política ti ssf-v.1.0
TRANSCRIPT
Sede Principal: Edificio World Business Port Cra 69b 24-10 Septimo piso Sede Administrativa: Calle 26 No. 57-41 Torre 8 pisos 15 y 16
Teléfonos: 3487777 - PBX: 3487800 Fax 3487804 www.ssf.gov.co - e-mail: [email protected] Bogotá D.C., Colombia
POLÍTICA DE TI
FO- PIN- CODO- 03 Versión 1
2
Contenido 1 OBJETIVO ....................................................................................................................... 3
2 ALCANCE ........................................................................................................................ 3
3 DESCRIPCIÓN DE LA POLITICA ................................................................................... 3
3.1 Políticas de servicios tecnológicos ....................................................................... 4 3.1.1 Políticas de Adquisiciones Tecnológicas. ..................................................... 7 3.1.2 Política de Custodia. ..................................................................................... 7 3.1.3 Control y mantenimiento de Infraestructura Tecnológica. ............................. 8 3.1.4 Equipos y servicios de computo. ................................................................... 9 3.1.5 Computación en la Nube. ............................................................................ 11 3.1.6 Código Malicioso. ........................................................................................ 12 3.1.7 Gestión de Medíos Magnéticos ................................................................... 12 3.1.8 Políticas de soporte de TIC a los usuarios. ................................................. 12 3.1.9 Políticas sobre el Servicio de Internet. ........................................................ 13 3.1.10 Políticas sobre el Correo Electrónico. ....................................................... 16 3.1.11 Políticas Antivirus y Gestión de la Información ......................................... 19
3.2 Políticas de software. ......................................................................................... 20 3.2.1 Políticas de Adquisición Software. .............................................................. 21 3.2.2 Políticas de Desarrollo de software. ............................................................ 21 3.2.3 Custodia. ..................................................................................................... 26 3.2.4 Uso. ............................................................................................................. 27 3.2.5 Manejo de Cambio. ..................................................................................... 28
3.3 Políticas de seguridad de la información. .......................................................... 28 3.4 Política de la continuidad del negocio. ............................................................... 29 3.5 Política de relación con los proveedores. .......................................................... 30
4 RESPONSABLES .......................................................................................................... 30
5 DEFINICIONES ............................................................................................................. 31
6 INDICADORES .............................................................................................................. 33
7 EXCEPCIONES ............................................................................................................. 34
8 SANCIONES .................................................................................................................. 34
9 REFERENCIAS ............................................................................................................. 34
10 GLOSARIO ............................................................................................................... 35
FO- PIN- CODO- 03 Versión 1
3
1 OBJETIVO
La presente política, tiene por objeto integrar todas las políticas que deben ser
incorporadas a la Superintendencia de Subsidio Familiar - SSF, con el fin de que
al publicarse a todos los funcionarios y demás colaboradores de la entidad, se
convierta en la herramienta de apropiación del Sistema de Gestión de la
información y las comunicaciones para cada funcionario, contratista y tercero de
la entidad a través de un proceso continuo de divulgación y concientización.
2 ALCANCE
Establecer un marco de gobierno para la gestión de las tecnologías de la
información y las comunicaciones -TIC´s en la SSF, que permita satisfacer la
necesidades actuales y futuras del negocio, basada en criterios de innovación,
calidad, eficiencia, escalabilidad y arquitectura empresarial. Esta política debe
ser aplicadas por funcionarios, contratitas y terceros que gestionen las
tecnologías de la información y las comunicaciones en la SSF.
3 DESCRIPCIÓN DE LA POLITICA
la SSF, en su Plan estratégico de Tecnologías de la Información y las
Comunicaciones establece el uso adecuado de cada una de sus herramientas de
TIC para la gestión del día a día en cumplimiento de sus objetivos estratégicos.
Por lo anterior, cada uno de los funcionarios, contratistas y terceros de la SSF
debe tener en cuenta, que la política:
• Se encuentra adecuada al propósito de la SSF.
• Proporcionar el marco para establecer los objetivos del negocio.
• Incluye un compromiso para satisfacer los requisitos aplicables.
FO- PIN- CODO- 03 Versión 1
4
• Esta disponible como información documentada y aprobada, para las
partes interesadas, según sea apropiado.
• Debe ser mediable.
• Es coherentes con las demás política Institucionales de la SSF.
• Debe ser divulgada al interior de la SSF.
• Debe contar con una periódica adecuación y cuando se produzcan
cambios significativos
3.1 Políticas de servicios tecnológicos
La gestión y uso de los servicios Tecnológicos, se rigen por una serie de
políticas que apoyan el cuidado y correcto funcionamiento de cada uno
de los servicios.
Política general de uso
§ La Oficina de las TIC, es quien asignar, configurar, soportar,
modificar y brindar asesoría sobre el uso y acceso a los servicios
tecnológicos (equipos de computo, servidores de la red interna,
externa y los datos).
§ Los equipos de computo deben ser configurados para las
necesidades de gestión de cada uno de los funcionaros, contratistas
y terceros.
§ Los servicios tecnológicos de la SSF, no deben ser gestionados por
personas ajenas a la SSF.
§ Las conexión de red internas y externas, deben ser especificadas
FO- PIN- CODO- 03 Versión 1
5
claramente, con las características técnicas y de seguridad
requeridas, para ser aprobadas por la ofician de TIC.
§ La gestión sobre los servicios tecnológicos de la SSF, son para dar
cumplimiento a las funciones establecidas para los funcionaros,
contratistas y terceros, y no para actividades personales o de ocio.
§ El uso, almacenaje, copiado y reproducción de software en los
servicios tecnológicos de la SSF, requieren del consentimiento del
propietario de los derechos de autor.
§ Se deben establecer Acuerdos de Nivel de Servicio – ANS, para
cada uno de los servicios que ofrece la Oficina de TIC.
§ Se deben determinar los Acuerdos de Nivel Operativo – ANO,
conjuntamente con el proveedor para cada uno de los proyectos.
• Todo servicio tecnológico, debe incluir una estrategia de gestión del
cambio organizacional que permita la gestión del impacto y los intereses
de los usuarios del servicio, que garanticen el uso y apropiación de este.
• Se debe definir e implementar un plan de transferencia de conocimiento
por cada proyecto de implementación de los servicios tecnológicos, que
fortalezca las competencias de los usuarios (funcionarios, contratistas y
terceros), y garantice el uso y apropiación de la solución tecnológica.
Política de Restricciones y Obligaciones de los Usuarios
§ Mantener limpios los espacios donde se encuentren ubicados
los servicios tecnológicos.
§ No se debe fumar, consumir alimentos o líquidos en los espacios
donde se encuentre ubicados los equipos de computo
FO- PIN- CODO- 03 Versión 1
6
(computadores, impresoras, escáner, etc.).
§ No se permite la implementación de aplicaciones no autorizadas en
los equipos de computo asignados a los funcionarios, contratistas y
terceros o servidores que administren los datos.
§ No se permite la realización de modificaciones a las configuración de
los servicios tecnológicos asignados, sin el conocimiento y la debida
autorización de la Oficina de las TIC.
§ No se permite la conexión o desconexión de hardware de los
equipos de cómputo, sin autorización de la Oficina de las TIC.
§ Debe ser reportada a la Oficina de las TIC las falla que se
presenten los equipos de cómputo, para que ellos sean quienes den
solución a la incidencia.
§ Los equipos de computo asignados no son para realizar
actividades ociosas en la Internet que puedan generar
inconvenientes y saturaciones en el ancho de banda de la SSF.
