperado, con el

objetivo de no sobre dimensionar los recursos necesarios para el

funcionamiento del sistema (ancho de banda, RAM, recursos del servidor,

etc.).

Política para la documentación del software

El diccionario de datos, o repositorio de metadatos, deberá mantener una

descripción actualizada de las definiciones de datos.

Si el desarrollador incluye comentarios en el programa fuente, estos no deben

divulgar información de configuración innecesaria.


25

Todo sistema desarrollado por la SSF debe generar el protocolo de las

condiciones de autenticación a la aplicación, el cual deberá ser revisado y

aprobado por el equipo de seguridad de la información.

La documentación de los desarrollos deberá:

• Generarse durante el ciclo de vida de desarrollo y no postergarla hasta

el final.

• Ser revisada por los usuarios finales del sistema en desarrollo.

• Actualizarse si el programa cambia alguna de sus funcionalidades.

• Almacenarse en un sitio centralizado (Servidor) administrado por la

subdirección de desarrollo de aplicaciones.

Política para las pruebas

Se deberán planificar detalladamente las etapas de paso a producción,

incluyendo respaldos, recursos, conjunto de pruebas pre y pos-instalación, y

criterios de aceptación del cambio.

Para propósitos de desarrollo y pruebas de software, se deberán generar

datos de prueba distintos a los que se encuentran en el ambiente de

producción.

En lo posible, las pruebas del sistema deberán incluir: instalación, volumen,

stress, rendimiento, almacenamiento, configuración, funcionalidad, seguridad y

recuperación ante errores.

En lo posible, las pruebas deberán ser realizadas en forma automática,

almacenando criterios y datos de pruebas en archivos, para permitir la

verificación rápida y repetitiva.


26

3.2.3 Custodia.

La oficina de las TIC es la responsable de la administración del software

(sistemas operativos, aplicativos, utilitarios, administradores de bases de

datos, lenguajes de programación, a la medida) de uso de la SSF. De

igual manera, debe mantener actualizado el inventario del software y su

licenciamiento.

Los desarrolladores de loa SSF y terceros, no deberán tener acceso a

información de producción que contenga datos sensibles.

Se debe establecer un acuerdo previo con los terceros, que resguarde la

propiedad intelectual y asegure los niveles de confidencialidad de la

información manejada en el proyecto.

Los accesos al código fuente y los archivos del sistema, se debe encontrar

restringido.

Las actualizaciones del software deben ser realizadas por los administradores

de estos al interior de la SSF, siguiendo las indicaciones establecidas en los

controles de cambio debidamente documentados.

Política para la gestión de Vulnerabilidades

Se deberá establecer una gestión de vulnerabilidades técnicas orientada a

analizar los problemas de seguridad (vulnerabilidades) que surgen en los

productos de software, que sean publicadas por los proveedores de tecnología

y las agencias especializadas (CVE, OWASP) o detectados por cualquier

usuario y proponer las medidas de mitigación al riesgo definido.

Se deberá establecer un plan de actualización para el software que es

desarrollado o se utiliza en la Entidad, asegurando que las últimas versiones y


27

parches sean instalados lo antes posible, con el fin de evitar que alguna

vulnerabilidad sea explotada.

3.2.4 Uso.

Solo se encuentra permitido el software legalmente adquirido por parte

de la SSF. En caso de tratarse de equipos personales, (teléfonos

celulares, agendas electrónicas, dispositivos de almacenamiento de

música y archivos, cámaras digitales, etc.) que sean utilizados con

propósitos institucionales, cada usuario debe garantizar y tener las

licencias que acrediten la legalidad del software que se está utilizando.

Cada usuario es responsable por la instalación del software no

licenciado que se encuentre en los equipos de cómputo a su cargo.

El sistema operativo de los equipos de cómputo que se encuentran bajo

la modalidad de arriendo debe estar licenciado por el proveedor de la

empresa que presta el servicio.