§ No se permite que a través de los servicios tecnológicos a los
que se tiene acceso se generen ataques a otros equipos internos o
externos.
Política de Modificaciones al servicio
La Oficina de las TIC, puede modificar o suspender los servicios
tecnológicos de manera parcial o total a uno o varios de los
funcionarios, contratistas y terceros, cuando se requiera por motivos de
seguridad, por mantenimiento de los servicios preventivo o correctivo, o
por causas de fuerza mayor.
FO- PIN- CODO- 03 Versión 1
7
3.1.1 Políticas de Adquisiciones Tecnológicas.
Toda la adquisición de infraestructura debe estar contemplada en el Plan
de Compras de la entidad, el plan de gestión de la infraestructura
tecnológica, el PETIC y debe estar sujeta a los procedimientos
establecidos por la SSF. No obstante, de acuerdo con necesidades de la
Entidad, será posible la adquisición de hardware que no estuviera
inicialmente previsto.
Cualquier necesidad de adquisición de las dependencias deben ser
gestionadas en coordinación con la Oficina de las Tecnologías de la
Información y Comunicación – Oficina de las TIC, previa validación de la
infraestructura actual para identificar la disponibilidad de esta, el plan de
gestión de la infraestructura tecnológica y no generar gastos a la
entidad.
Las adquisiciones de la infraestructura deben generarse como una
solución integral de la SSF, se deben establecer como obligatorio la
adquisición de las pólizas necesarias, velar por cubrir la necesidades de la
adquisición de repuestos y el mantenimiento de la infraestructura.
La adquisición de la Infraestructura se debe priorizar en los fabricantes
con presencia en el país y con capacidad de brindar soporte técnico
garantizado. De igual manera, se pueden realizar adquisiciones por
empresas distribuidoras nacionales e internacionales, debidamente
autorizadas por los fabricantes y así poder garantizar el soporte técnico.
3.1.2 Política de Custodia.
La Oficina de las TIC es al responsable de la custodia de los activos
fijos tecnológico, mediante los procesos establecidos y aprobados por el
Sistema de Gestión de Calidad.
FO- PIN- CODO- 03 Versión 1
8
Los activos físicos tecnológicos deben estar protegidos de los riesgos
del entorno físico y lógico, esta protección es necesaria para reducir las
posibles pérdidas o averías de los activos y esta bajo responsabilidad
Oficina de las TIC.
La Oficina de las TIC, es quien define los activos físicos tecnológicos
que deben ser dados de baja según lo establece los procedimientos
aprobados en el sistema de gestión de calidad, por su nivel de
obsolescencia, por no encontrarse aptos para su funcionamiento y por
no poder realizarle un efectivo mantenimiento.
Los funcionarios, contratistas y terceros que tengan bajo su custodia los
equipos de cómputo son responsables de su buen uso y deben atender
la normatividad establecida por la SSF. Los equipos de computo, pueden
ser reasignados según las necesidades para la ejecución de las
actividades de cada uno de los funcionarios, contratistas o terceros de la
entidad.
Los equipo de cómputo que sean de propiedad de los funcionarios,
contratistas o terceros, e ingresados a la entidad son de total
responsabilidad de estos.
3.1.3 Control y mantenimiento de Infraestructura Tecnológica.
La oficina de TIC, debe elaborar, actualizar y mantener el plan de gestión
de la infraestructura tecnológica de la SSF.
Los mantenimientos preventivos o correctivos sobre la infraestructura
tecnológica de la SSF, deben ser planeados, coordinados, comunicados y
ejecutados por la Oficina de las TIC.
FO- PIN- CODO- 03 Versión 1
9
La Oficina de TIC, debe gestionar la configuración sobre cada uno de los
componentes de la solución de TIC, como se establece en el
procedimiento.
La oficina de TIC, debe realizar el monitoreo continuo de los servicios
tecnológicos y validar el cumplimiento de los ANS de cada uno de ellos.
Es de obligatorio cumplimiento la adquisición de las pólizas de garantía
sobre toda la infraestructura tecnológica que se adquiera en la SSF.
3.1.4 Equipos y servicios de computo.
Esta políticas está orientada a formar a los usuarios en el cuidado y
adecuado funcionamiento de los equipos y servicios de computo
asignados.
La asignación de los equipos de cómputo y el acceso a la red de datos,
debe ser realizada por la oficina de TIC. La asignación debe ser a
personal de la SSF (funcionarios, contratistas o terceros), en ninguna
circunstancia deben ser operados por personas ajenas al Instituto
Distrital de Turismo.
Los usuarios, que requieran apoyo u orientación en el manejo y gestión
de los equipos de computo asignados y la información que contengan,
deben solicitar el mismo a la Oficina de TIC.
Los equipos de cómputo y el acceso a la red de datos, no pueden ser
utilizados para fines personales o de ocio. Las actividades a realizarse
sobre estos equipos y la red deben relacionarse a los programas y
proyectos administrativos y misionales de la SSF.
FO- PIN- CODO- 03 Versión 1
10
La instalación de licenciamiento en cada uno de los equipos de
computo debe ser realizado o autorizado por la Oficina de TIC de la
SSF.
Es prohibido el uso, almacenamiento y reproducción de software sin el
consentimiento del propietario de los derechos de autor.
Usos aceptables.
Los siguientes son los usos aceptables de los recursos de cómputo y el
acceso a la red de datos, que permitan lograr un correcto desempeño a
los usuarios en sus funciones y optimización de los recursos de
cómputo:
• Las actividades en desarrollo de las funciones propias de la
SSF (misionales, administrativas y de apoyo)
• Presentaciones, talleres, congresos y cursos virtuales
organizados pro la SSF.
• Actividades propias de la SSF, que requieran el uso de
medios electrónicos y redes de datos.
Obligaciones de los usuarios
• Se requiere que los usuarios respeten la integridad de los equipos de
computo, el acceso a la red de datos y las instalaciones asignadas.
• No se debe fumar, consumir alimentos y/o bebidas en los espacios
donde se encuentren los equipos de computo.
• Los usuarios deben mantener limpias las áreas donde se encuentren
FO- PIN- CODO- 03 Versión 1
11
los equipos de computo.
• Cualquier incidencia sobre los equipos de cómputo y acceso a la red
de datos, debe ser reportado a al Oficina de TIC, para apliquen la
solución pertinente.
• No se debe conectar o desconectar hardware externos al equipo de
computo sin autorización de la Oficina de TIC.
• No puede realizar instalaciones de software sin contar con la aprobación
de la Oficina de TIC.
• El software de comunicación instantánea a instalar y utilizar debe ser
aprobado por la Oficina de TIC
• Los equipos de computo no pueden ser utilizados para actividades
ociosas o juegos; de igual manera, no puede ser utilizado para
descargar archivos o software que saturen el ancho de banda de la
SSF.
• Los usuarios no pueden utilizar sus equipos de computo asignados
para lanzar ataques a otros equipos conectados en red.
• Los usuarios no cuentan con autorización para realizar
modificaciones a la configuración del equipo de computo asignado.
3.1.5 Computación en la Nube.
La SSF, debe garantizar que a través de la virtualización de los
escritorios, los datos que almacene los usuarios permitirán su gestión de
manera centralizada.
Los servicios que requieran ser virtualizados, deben ser evaluados en
cuanto al impacto y los riesgos de seguridad, continuidad, capacidad y
disponibilidad, según el proceso de gestión de cambios de la SSF.