La instalación de cualquier software ya sea institucional, personal o de

libre distribución debe contar con la autorización previa de la Oficina de

las TIC.

El software utilizado por los proveedores de servicio y no suministrado

por la SSF, debe ser de su autoría o tener las licencias de uso

correspondientes.

El software desarrollado a la medida es de propiedad del SSF y es

responsabilidad la Oficina de las TIC adelantar, si es necesario, el

debido registro del producto.


28

Al menos una vez cada año, se debe realizar un escaneo de las aplicaciones

más recientes puestas en producción, en busca de vulnerabilidades,

manteniendo un registro de los resultados y las acciones correctivas tomadas.

Todo despliegue de software, debe incluir una estrategia de gestión del

cambio organizacional que permita la gestión del impacto y los intereses de

los usuarios de este, que garanticen el uso y apropiación del software.

Se debe definir e implementar un plan de transferencia de conocimiento por

cada proyecto de software, que fortalezca las competencias de los usuarios

(funcionarios, contratistas y terceros), y garantice el uso y apropiación de la

solución tecnológica.

3.2.5 Manejo de Cambio.

Los cambios de versiones del software deben ser planeados,

analizados, evaluados y acordados conjuntamente entre el área

responsable o solicitante del cambio y la Oficina de las TIC.

La actualización y configuración de un nuevo sistema operativo deberá

realizarse únicamente por personal autorizado.

Los controles de cambio deben estar debidamente documentados y

deben ser ejecutados bajo los lineamientos de seguridad para no

comprometer los sistemas.

3.3 Políticas de seguridad de la información.

Las políticas de Seguridad de la Información de la SSF, propende por el

aseguramiento de la confidencialidad, integridad y disponibilidad de la

información de la Entidad; así como sus activos de información, la gestión de


29

riesgos, la identificación de requerimientos legales y regulatorios acorde a la

misión de la SSF.

Las políticas específicas de la seguridad de la información definidas para la SSF,

se encuentran en el Manual de Políticas de Seguridad de la Información que

hace parte del SGSI; a continuación, se relacionan las mismas:

• Política de Dispositivos Móviles.

• Política de Teletrabajo.

• Política de Control de Acceso.

• Política de uso de Controles Criptográficos.

• Política de Llaves Criptográficas.

• Política de Escritorio. Pantalla Limpia.

• Política de Copia de Respaldo.

• Política de Transferencia de Información.

• Política de Desarrollo Seguro.

• Política de Relación con los Proveedores.

• Política de Protección de Datos.

3.4 Política de la continuidad del negocio.

La SSF, ha definido una Política de Continuidad de Negocio, para proteger

los recursos que soportan sus procesos misionales y de apoyo de forma

permanente, ante la ocurrencia de eventos adversos que puedan impactar

negativamente a la Superintendencia, velando especialmente por la seguridad

de sus colaboradores, el cumplimiento de los compromisos adquiridos con los

trabajadores afiliados a las cajas de compensación y sus familias, terceros y

entes de control, así como preservar la sostenibilidad y buena reputación de

la Superintendencia.


30

3.5 Política de relación con los proveedores.

La SSF, implanta mecanismos de control en sus relaciones con proveedores

de servicios, buscando proteger la información de la SSF a la que tengan

acceso, y que sea requerida para la prestación de sus servicios, mediante su

política de relación con los proveedores que se encuentra incorporada al

manual de las políticas de seguridad de la información.

De igual manera, la SSF tiene incorporadas política de gestión de

proveedores a nivel Institucional.

4 RESPONSABLES

§ Oficina de las Tecnologías de la Información y Comunicación. Es

responsable del uso de la política de TIC como herramienta de gestión y

definir los estándares para que la entidad de cumplimiento a la misma.

Poner a disposición los recursos necesarios para que las políticas de TIC de

la SSF se lleven a cabo de acuerdo con los establecido en la presente

política.

Designar el personal idóneo para apoyar la implementación de la presente

política.

Cualquier requerimiento de modificación de las políticas debe ser dirigido a la

Oficina de las TIC, quien será el encargado de mantener actualizado la

política de TIC de la SSF.

§ Los funcionarios, Contratistas y terceros. Son responsables de dar

cumplimiento a las políticas de TIC.


31

§ Alta Dirección. Dará aprobación de las modificaciones a las políticas de TIC,

previa validación de la Oficina de las TIC.

§ Equipo de Seguridad de la Información. Velar que el cumplimiento de la

presente política se lleve a cabo de acuerdo con los lineamientos de

seguridad establecidos por la SSF.

§ Coordinador Talento Humano. Deberán informar a la Oficina de las TIC

cuando finalice el contrato de cualquier miembro del personal de planta de la

SSF.

§ Jefe de la Secretaria General. Deberán informar a la Oficina de las TIC

cuando finalice el contrato de contratistas de la SSF, además definir e

implementar los controles de acceso físico.

5 DEFINICIONES

• Política de TIC. Es un conjunto de reglas que controlan las características y

las funciones de los dispositivos. Puede utilizar las reglas de políticas de TI

para controlar las características del dispositivo, el espacio de trabajo en los

dispositivos, o ambos.

• Sistema de gestión de la seguridad de la información SGSI. Parte del

sistema de gestión global, basada en un enfoque hacia los riesgos globales

de un negocio, cuyo fin es establecer, implementar, operar, hacer

seguimiento, revisar, mantener y mejorar la seguridad de la información.

• NTC ISO 22301:2012. Es la primera norma internacional para la gestión de la

continuidad de negocio y se ha desarrollado para ayudar a las empresas a

minimizar el riesgo del tipo de interrupciones. Esta norma remplaza a la


32

norma británica BS25999. Especifica los requisitos necesarios para planificar,

establecer, implantar, operar, monitorear, revisar, mantener y mejorar de

forma continua el Sistema de Gestión para responder y recuperarse pronto de

las interrupciones, en el momento en el que sucedan.

• NTC ISO/IEC 27001: 2013. Son estándares de seguridad publicados por la

Organización Internacional para la Estandarización (ISO) y la Comisión

Electrotécnica Internacional (IEC). ... Norma que especifica los requisitos

para la implantación del SGSI. Es la norma más importante de la familia.

• La norma ISO 9001. Tiene carácter internacional, da respuesta a la

implementación de un Sistema de Gestión de Calidad. La norma ISO 9001

demuestra a los clientes que tus productos o servicios cumplen con la ley y

con los estándares de calidad que requiere la ISO, que es la Organización

Internacional de Normalización.

• Ley 734 de 2002. Denominado el Código Disciplinario Único. Es ejercida por

la Procuraduría General de la Nación, las Personerías, las Oficinas de Control

Interno, los funcionarios con potestad disciplinaria y la jurisdicción

disciplinaria.

• Procesos. Se define un proceso de negocio como conjunto de actividades

que reciben una o más entradas para crear un resultado/producto de valor

para el cliente o para la propia compañía/proceso (concepto de Cliente

Interno de Calidad). Normalmente, una actividad empresarial cuenta con

múltiples procesos que sirven para el desarrollo su objeto de negocio.

• Procedimientos. Pasos operacionales que los colaboradores deben realizar

para alcanzar ciertos objetivos/resultados.

• Riesgo. Combinación de la probabilidad de un evento y sus consecuencias.


33

• Seguridad de la información. Es el conjunto de medidas preventivas y

reactivas de las organizaciones y de los sistemas tecnológicos que permiten

resguardar y proteger la información buscando mantener la confidencialidad,

la disponibilidad e integridad de datos y de la misma.

• Servicio de tecnologías de la información. Es un conjunto de actividades

que buscan responder a las necesidades de un cliente por medio de un

cambio de condición en los bienes informáticos (llámese activos),

potenciando el valor de estos y reduciendo el riesgo inherente del sistema.