FO- PIN- CODO- 03 Versión 1
12
3.1.6 Código Malicioso.
La SSF, debe implementar sobre los equipos de computo, los servicios
tecnológicos y los dispositivos tecnológicos propios, controles de detección y
prevención sobre códigos maliciosos, para esto la SSF debe ser muy estricta
en los permisos de instalación de software con licenciamiento apropiado y
acorde con la propiedad intelectual.
3.1.7 Gestión de Medíos Magnéticos
La SSF, debe generar un inventario de todos los medios magnéticos que
gestionan la información de la Entidad, este inventario debe contener las
condiciones y restricciones de cada uno de los medios, indicadas por los
fabricantes para determinar su tiempo de conservación. Cada medio debe
ser debidamente marcado para la correcta gestión de la información que
contenga.
Los medios magnéticos que no sean requeridos y ya cumplieron con su
función debe ser destruido y se debe garantizar por que su información no
pueda ser recuperada.
Los medios magnéticos que requieran ser almacenados y salvaguardados,
deben ser protegidos contra el acceso no autorizado, el mal uso de este o
corrupción del medio, dentro o fuera de la SSF.
3.1.8 Políticas de soporte de TIC a los usuarios.
La SSF, por medio de la oficina de TIC, debe garantizar una única mesa de
ayuda como canal oficial para atender los incidentes y requerimientos sobre
FO- PIN- CODO- 03 Versión 1
13
los servicios de TIC de acuerdo con el catalogo de servicios de la SSF y los
Acuerdos de Nivel de Servicio – ANS establecidos para cada uno de ellos.
Gestión de requerimientos.
La mesa de ayuda, debe mantener informado a los usuarios solicitante de la
evolución de sus requerimientos. Si el requerimiento no puede ser
implementado en los tiempos establecidos en los ANS, el usuario debe ser
informado.
Gestión de incidentes.
La mesa de ayuda, debe aplicar el procedimiento para gestión del registro,
asignación de prioridad, valoración del impacto, clasificación, actualización,
escalado, resolución y cierre formal del incidente reportado.
Si la incidencia requiere restauración de servicios, este debe ser atendido de
manera inmediata mediante la aplicación de una solución temporal o
definitiva. Debe informarse al usuario de la solución aplicada.
Si la incidencia no requiere una restauración de servicios inmediata, durante
su gestión, se debe mantener informado a los usuarios solicitantes de la
evolución del incidente. Si el requerimiento no puede ser implementado en
los tiempos establecidos en los ANS, el usuario debe ser informado.
3.1.9 Políticas sobre el Servicio de Internet.
Mediante esta política, se busca minimizar los riesgos de la exposición
de la información gestionada a través de los sistemas de información y
aplicaciones de la SSF a códigos malicioso a través de la red, debido a los
FO- PIN- CODO- 03 Versión 1
14
altos niveles de acceso de los funcionarios, contratistas y terceros a
internet y redes púbicas. De igual manera, evitar el uso de las
herramientas tecnologicas en actividades no relacionadas con las
funciones asignadas.
Políticas Generales del uso del servicio de Internet.
La Oficina de las TIC, es la encargada en la SSF de brindar el servicio
de acceso a Internet, así velar por su adecuado uso y correcto
funcionamiento.
Cada cuenta asignada a un funcionario, contratista y tercero tendrá
asignado una serie de privilegios y restricciones sobre los servicios
tecnológicos que se ofrecen en la SSF, los cuales son personales e
intransferible, por lo que es necesario que sean salvaguardada;
cualquier acción inadecuada en los servicios tecnológicos, serán
asociados y de responsabilidad de la cuenta que realizó la acción, por
lo que debe darse un uso responsable a los accesos asignados a su
cuenta y evitar la utilización de las misma por parte de personas no
autorizadas.
El acceso al Internet está definido para actividades y tareas
institucionales. Mediante monitoreo y estadisticas se analiza el trafico de
Internet, para poder detectar el uso inadecuado de los servicios de
internet.
Los funcionarios, contratistas y terceros, utilizan únicamente los servicios
para los cuales están autorizados. Los datos e información gestionada a
través de la internet, son de responsabilidad del usuario dueño de la
cuenta que lo realizó.
FO- PIN- CODO- 03 Versión 1
15
La Oficina de las TIC, tiene la facultad para restringir los sitios de
Internet que se definan como no requeridos para las labores propias de
la SSF o que puedan afectar el funcionamiento de la infraestructura
tecnológica. Cada una de as excepciones de acceso a sitios en la
internet deben ser debidamente justificadas por las dependencias de
manera formal ante la Oficina de las TIC.
Faltas graves en el uso de la Internet.
La Oficina de las TIC, considera pertinente establecer como faltas
graves en el uso del Internet, las siguientes:
• Ingresar a páginas pornográficas.
• Ingresar a página de personas u organizaciones al margen de
la ley.
• Ingresar a páginas con contenidos ilegales.
• Acceso a servicios de TV.
• Descargar e instalar programas no aprobados por la Oficina de
las TIC.
• Descargar paquetes que modifiquen la configuraciones de los
equipos de computo asignados.
• Descargar programas que permitan realizar conexiones
automáticas.
• La Distribución o reproducción de programas que permiten
conexiones automáticas vía Web o medios magnéticos.
• Descargar de archivos (música, videos, plataformas de
FO- PIN- CODO- 03 Versión 1
16
entrenamiento) no requeridas para las actividades de la SSF.
• Participar en juegos o entrenamientos en línea no requeridos
para las actividades de la SSF.
• Consulta de información inapropiada que pueda incomodar a
los funcionarios, contratistas y terceros en los espacios
comunes.
La omisión de estas restricciones será reportada al Oficina Asesora de
Control Interno.
3.1.10 Políticas sobre el Correo Electrónico.
Mediante esta política, se busca el buen uso del correo electrónico de la
SSF, por parte de los funcionarios, contratistas y terceros.
Políticas Generales del uso del servicio del Correo Electrónico.
Todos los funcionarios y contratistas de la SSF, tendrá asignada una
cuenta de correo institucional, para atender los asuntos y actividades
propias de su función en la SSF.
La Oficina de las TIC, proporcionará el servicio de correo institucional y
debe velar por su correcto funcionamiento y uso por parte de los
funcionarios y contratistas.
La Oficina de las TIC, desactivará las cuentas de correo que se encuentren
inactivas por más de tres (3) meses consecutivos y no sean reportados en
vacaciones o licencias. De igual manera, desactivará las cuentas que se
detecten sean mal utilizadas.
FO- PIN- CODO- 03 Versión 1
17
Las cuentas de correo son intransferibles, por lo que se deben asignar
claves seguras por parte de los usuarios de estas y no deben ser
compartidas.
La información enviada o recibida a través de las cuentas de correo es de
total responsabilidad del usuario que tiene asignada la cuenta.
Es responsabilidad de los usuarios del correo electrónico, el realizar
continuamente la revisión y depuración de sus buzones de correo, para
mantener el espacio disponible para la gestión de los nuevos mensajes.
Los usuarios con cuenta de correo de la SSF asignada deben tener
cuidado al decidir abrir archivos adjuntos en los mensajes con
remitentes sospechosos o desconocidos. Si considera que el mensaje
recibido es sospechoso debe inmediatamente informar a la Oficina de
las TIC, para que ellos realicen las validaciones pertinentes.
Al culminar el usuario con cuenta de correo asignada su vinculación con
la SSF, la cuenta de correo será desactivada posterior a recibir la
comunicación formal de su desvinculación.