6 INDICADORES

6.1. Capacitación Política TI.

Nombre del Indicador: Porcentaje de capacitados sobre la política de TI

Objetivo del Indicador: Cálculo porcentual de personal de la SSF que ha sido capacitada sobre la política de TI.

Frecuencia: Anual

Formula: (Cantidad de Personal Capacitado en el año sobre la Política de TI /Cantidad de Personal vinculado a la SSF en el año) * 100

6.2. Incidentes de Seguridad

Nombre del Indicador: Cantidad de Incidentes de Seguridad de la Información.


34

Objetivo del Indicador: Calcular la cantidad de incidentes que se que se presenten contra las políticas de seguridad de la información en la SSF.

Frecuencia: Anual

Formula: Cuantificación de incidentes contra la política de seguridad de la información.

7 EXCEPCIONES

Las excepciones al cumplimiento de la política de las TIC, deben ser

aprobadas por la Oficina de las Tecnologías de la Información y

Comunicación – OTIC de la SSF. Todas las excepciones deben estar

formalmente documentadas, registradas y revisadas por la dirección de la

Oficina de las TIC.

8 SANCIONES

El incumplimiento de esta política de la información y las comunicaciones

traerá consigo las consecuencias legales que apliquen a la normativa de la

Entidad, incluyendo lo establecido en las normas que competen al Gobierno

Nacional y Territorial en cuanto a seguridad y privacidad de la información se

refiere.

9 REFERENCIAS

• Política de Seguridad de la Información. • Política de Dispositivos Móviles. • Política de Teletrabajo.


35

• Política de Control de Acceso. • Política de uso de Controles Criptográficos. • Política de Llaves Criptográficas. • Política de Escritorio. Pantalla Limpia. • Política de Copia de Respaldo. • Política de Transferencia de Información. • Política de Desarrollo Seguro. • Política de Relación con los Proveedores. • Política de Protección de Datos. • Política de Continuidad del Negocio.

10 GLOSARIO

• Acceso: En relación con la seguridad de la información se refiere a

la identificación, autenticación y autorización de un usuario a los sistemas,

recursos y áreas de la SSF en un momento dado.

• Acceso físico: Significa ingresar a las áreas de misión crítica o instalaciones

en general de un sitio de la entidad.

• Acceso lógico: En general, el acceso lógico es un acceso en red, por

ejemplo: acceder a archivos, navegar en el servidor, enviar un correo

electrónico o transferir archivos. La mayoría de los accesos lógicos se

relacionan con algún tipo de información.

• Aceptación de riesgo: Decisión de asumir un riesgo.

• Activo: cualquier elemento que represente valor para la organización.

• Activo de información: En relación con la seguridad de la información, se

refiere a cualquier información o elemento relacionado con el tratamiento de

esta (sistemas, soportes, edificios, personas, etc.) que tenga valor para la

organización.

• Acuerdos de Confidencialidad: Es un contrato legal entre al menos dos

entidades para compartir material confidencial o conocimiento para ciertos

propósitos, pero restringiendo su uso público.

• Acuerdos de Intercambio de información: Es un contrato legal entre al

menos dos entidades para compartir información o conocimiento para ciertos


36

propósitos, donde se definen las responsabilidades de protección que se le

deberá dar a dicha información.

• Acuerdos de Niveles de Servicio: Es un contrato escrito entre un proveedor

de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de

dicho servicio

• Alta Dirección: Se considera Alta Dirección a los directivos con cargo más

alto en una organización; el Presidente, el Gerente General y los Directores

de las distintas áreas. En el caso de la SSF se entiende como Alta Dirección

a la integrada por la Superintendente y el Comité Directivo.

• Análisis de Riesgo: Uso sistemático de la información para identificar

fuentes y para estimar el riesgo (Guía ISO/IEC 73:2002).

• Adaptabilidad: Define que todos los eventos y bajo qué criterios un sistema

debe poder ser monitoreado y revisado para su control posterior.

• Autenticidad: Busca asegurar la validez de la información en tiempo, forma y

distribución. Asimismo, se garantiza el origen de la información, validando el

emisor para evitar suplantación de identidades.

• Cifrado: Que está escrito con letras, símbolos o números que solo pueden

comprenderse si se dispone de la clave (llave criptográfica) necesaria para

descifrarlos.

• Cifrar: Es un procedimiento que utiliza un algoritmo de cifrado con

cierta clave (clave de cifrado) que transforma la información, sin atender a su

estructura lingüística o significado, de tal forma que sea incomprensible o, al

menos, difícil de comprender a toda persona que no tenga la clave secreta. • Comité de Seguridad de la Información: El Comité de Seguridad de la

Información, es un cuerpo integrado por representantes designados por la

Alta Dirección con el objetivo de garantizar el apoyo manifiesto de las

autoridades a las iniciativas de seguridad.

• Confiabilidad de la Información: Garantiza que la fuente de la información

generada sea adecuada para sustentar la toma de decisiones y la ejecución

de las misiones y funciones.


37

• Confidencialidad: Propiedad que determina que la información no esté

disponible ni sea revelada a individuos, entidades o procesos no autorizados.

• Copia de respaldo o backup: Es un duplicado de la información más

importante, y se realiza para salvaguardar los documentos, archivos, fotos,

bases de datos, configuraciones etc.

• Datos Personales: información que contiene elementos que al unirse pueden

caracterizar a un individuo, por ejemplo, número de cedula, dirección, tipo de

sangre, teléfono, etc.

• Datos Sensibles: información catalogada como pública clasificada o pública

reservada.

• Declaración de aplicabilidad: Documento que describe los objetivos de

control y los controles pertinentes y aplicables para el mismo.

• Desarrollador: Persona que apoya el desarrollo de alguna de las fases del

ciclo de vida del desarrollo de software para la SSF y que puede trabajar

directamente para la SSF (planta, contratista, estudiante en práctica) o través

de una empresa externa.

• Disponibilidad: Propiedad de que la información sea accesible y utilizable

por solicitud de una entidad.

• Dispositivo móvil: Elemento electrónico de tamaño pequeño, con

capacidades de procesamiento de datos, conexión a Internet y memoria Son

ejemplos de estos: celulares inteligentes, tabletas y portátiles.

• Dueño del riesgo sobre el activo: Persona o entidad con la responsabilidad

de rendir cuentas y la autoridad para gestionar un riesgo.

• Información: Datos que poseen una información.

• Escritorio limpio: Protección de los papeles y dispositivos removibles de

almacenamiento de información, almacenados y manipulados en estaciones

de trabajo, de accesos no autorizados, perdida o daño de la información.

• Estación de trabajo: Área dispuesta por la SSF para que cada colaborador

pueda llevar a cabo sus actividades. Tales como oficinas, escritorios entre

otros.


38

• Evaluación del riesgo: Proceso de comparar el riesgo estimado contra

criterios de riesgo dados, para determinar la importancia del riesgo.

• Evento de seguridad de la información: Presencia identificada de una

condición de un sistema, servicio o red, que indica una posible violación de la

política de seguridad de la información o la falla de las salvaguardas, o una

situación desconocida previamente que puede ser pertinente a la seguridad.

• Gestión del riesgo: Actividades coordinadas para dirigir y controlar una

organización en relación con el riesgo.

• Hash: Es una función computable mediante un algoritmo, que tiene como

entrada un conjunto de elementos, que suelen ser cadenas, y los convierte

(mapea) en un rango de salida finito, normalmente cadenas de longitud fija.

• Incidente de seguridad de la información: Un evento o serie de eventos de

seguridad de la información no deseados o inesperados, que tienen una

probabilidad significativa de comprometer las operaciones del negocio y

amenazar la seguridad d la información.