Actividades prohibidas en el uso del Correo Electrónico
La Oficina de las TIC, considera pertinente establecer como actividades
prohibidas en el uso del correo electrónico, las siguientes:
• Enviar correos cuyo contenido no sea de carácter institucional.
• Enviar correos de tamaño superior al establecido. Los correos
electrónicos al interior de la SSF con alcance Institucional, que
requieran un mayor tamaño al establecido, deben ser publicados en
la Intranet de la SSF, su solicitud debe realizarse según lo
establecido en el procedimiento pertinente.
FO- PIN- CODO- 03 Versión 1
18
• Utilizar el correo para actividades no institucionales.
• Promocionar a través del correo interno o externo bienes o servicios
particulares que no tengan relación con los objetivos institucionales.
• Enviar correos de forma masiva. Si se requiere el servicio de envío
masivo debe ser solicitada a la Oficina de las TIC.
• Enviar o dar respuesta a cadenas de mensajes personales o
masivas, que no tengan carácter institucional.
• Enviar o reenviar correos internos o externos con información contra
la moral.
• Publicar, distribuir o divulgar información inapropiada o ilegal a través
del correo institucional.
• Enviar o reenviar correos internos o externos que fomente
comportamientos que dé lugar a responsabilidades civiles,
administrativas o penales.
• Enviar correo con información que transgreda las normas nacionales
o internacionales referentes a los Derechos de Autor.
• Enviar correos internos y externos promocionando bienes o servicios
que no tengan relación sus funciones en la SSF.
• Enviar o reenviar correos que contengan propaganda o información
de carácter político partidista.
• Utilizar el correo para enviar o reenviar mensajes no deseados,
correos molestos, spam, comerciales.
• Enviar o reenviar correo para difamar, insultar, acosar, amenazar o
infringir de cualquier otra forma a una persona que labore o no en la
SSF.
FO- PIN- CODO- 03 Versión 1
19
• La transmisión de archivos que contengan virus, programas
perjudiciales o nocivos para los equipos o redes institucionales.
3.1.11 Políticas Antivirus y Gestión de la Información
Lineamientos que cada uno de los funcionarios, contratistas o terceros
deben tener en cuenta para brindar la protección adecuada a los
equipos de computo ante un posible ataque de virus informático.
Políticas Generales.
• No se debe abrir archivos cuya extensión no sea conocida o que se
esté absolutamente seguro de que el mail proviene de una persona
conocida y confiable o que haya informado previamente del envío de
este.
• La Oficina de TIC, debe implementar firewall a nivel físico y lógico,
para minimizar el riesgo de ataques sobre la infraestructura tecnológica
de la SSF, filtrar los contenidos y la gestión de las políticas para el
Internet.
• Los archivos deben ser trabajados en el equipo de computo
asignado por la SSF y luego copiados a un medio magnético
externo, no deben trabajarse directamente sobre el medio magnético
externo debido a que si es dañado por un virus su recuperación
puede no ser realizada.
• Se debe realizar la copia de seguridad de la información de los
equipos de computo asignados a los funcionarios, contratistas y
terceros, como lo establece en el procedimiento aprobado por el
sistema de gestión de calidad de la SSF.
FO- PIN- CODO- 03 Versión 1
20
• La Oficina de las TIC, lanzará periódicas actualizaciones a los
sistemas operativos o aplicaciones para minimizar las posibilidades
de acceso de virus y aumentar la protección contra los ataques
informáticos.
Política sobre la Aplicación de Antivirus
• Los funcionarios, contratistas y terceros, deben generar una cultura
de ejecución periódica de vacunación de las unidades internas del
equipo de computo asignado como funcionario, contratista o tercero.
• Los funcionarios, contratistas y terceros, deben realizar la aplicación
y revisión del antivirus a las unidades externas que requiera conectar
al equipo de computo, antes de ser utilizadas.
• La Oficina de las TIC, debe velar por que todos los funcionarios,
contratistas y terceros, tengan el conocimiento operativo para la
aplicación del antivirus en las unidades internas y externas del
equipo de computo.
3.2 Políticas de software.
La Oficina de las TIC es la responsable de planificar, desarrollar y ejecutar las
actividades relacionadas con el desarrollo, actualizaciones e instalaciones del
software de la SSF. De igual manera, debe planificar la ejecución de pruebas
funcionales y de seguridad de los sistemas nuevos o modificados antes de
colocar en producción.
FO- PIN- CODO- 03 Versión 1
21
3.2.1 Políticas de Adquisición Software.
Toda adquisición de software debe estar contemplada en el Plan de
Compras de la entidad, el PETIC, alineado a la arquitectura de sistemas
de información y debe estar sujeta a los procedimientos establecidos por
la SSF y deben ser aprobadas por la Oficina de las TIC. Es posible, que
por necesidad de la Entidad, se requiera la aprobación de la adquisición
de software no previsto.
Cualquier necesidad de adquisición de las dependencias deben ser
gestionadas en coordinación con la Oficina de las TIC, previa validación
del software actual, la arquitectura de sistemas de información y la
capacidad instalada, para identificar la disponibilidad de esta y no
generar gastos a la entidad.
La adquisición de software debe realizarse a empresas, proveedora de
productos de alta calidad y con respaldo técnico.
La adquisición de nuevo software, debe contar con una etapa de
verificación (estudio previo) por parte de la Oficina de las TIC, para
determinar que no existe una solución al interior de la entidad que cubra
la necesidad, que el software es integrable con los sistemas existentes
en la entidad y si la solución puede ser del mercado o a la medida.
3.2.2 Políticas de Desarrollo de software.
El desarrollo de software a la medida se deberá efectuar a través de
contratación de personal externo a la entidad y deberá ser supervisado
por el área que suscriba el contrato, con el acompañamiento de la
Oficina de las TIC.
FO- PIN- CODO- 03 Versión 1
22
Los recursos y el diseño de las aplicaciones buscan aumentar la
eficiencia operacional y/o misional, a través del intercambio electrónico
de información.
Las áreas usuarias del software que se encuentre en desarrollo deben
participar activamente desde el inicio hasta la terminación de todo el
proceso.
La Oficina de las TIC debe velar que el software adquirido o
desarrollado pueda integrarse con los sistemas de información
existentes y que este orientado a la utilización de la plataforma de
interoperabilidad del Estado.
La adquisición o desarrollo de Software deberá implementarse según lo
establecido en el ciclo de vida, criterios de seguridad y de calidad en el
desarrollo de software.
Las áreas usuarias del software en desarrollo son responsables, con la
orientación de la Oficina de las TIC, de ejecutar las pruebas y posterior
aprobación requeridas antes de la entrega definitiva y puesta en
producción del software.
Se debe tener a disposición ambientes de desarrollo o pruebas
representativas, previas a la implantación definitiva del software y
ambientes de producción; es decir, de utilización definitiva claramente
diferenciados.
Cuando se requiera realizar el desarrollo de un software nuevo, la
Oficina de TIC debe verificar, mediante un estudio o análisis previo, que
la solución no va a generar duplicidad de tareas.
Las desarrollos realizados deben dar cabal cumplir con los
requerimientos de desarrollo seguro establecidos por la Oficina de las
FO- PIN- CODO- 03 Versión 1
23
TIC conforme con la Política de Seguridad de la Información, definidas
en la SSF.
Los desarrollo de software realizados por los funcionarios, contratistas o
terceros, en la ejecución de sus obligaciones será de propiedad
intelectual de la SSF, salvo si en sus obligaciones o alcance indica lo
contrario.