• Información pública: Es toda información que la SSF genere, obtenga,

adquiera, o controle; corresponde a datos que son de acceso público y que

por lo tanto no tienen requerimientos frente a la Confidencialidad. Está en

esta clasificación la información denominada como “Pública” en la Ley 1712

de 2014 y como “dato público” en el decreto 1377 de 2013.

• Información Pública de Uso Interno: Es toda información que no contiene

datos sensibles, que puede encontrarse en proceso de construcción, y que no

requiere su divulgación a terceros, pero es necesaria para las actividades

internas de la SSF.

• Información pública clasificada: Es aquella información que estando en

poder o custodia de la SSF, pertenece al ámbito propio, particular y privado o

semiprivado de una persona natural o jurídica por lo que su acceso podrá ser

negado o exceptuado, siempre que se trate de las circunstancias legítimas y

necesarias y los derechos particulares o privados. Esta corresponde a toda

aquella información cuyo acceso podrá ser rechazado o denegado de manera


39

motivada y por escrito, siempre que el acceso pudiere causar un daño a los

siguientes derechos:

o El derecho de toda persona a la intimidad, bajo las limitaciones propias

que impone la condición de servidor público, en concordancia con lo

estipulado.

o El derecho de toda persona a la vida, la salud o la seguridad.

o Los secretos comerciales, industriales y profesionales.

o También corresponden a esta categoría los datos que son catalogados

como “dato semiprivado o privado” de acuerdo con el decreto 1377 de

2013.

• Información pública reservada: Es aquella información que estando en

poder o custodia de la SSF es exceptuada de acceso a la ciudadanía por

daño a intereses públicos. Esta corresponde a aquella información cuyo

acceso podrá ser rechazado o denegado de manera motivada y por escrito en

las siguientes circunstancias, siempre que dicho acceso estuviere

expresamente prohibido por una norma legal o constitucional:

o La defensa y seguridad nacional;

o La seguridad pública;

o Las relaciones internacionales;

o La prevención, investigación y persecución de los delitos y las faltas

disciplinarias, mientras que no se haga efectiva la medida de

aseguramiento o se formule pliego de cargos, según el caso;

o El debido proceso y la igualdad de las partes en los procesos

judiciales;

o La administración efectiva de la justicia;

o Los derechos de la infancia y la adolescencia;

o La estabilidad macroeconómica y financiera del país;

o La salud pública.

o También corresponde a información de carácter reservado los datos

catalogados como sensibles por el decreto 1377 de 2013


40

• Integridad: Propiedad de salvaguardar la exactitud y estado completo de los

activos.

• Norma: Principio que se impone o se adopta para dirigir la conducta o la

correcta realización de una acción o el correcto desarrollo de una actividad.

• Lista blanca: Es una lista o registro de entidades que, por una razón u otra,

pueden obtener algún privilegio particular, servicio, movilidad, acceso o

reconocimiento.

• Log: es un registro oficial de eventos durante un rango de tiempo en

particular. Se usa para registrar datos o información sobre quién, qué,

cuándo, dónde y por qué un evento ocurre para un dispositivo en particular

o aplicación.

• Llaves criptográficas: Son códigos (algoritmos) que se generan de forma

automática y se guarda en un directorio especial durante la instalación.

Habitualmente, esta información es una secuencia de números o letras

mediante la cual, en criptografía, se especifica la transformación del texto

plano en texto cifrado, o viceversa.

• Lugar seguro: es aquel que protege el activo de información de acceso de

personas no autorizadas, que su contenido no sea alterado y que el activo

pueda ser recuperado por las personas autorizadas de manera oportuna

(algunos ejemplos son: cajón seguro con llave, oficina con llave, etc.)

• Pantalla limpia: Protección de los equipos de cómputo, tabletas, portátiles u

otros dispositivos mediante un bloqueo de pantalla o desconexión cuando no

está en uso.

• Personal: Es aquella persona que tiene una relación con la SSF directa o a

través de un tercero, bajo cualquier tipo de vinculación Planta, contratistas,

estudiantes en práctica, etc.