No se permite, que los funcionarios, contratistas o terceros de la SSF,
realicen copias del software con el que se relacionan, o cedan
autorización de acceso a terceros al software de propiedad intelectual o
con licencia de uso de la SSF.
Toda modificación de software crítico bien sea por actualizaciones o
modificaciones, deberá ser analizada previamente en ambientes
independientes de desarrollo y prueba, con el objetivo de identificar y
analizar los riesgos de seguridad que acarrea dicha modificación.
La Oficina TIC, debe velar por la gestión de configuración y el control de
versiones de los diferentes softwares, según lo establezca el
procedimiento.
Los cambios de versiones deben ser planeados y acordados
conjuntamente con el área usuaria y la Oficina de TIC.
Política para la especificación detallada de requerimientos
La Oficina de las TIC, debe garantizar la disponibilidad de una Mesa de Ayuda
como canal único para dar correcta atención a los requerimientos de los
usuarios de la SSF de acuerdo con el catálogo de servicios de TIC ofrecido,
para generar una respuesta oportuna, teniendo en cuenta los acuerdos de
nivel de servicio ofrecidos.
FO- PIN- CODO- 03 Versión 1
24
De igual manera, proveerá información del estado de evolución del
requerimiento al usuario solicitante. Si existe la posibilidad que durante la
gestión del requerimiento no se de cumplimiento a los Acuerdos de Niveles de
Servicio, se debe comunicar al usuario solicitante.
La Oficina de TIC, debe proveer a las áreas usuarias de instrumentos para la
especificación de los requerimientos, según se define en el procedimiento.
Política para el diseño de Sistema
Los nivel de confidencialidad del software, se definirá teniendo en cuenta la
criticidad de la información que se gestione en este software. Los gestores de
bases de datos, deben garantizar el nivel de protección adecuado.
Todo software crítico para la SSF deberá incluir la generación de registros de
auditoría, considerando como mínimo la identidad del usuario que lee, borra,
escribe, o actualiza, el tipo de evento y la fecha y hora del evento. Estos
registros deben ser protegidos contra la manipulación no autorizada.
En la etapa de diseño se deberá proyectar el rendimiento esperado, con el
objetivo de no sobre dimensionar los recursos necesarios para el
funcionamiento del sistema (ancho de banda, RAM, recursos del servidor,
etc.).
Política para la documentación del software
El diccionario de datos, o repositorio de metadatos, deberá mantener una
descripción actualizada de las definiciones de datos.
Si el desarrollador incluye comentarios en el programa fuente, estos no deben
divulgar información de configuración innecesaria.
FO- PIN- CODO- 03 Versión 1
25
Todo sistema desarrollado por la SSF debe generar el protocolo de las
condiciones de autenticación a la aplicación, el cual deberá ser revisado y
aprobado por el equipo de seguridad de la información.
La documentación de los desarrollos deberá:
• Generarse durante el ciclo de vida de desarrollo y no postergarla hasta
el final.
• Ser revisada por los usuarios finales del sistema en desarrollo.
• Actualizarse si el programa cambia alguna de sus funcionalidades.
• Almacenarse en un sitio centralizado (Servidor) administrado por la
subdirección de desarrollo de aplicaciones.
Política para las pruebas
Se deberán planificar detalladamente las etapas de paso a producción,
incluyendo respaldos, recursos, conjunto de pruebas pre y pos-instalación, y
criterios de aceptación del cambio.
Para propósitos de desarrollo y pruebas de software, se deberán generar
datos de prueba distintos a los que se encuentran en el ambiente de
producción.
En lo posible, las pruebas del sistema deberán incluir: instalación, volumen,
stress, rendimiento, almacenamiento, configuración, funcionalidad, seguridad y
recuperación ante errores.
En lo posible, las pruebas deberán ser realizadas en forma automática,
almacenando criterios y datos de pruebas en archivos, para permitir la
verificación rápida y repetitiva.
FO- PIN- CODO- 03 Versión 1
26
3.2.3 Custodia.
La oficina de las TIC es la responsable de la administración del software
(sistemas operativos, aplicativos, utilitarios, administradores de bases de
datos, lenguajes de programación, a la medida) de uso de la SSF. De
igual manera, debe mantener actualizado el inventario del software y su
licenciamiento.
Los desarrolladores de loa SSF y terceros, no deberán tener acceso a
información de producción que contenga datos sensibles.
Se debe establecer un acuerdo previo con los terceros, que resguarde la
propiedad intelectual y asegure los niveles de confidencialidad de la
información manejada en el proyecto.
Los accesos al código fuente y los archivos del sistema, se debe encontrar
restringido.
Las actualizaciones del software deben ser realizadas por los administradores
de estos al interior de la SSF, siguiendo las indicaciones establecidas en los
controles de cambio debidamente documentados.
Política para la gestión de Vulnerabilidades
Se deberá establecer una gestión de vulnerabilidades técnicas orientada a
analizar los problemas de seguridad (vulnerabilidades) que surgen en los
productos de software, que sean publicadas por los proveedores de tecnología
y las agencias especializadas (CVE, OWASP) o detectados por cualquier
usuario y proponer las medidas de mitigación al riesgo definido.
Se deberá establecer un plan de actualización para el software que es
desarrollado o se utiliza en la Entidad, asegurando que las últimas versiones y
FO- PIN- CODO- 03 Versión 1
27
parches sean instalados lo antes posible, con el fin de evitar que alguna
vulnerabilidad sea explotada.
3.2.4 Uso.
Solo se encuentra permitido el software legalmente adquirido por parte
de la SSF. En caso de tratarse de equipos personales, (teléfonos
celulares, agendas electrónicas, dispositivos de almacenamiento de
música y archivos, cámaras digitales, etc.) que sean utilizados con
propósitos institucionales, cada usuario debe garantizar y tener las
licencias que acrediten la legalidad del software que se está utilizando.
Cada usuario es responsable por la instalación del software no
licenciado que se encuentre en los equipos de cómputo a su cargo.
El sistema operativo de los equipos de cómputo que se encuentran bajo
la modalidad de arriendo debe estar licenciado por el proveedor de la
empresa que presta el servicio.
La instalación de cualquier software ya sea institucional, personal o de
libre distribución debe contar con la autorización previa de la Oficina de
las TIC.
El software utilizado por los proveedores de servicio y no suministrado
por la SSF, debe ser de su autoría o tener las licencias de uso
correspondientes.
El software desarrollado a la medida es de propiedad del SSF y es
responsabilidad la Oficina de las TIC adelantar, si es necesario, el
debido registro del producto.
FO- PIN- CODO- 03 Versión 1
28
Al menos una vez cada año, se debe realizar un escaneo de las aplicaciones
más recientes puestas en producción, en busca de vulnerabilidades,
manteniendo un registro de los resultados y las acciones correctivas tomadas.
Todo despliegue de software, debe incluir una estrategia de gestión del
cambio organizacional que permita la gestión del impacto y los intereses de
los usuarios de este, que garanticen el uso y apropiación del software.
Se debe definir e implementar un plan de transferencia de conocimiento por
cada proyecto de software, que fortalezca las competencias de los usuarios
(funcionarios, contratistas y terceros), y garantice el uso y apropiación de la
solución tecnológica.
3.2.5 Manejo de Cambio.
Los cambios de versiones del software deben ser planeados,
analizados, evaluados y acordados conjuntamente entre el área
responsable o solicitante del cambio y la Oficina de las TIC.