• Política: actividad orientada en forma ideológica a la toma de decisiones de

un grupo para alcanzar ciertos objetivos.

• Propietario de Activo de Información: Es el nombre del responsable de la

producción de la información (propietario): Que corresponde al nombre del


41

área, dependencia o unidad interna, o al nombre de la entidad externa que

creó la información. Es el responsable del activo, quien debe velar por el

cumplimiento de los requerimientos establecidos frente a las propiedades de

disponibilidad, confidencialidad e integridad.

• Protección a la duplicación: consiste en asegurar que una transacción sólo

se realiza una vez, a menos que se especifique lo contrario. Impedir que se

grabe una transacción para luego reproducirla, con el objeto de simular

múltiples peticiones del mismo remitente original.

• Recursos informáticos: Todos aquellos componentes de hardware y

programas (software) que son necesarios para el buen funcionamiento y la

optimización del trabajo con computadores y periféricos, tanto a nivel

Individual, como colectivo u organizativo, sin dejar de lado el buen

funcionamiento de estos.

• Registro: Documento que presenta resultados obtenidos o proporcionar

evidencia de actividades desempeñadas.

• Responsable de Seguridad TIC: En LA ENTIDAD el comité de seguridad de

la información será el grupo encargado de realizar el seguimiento y monitoreo

al Sistema de Gestión de la Seguridad de la información (SGSI).

• Responsables del Activo: Personas responsables del activo de información

en el proceso.

• Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la

ejecución de ningún control.

• Riesgo residual: Nivel restante de riesgo después del tratamiento del riesgo.

• Seguridad de la Información: Preservación de la confidencialidad, la

integridad y la disponibilidad de la información; además, puede involucrar

otras propiedades tales como: autenticidad, trazabilidad, no repudio y

fiabilidad. [NTC-ISO/IEC 27002:2013].

• Sistema de Información: Se refiere a un conjunto independiente de recursos

de información organizados para la recopilación, procesamiento,

mantenimiento, transmisión y difusión de información según determinados


42

procedimientos, tanto automatizados como manuales que se realicen en la

entidad.

• Teletrabajo: Teletrabajo es el término bajo el cual se conoce el esquema

acordado formalmente entre un empleado y su empleador para trabajar en un

lugar diferente a la oficina. El aprovechamiento de las ventajas de las

Tecnologías de información y comunicación permite lograr las actividades en

forma no presencial, trayendo consigo la ventaja de evitar pérdidas de tiempo

en desplazamiento y poder trabajar desde la comodidad de su lugar de

vivienda.

• Tecnología de la Información: Se refiere al hardware y software operado

por el organismo o por un tercero que procese información en su nombre,

para llevar a cabo una función propia de la entidad.

• Tercero: Cualquier persona natural o jurídica externa a la Entidad y que

presta algún tipo de servicio o realiza alguna labor para la SSF.

• Texto plano: es un archivo informático que contiene

únicamente texto formado solo por caracteres que son legibles por humanos,

careciendo de cualquier tipo de formato tipográfico. También son llamados

archivos de texto llano, simple o sin formato.

• Tratamiento del riesgo: Proceso de selección e implementación de acciones

de mejorar que permitan mitigar el riesgo.

• Trasferencia de información: Intercambio de información entre áreas

internas de la Entidad o entre la SSF y terceras partes. • Token: Es un dispositivo que genera códigos de acceso que se le da a un

usuario autorizado de un servicio computarizado para facilitar el proceso de

autenticación. • URL (localizador de recursos uniforme): Es un identificador de recursos

uniforme (Uniform Resource Identifier, URI) cuyos recursos referidos pueden

cambiar, esto es, la dirección puede apuntar a recursos variables en el

tiempo. Están formados por una secuencia de caracteres, de acuerdo con un

formato modélico y estándar, que designa recursos en una red. • Valoración del riesgo: Proceso de análisis y evaluación del riesgo.

política ti ssf-v.1.0

Documents