La actualización y configuración de un nuevo sistema operativo deberá
realizarse únicamente por personal autorizado.
Los controles de cambio deben estar debidamente documentados y
deben ser ejecutados bajo los lineamientos de seguridad para no
comprometer los sistemas.
3.3 Políticas de seguridad de la información.
Las políticas de Seguridad de la Información de la SSF, propende por el
aseguramiento de la confidencialidad, integridad y disponibilidad de la
información de la Entidad; así como sus activos de información, la gestión de
FO- PIN- CODO- 03 Versión 1
29
riesgos, la identificación de requerimientos legales y regulatorios acorde a la
misión de la SSF.
Las políticas específicas de la seguridad de la información definidas para la SSF,
se encuentran en el Manual de Políticas de Seguridad de la Información que
hace parte del SGSI; a continuación, se relacionan las mismas:
• Política de Dispositivos Móviles.
• Política de Teletrabajo.
• Política de Control de Acceso.
• Política de uso de Controles Criptográficos.
• Política de Llaves Criptográficas.
• Política de Escritorio. Pantalla Limpia.
• Política de Copia de Respaldo.
• Política de Transferencia de Información.
• Política de Desarrollo Seguro.
• Política de Relación con los Proveedores.
• Política de Protección de Datos.
3.4 Política de la continuidad del negocio.
La SSF, ha definido una Política de Continuidad de Negocio, para proteger
los recursos que soportan sus procesos misionales y de apoyo de forma
permanente, ante la ocurrencia de eventos adversos que puedan impactar
negativamente a la Superintendencia, velando especialmente por la seguridad
de sus colaboradores, el cumplimiento de los compromisos adquiridos con los
trabajadores afiliados a las cajas de compensación y sus familias, terceros y
entes de control, así como preservar la sostenibilidad y buena reputación de
la Superintendencia.
FO- PIN- CODO- 03 Versión 1
30
3.5 Política de relación con los proveedores.
La SSF, implanta mecanismos de control en sus relaciones con proveedores
de servicios, buscando proteger la información de la SSF a la que tengan
acceso, y que sea requerida para la prestación de sus servicios, mediante su
política de relación con los proveedores que se encuentra incorporada al
manual de las políticas de seguridad de la información.
De igual manera, la SSF tiene incorporadas política de gestión de
proveedores a nivel Institucional.
4 RESPONSABLES
§ Oficina de las Tecnologías de la Información y Comunicación. Es
responsable del uso de la política de TIC como herramienta de gestión y
definir los estándares para que la entidad de cumplimiento a la misma.
Poner a disposición los recursos necesarios para que las políticas de TIC de
la SSF se lleven a cabo de acuerdo con los establecido en la presente
política.
Designar el personal idóneo para apoyar la implementación de la presente
política.
Cualquier requerimiento de modificación de las políticas debe ser dirigido a la
Oficina de las TIC, quien será el encargado de mantener actualizado la
política de TIC de la SSF.
§ Los funcionarios, Contratistas y terceros. Son responsables de dar
cumplimiento a las políticas de TIC.
FO- PIN- CODO- 03 Versión 1
31
§ Alta Dirección. Dará aprobación de las modificaciones a las políticas de TIC,
previa validación de la Oficina de las TIC.
§ Equipo de Seguridad de la Información. Velar que el cumplimiento de la
presente política se lleve a cabo de acuerdo con los lineamientos de
seguridad establecidos por la SSF.
§ Coordinador Talento Humano. Deberán informar a la Oficina de las TIC
cuando finalice el contrato de cualquier miembro del personal de planta de la
SSF.
§ Jefe de la Secretaria General. Deberán informar a la Oficina de las TIC
cuando finalice el contrato de contratistas de la SSF, además definir e
implementar los controles de acceso físico.
5 DEFINICIONES
• Política de TIC. Es un conjunto de reglas que controlan las características y
las funciones de los dispositivos. Puede utilizar las reglas de políticas de TI
para controlar las características del dispositivo, el espacio de trabajo en los
dispositivos, o ambos.
• Sistema de gestión de la seguridad de la información SGSI. Parte del
sistema de gestión global, basada en un enfoque hacia los riesgos globales
de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la información.
• NTC ISO 22301:2012. Es la primera norma internacional para la gestión de la
continuidad de negocio y se ha desarrollado para ayudar a las empresas a
minimizar el riesgo del tipo de interrupciones. Esta norma remplaza a la
FO- PIN- CODO- 03 Versión 1
32
norma británica BS25999. Especifica los requisitos necesarios para planificar,
establecer, implantar, operar, monitorear, revisar, mantener y mejorar de
forma continua el Sistema de Gestión para responder y recuperarse pronto de
las interrupciones, en el momento en el que sucedan.
• NTC ISO/IEC 27001: 2013. Son estándares de seguridad publicados por la
Organización Internacional para la Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC). ... Norma que especifica los requisitos
para la implantación del SGSI. Es la norma más importante de la familia.
• La norma ISO 9001. Tiene carácter internacional, da respuesta a la
implementación de un Sistema de Gestión de Calidad. La norma ISO 9001
demuestra a los clientes que tus productos o servicios cumplen con la ley y
con los estándares de calidad que requiere la ISO, que es la Organización
Internacional de Normalización.
• Ley 734 de 2002. Denominado el Código Disciplinario Único. Es ejercida por
la Procuraduría General de la Nación, las Personerías, las Oficinas de Control
Interno, los funcionarios con potestad disciplinaria y la jurisdicción
disciplinaria.
• Procesos. Se define un proceso de negocio como conjunto de actividades
que reciben una o más entradas para crear un resultado/producto de valor
para el cliente o para la propia compañía/proceso (concepto de Cliente
Interno de Calidad). Normalmente, una actividad empresarial cuenta con
múltiples procesos que sirven para el desarrollo su objeto de negocio.
• Procedimientos. Pasos operacionales que los colaboradores deben realizar
para alcanzar ciertos objetivos/resultados.
• Riesgo. Combinación de la probabilidad de un evento y sus consecuencias.
FO- PIN- CODO- 03 Versión 1
33
• Seguridad de la información. Es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemas tecnológicos que permiten
resguardar y proteger la información buscando mantener la confidencialidad,
la disponibilidad e integridad de datos y de la misma.
• Servicio de tecnologías de la información. Es un conjunto de actividades
que buscan responder a las necesidades de un cliente por medio de un
cambio de condición en los bienes informáticos (llámese activos),
potenciando el valor de estos y reduciendo el riesgo inherente del sistema.
6 INDICADORES
6.1. Capacitación Política TI.
Nombre del Indicador: Porcentaje de capacitados sobre la política de TI
Objetivo del Indicador: Cálculo porcentual de personal de la SSF que ha sido capacitada sobre la política de TI.
Frecuencia: Anual
Formula: (Cantidad de Personal Capacitado en el año sobre la Política de TI /Cantidad de Personal vinculado a la SSF en el año) * 100
6.2. Incidentes de Seguridad
Nombre del Indicador: Cantidad de Incidentes de Seguridad de la Información.
FO- PIN- CODO- 03 Versión 1
34
Objetivo del Indicador: Calcular la cantidad de incidentes que se que se presenten contra las políticas de seguridad de la información en la SSF.
Frecuencia: Anual
Formula: Cuantificación de incidentes contra la política de seguridad de la información.
7 EXCEPCIONES
Las excepciones al cumplimiento de la política de las TIC, deben ser
aprobadas por la Oficina de las Tecnologías de la Información y
Comunicación – OTIC de la SSF. Todas las excepciones deben estar
formalmente documentadas, registradas y revisadas por la dirección de la
Oficina de las TIC.
8 SANCIONES
El incumplimiento de esta política de la información y las comunicaciones
traerá consigo las consecuencias legales que apliquen a la normativa de la
Entidad, incluyendo lo establecido en las normas que competen al Gobierno
Nacional y Territorial en cuanto a seguridad y privacidad de la información se
refiere.
9 REFERENCIAS
• Política de Seguridad de la Información. • Política de Dispositivos Móviles. • Política de Teletrabajo.
FO- PIN- CODO- 03 Versión 1
35
• Política de Control de Acceso. • Política de uso de Controles Criptográficos. • Política de Llaves Criptográficas. • Política de Escritorio. Pantalla Limpia. • Política de Copia de Respaldo. • Política de Transferencia de Información. • Política de Desarrollo Seguro. • Política de Relación con los Proveedores. • Política de Protección de Datos. • Política de Continuidad del Negocio.
10 GLOSARIO
• Acceso: En relación con la seguridad de la información se refiere a
la identificación, autenticación y autorización de un usuario a los sistemas,
recursos y áreas de la SSF en un momento dado.
• Acceso físico: Significa ingresar a las áreas de misión crítica o instalaciones
en general de un sitio de la entidad.
• Acceso lógico: En general, el acceso lógico es un acceso en red, por
ejemplo: acceder a archivos, navegar en el servidor, enviar un correo
electrónico o transferir archivos. La mayoría de los accesos lógicos se
relacionan con algún tipo de información.
• Aceptación de riesgo: Decisión de asumir un riesgo.
• Activo: cualquier elemento que represente valor para la organización.
• Activo de información: En relación con la seguridad de la información, se
refiere a cualquier información o elemento relacionado con el tratamiento de
esta (sistemas, soportes, edificios, personas, etc.) que tenga valor para la
organización.
• Acuerdos de Confidencialidad: Es un contrato legal entre al menos dos
entidades para compartir material confidencial o conocimiento para ciertos
propósitos, pero restringiendo su uso público.
• Acuerdos de Intercambio de información: Es un contrato legal entre al
menos dos entidades para compartir información o conocimiento para ciertos
FO- PIN- CODO- 03 Versión 1
36
propósitos, donde se definen las responsabilidades de protección que se le
deberá dar a dicha información.
• Acuerdos de Niveles de Servicio: Es un contrato escrito entre un proveedor
de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de
dicho servicio
• Alta Dirección: Se considera Alta Dirección a los directivos con cargo más
alto en una organización; el Presidente, el Gerente General y los Directores
de las distintas áreas. En el caso de la SSF se entiende como Alta Dirección
a la integrada por la Superintendente y el Comité Directivo.
• Análisis de Riesgo: Uso sistemático de la información para identificar
fuentes y para estimar el riesgo (Guía ISO/IEC 73:2002).
• Adaptabilidad: Define que todos los eventos y bajo qué criterios un sistema
debe poder ser monitoreado y revisado para su control posterior.
• Autenticidad: Busca asegurar la validez de la información en tiempo, forma y
distribución. Asimismo, se garantiza el origen de la información, validando el
emisor para evitar suplantación de identidades.
• Cifrado: Que está escrito con letras, símbolos o números que solo pueden
comprenderse si se dispone de la clave (llave criptográfica) necesaria para
descifrarlos.
• Cifrar: Es un procedimiento que utiliza un algoritmo de cifrado con
cierta clave (clave de cifrado) que transforma la información, sin atender a su
estructura lingüística o significado, de tal forma que sea incomprensible o, al
menos, difícil de comprender a toda persona que no tenga la clave secreta. • Comité de Seguridad de la Información: El Comité de Seguridad de la
Información, es un cuerpo integrado por representantes designados por la
Alta Dirección con el objetivo de garantizar el apoyo manifiesto de las
autoridades a las iniciativas de seguridad.
• Confiabilidad de la Información: Garantiza que la fuente de la información
generada sea adecuada para sustentar la toma de decisiones y la ejecución
de las misiones y funciones.
FO- PIN- CODO- 03 Versión 1
37
• Confidencialidad: Propiedad que determina que la información no esté
disponible ni sea revelada a individuos, entidades o procesos no autorizados.
• Copia de respaldo o backup: Es un duplicado de la información más
importante, y se realiza para salvaguardar los documentos, archivos, fotos,
bases de datos, configuraciones etc.
• Datos Personales: información que contiene elementos que al unirse pueden
caracterizar a un individuo, por ejemplo, número de cedula, dirección, tipo de
sangre, teléfono, etc.
• Datos Sensibles: información catalogada como pública clasificada o pública
reservada.
• Declaración de aplicabilidad: Documento que describe los objetivos de
control y los controles pertinentes y aplicables para el mismo.
• Desarrollador: Persona que apoya el desarrollo de alguna de las fases del
ciclo de vida del desarrollo de software para la SSF y que puede trabajar
directamente para la SSF (planta, contratista, estudiante en práctica) o través
de una empresa externa.
• Disponibilidad: Propiedad de que la información sea accesible y utilizable
por solicitud de una entidad.
• Dispositivo móvil: Elemento electrónico de tamaño pequeño, con
capacidades de procesamiento de datos, conexión a Internet y memoria Son
ejemplos de estos: celulares inteligentes, tabletas y portátiles.
• Dueño del riesgo sobre el activo: Persona o entidad con la responsabilidad
de rendir cuentas y la autoridad para gestionar un riesgo.
• Información: Datos que poseen una información.
• Escritorio limpio: Protección de los papeles y dispositivos removibles de
almacenamiento de información, almacenados y manipulados en estaciones
de trabajo, de accesos no autorizados, perdida o daño de la información.
• Estación de trabajo: Área dispuesta por la SSF para que cada colaborador
pueda llevar a cabo sus actividades. Tales como oficinas, escritorios entre
otros.
FO- PIN- CODO- 03 Versión 1
38
• Evaluación del riesgo: Proceso de comparar el riesgo estimado contra
criterios de riesgo dados, para determinar la importancia del riesgo.
• Evento de seguridad de la información: Presencia identificada de una
condición de un sistema, servicio o red, que indica una posible violación de la
política de seguridad de la información o la falla de las salvaguardas, o una
situación desconocida previamente que puede ser pertinente a la seguridad.
• Gestión del riesgo: Actividades coordinadas para dirigir y controlar una
organización en relación con el riesgo.
• Hash: Es una función computable mediante un algoritmo, que tiene como
entrada un conjunto de elementos, que suelen ser cadenas, y los convierte
(mapea) en un rango de salida finito, normalmente cadenas de longitud fija.
• Incidente de seguridad de la información: Un evento o serie de eventos de
seguridad de la información no deseados o inesperados, que tienen una
probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad d la información.
• Información pública: Es toda información que la SSF genere, obtenga,
adquiera, o controle; corresponde a datos que son de acceso público y que
por lo tanto no tienen requerimientos frente a la Confidencialidad. Está en
esta clasificación la información denominada como “Pública” en la Ley 1712
de 2014 y como “dato público” en el decreto 1377 de 2013.
• Información Pública de Uso Interno: Es toda información que no contiene
datos sensibles, que puede encontrarse en proceso de construcción, y que no
requiere su divulgación a terceros, pero es necesaria para las actividades
internas de la SSF.
• Información pública clasificada: Es aquella información que estando en
poder o custodia de la SSF, pertenece al ámbito propio, particular y privado o
semiprivado de una persona natural o jurídica por lo que su acceso podrá ser
negado o exceptuado, siempre que se trate de las circunstancias legítimas y
necesarias y los derechos particulares o privados. Esta corresponde a toda
aquella información cuyo acceso podrá ser rechazado o denegado de manera
FO- PIN- CODO- 03 Versión 1
39
motivada y por escrito, siempre que el acceso pudiere causar un daño a los
siguientes derechos:
o El derecho de toda persona a la intimidad, bajo las limitaciones propias
que impone la condición de servidor público, en concordancia con lo
estipulado.
o El derecho de toda persona a la vida, la salud o la seguridad.
o Los secretos comerciales, industriales y profesionales.
o También corresponden a esta categoría los datos que son catalogados
como “dato semiprivado o privado” de acuerdo con el decreto 1377 de
2013.
• Información pública reservada: Es aquella información que estando en
poder o custodia de la SSF es exceptuada de acceso a la ciudadanía por
daño a intereses públicos. Esta corresponde a aquella información cuyo
acceso podrá ser rechazado o denegado de manera motivada y por escrito en
las siguientes circunstancias, siempre que dicho acceso estuviere
expresamente prohibido por una norma legal o constitucional:
o La defensa y seguridad nacional;
o La seguridad pública;
o Las relaciones internacionales;
o La prevención, investigación y persecución de los delitos y las faltas
disciplinarias, mientras que no se haga efectiva la medida de
aseguramiento o se formule pliego de cargos, según el caso;
o El debido proceso y la igualdad de las partes en los procesos
judiciales;
o La administración efectiva de la justicia;
o Los derechos de la infancia y la adolescencia;
o La estabilidad macroeconómica y financiera del país;
o La salud pública.
o También corresponde a información de carácter reservado los datos
catalogados como sensibles por el decreto 1377 de 2013
FO- PIN- CODO- 03 Versión 1
40
• Integridad: Propiedad de salvaguardar la exactitud y estado completo de los
activos.
• Norma: Principio que se impone o se adopta para dirigir la conducta o la
correcta realización de una acción o el correcto desarrollo de una actividad.
• Lista blanca: Es una lista o registro de entidades que, por una razón u otra,
pueden obtener algún privilegio particular, servicio, movilidad, acceso o
reconocimiento.
• Log: es un registro oficial de eventos durante un rango de tiempo en
particular. Se usa para registrar datos o información sobre quién, qué,
cuándo, dónde y por qué un evento ocurre para un dispositivo en particular
o aplicación.
• Llaves criptográficas: Son códigos (algoritmos) que se generan de forma
automática y se guarda en un directorio especial durante la instalación.
Habitualmente, esta información es una secuencia de números o letras
mediante la cual, en criptografía, se especifica la transformación del texto
plano en texto cifrado, o viceversa.
• Lugar seguro: es aquel que protege el activo de información de acceso de
personas no autorizadas, que su contenido no sea alterado y que el activo
pueda ser recuperado por las personas autorizadas de manera oportuna
(algunos ejemplos son: cajón seguro con llave, oficina con llave, etc.)
• Pantalla limpia: Protección de los equipos de cómputo, tabletas, portátiles u
otros dispositivos mediante un bloqueo de pantalla o desconexión cuando no
está en uso.
• Personal: Es aquella persona que tiene una relación con la SSF directa o a
través de un tercero, bajo cualquier tipo de vinculación Planta, contratistas,
estudiantes en práctica, etc.
• Política: actividad orientada en forma ideológica a la toma de decisiones de
un grupo para alcanzar ciertos objetivos.
• Propietario de Activo de Información: Es el nombre del responsable de la
producción de la información (propietario): Que corresponde al nombre del
FO- PIN- CODO- 03 Versión 1
41
área, dependencia o unidad interna, o al nombre de la entidad externa que
creó la información. Es el responsable del activo, quien debe velar por el
cumplimiento de los requerimientos establecidos frente a las propiedades de
disponibilidad, confidencialidad e integridad.
• Protección a la duplicación: consiste en asegurar que una transacción sólo
se realiza una vez, a menos que se especifique lo contrario. Impedir que se
grabe una transacción para luego reproducirla, con el objeto de simular
múltiples peticiones del mismo remitente original.
• Recursos informáticos: Todos aquellos componentes de hardware y
programas (software) que son necesarios para el buen funcionamiento y la
optimización del trabajo con computadores y periféricos, tanto a nivel
Individual, como colectivo u organizativo, sin dejar de lado el buen
funcionamiento de estos.
• Registro: Documento que presenta resultados obtenidos o proporcionar
evidencia de actividades desempeñadas.
• Responsable de Seguridad TIC: En LA ENTIDAD el comité de seguridad de
la información será el grupo encargado de realizar el seguimiento y monitoreo
al Sistema de Gestión de la Seguridad de la información (SGSI).
• Responsables del Activo: Personas responsables del activo de información
en el proceso.
• Riesgo Inherente: Nivel de incertidumbre propio de cada actividad, sin la
ejecución de ningún control.
• Riesgo residual: Nivel restante de riesgo después del tratamiento del riesgo.
• Seguridad de la Información: Preservación de la confidencialidad, la
integridad y la disponibilidad de la información; además, puede involucrar
otras propiedades tales como: autenticidad, trazabilidad, no repudio y
fiabilidad. [NTC-ISO/IEC 27002:2013].
• Sistema de Información: Se refiere a un conjunto independiente de recursos
de información organizados para la recopilación, procesamiento,
mantenimiento, transmisión y difusión de información según determinados
FO- PIN- CODO- 03 Versión 1
42
procedimientos, tanto automatizados como manuales que se realicen en la
entidad.
• Teletrabajo: Teletrabajo es el término bajo el cual se conoce el esquema
acordado formalmente entre un empleado y su empleador para trabajar en un
lugar diferente a la oficina. El aprovechamiento de las ventajas de las
Tecnologías de información y comunicación permite lograr las actividades en
forma no presencial, trayendo consigo la ventaja de evitar pérdidas de tiempo
en desplazamiento y poder trabajar desde la comodidad de su lugar de
vivienda.
• Tecnología de la Información: Se refiere al hardware y software operado
por el organismo o por un tercero que procese información en su nombre,
para llevar a cabo una función propia de la entidad.
• Tercero: Cualquier persona natural o jurídica externa a la Entidad y que
presta algún tipo de servicio o realiza alguna labor para la SSF.
• Texto plano: es un archivo informático que contiene
únicamente texto formado solo por caracteres que son legibles por humanos,
careciendo de cualquier tipo de formato tipográfico. También son llamados
archivos de texto llano, simple o sin formato.
• Tratamiento del riesgo: Proceso de selección e implementación de acciones
de mejorar que permitan mitigar el riesgo.
• Trasferencia de información: Intercambio de información entre áreas
internas de la Entidad o entre la SSF y terceras partes. • Token: Es un dispositivo que genera códigos de acceso que se le da a un
usuario autorizado de un servicio computarizado para facilitar el proceso de
autenticación. • URL (localizador de recursos uniforme): Es un identificador de recursos
uniforme (Uniform Resource Identifier, URI) cuyos recursos referidos pueden
cambiar, esto es, la dirección puede apuntar a recursos variables en el
tiempo. Están formados por una secuencia de caracteres, de acuerdo con un
formato modélico y estándar, que designa recursos en una red. • Valoración del riesgo: Proceso de análisis y evaluación del riesgo.