auditorÍa general de la republica - auditoria… · políticas de seguridad de la información...

Políticas de seguridad de la información Pág. 1 de 36

TI.120.P01.A02 Versión 1.0 06/10/2017

AUDITORÍA GENERAL DE LA REPUBLICA

Procedimiento

TI.120.P01.P

ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Políticas de Seguridad de la información

TI.120.P01.A07

Resumen: Este documento presenta las políticas de seguridad de la información

que los usuarios deben seguir al hacer uso de los recursos tecnológicos de la

AGR.

“ESTAS NORMAS Y POLITICAS SON DE ESTRICTO CUMPLIMIENTO”

OFICINA DE PLANEACION

Bogotá, Octubre de 2017


TI.120.P01.A02 Versión 1.0 06/10/2017

TABLA DE CONTENIDO

1 INTRODUCCIÓN ........................................................................................................................... 3

2 POLITICA DE SEGURIDAD DE LA INFORMACION ......................................................................... 3

3 NORMATIVIDAD .......................................................................................................................... 4

4 POLÍTICAS TECNICAS DE SEGURIDAD DE LA INFORMACIÓN ....................................................... 7

4.1 POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN .................................................... 7

4.2 POLÍTICA SOBRE USO DE CONTROLES CRIPTOGRÁFICOS Y GESTION DE LLAVES CRIPTOGRÁFICAS

9

4.3 POLÍTICA DE TRANSFERENCIA O INTERCAMBIO DE INFORMACIÓN ................................. 10

4.4 POLÍTICA DE USO DE DISPOSITIVOS MÓVILES .................................................................. 11

4.5 POLÍTICA PARA RELACIONES CON PROVEEDORES ............................................................ 13

4.6 POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA ..................................................... 15

4.7 POLÍTICA DE RESPALDO DE INFORMACIÓN ...................................................................... 16

4.8 POLÍTICA DE DESARROLLO SEGURO .................................................................................. 18

4.9 POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES ......................................................... 20

4.10 POLÍTICA DE USO DE SERVICIOS DE CORREO ELECTRÓNICO ............................................ 23

4.11 POLÍTICA DE USO DE SERVICIO DE ACCESO A INTERNET .................................................. 25

4.12 POLÍTICA DE USO ACEPTABLE DE ACTIVOS DE INFORMACIÓN ......................................... 28

5 DEFINICIONES ............................................................................................................................ 31


TI.120.P01.A02 Versión 1.0 06/10/2017

1 INTRODUCCIÓN

La información es uno de los activos más importantes para cualquier institución, la pérdida

de este activo puede representar lesiones irreparables y en el peor de los casos la

desaparición de la misma Entidad.

Día tras día las amenazas a la seguridad de la información descubren e intentan

aprovechar las vulnerabilidades en los sistemas de información, la infraestructura y el

personal de las organizaciones. Estas situaciones representan sin duda alguna un alto

riesgo para la información que circula a lo largo y ancho de la entidad, por es fundamental

un proceso de identificación, gestión y tratamiento oportuno de los riesgos de seguridad

de la información.

Las políticas tecnológicas de seguridad y privacidad de la información de la Auditoría

General de la República, forman parte del sistema de gestión de calidad. Estas políticas

son mecanismos administrativos de control de los riesgos de seguridad de la información

y tienen como objetivo definir los requisitos para preservar la confidencialidad, integridad

y disponibilidad de la información de la Entidad frente a potenciales amenazas. Las

políticas son lineamientos generales que se traducen en procedimientos y controles

debidamente alineados a las necesidades y objetivos estratégicos de la Entidad.

El término política de seguridad se suele definir como el conjunto de requisitos definidos

por los responsables directos o indirectos de un sistema, que indica en términos generales

qué está y qué no está permitido en el área de seguridad durante la operación y uso

general de los recursos informáticos. Al tratarse de 'términos generales', aplicables a

situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política

para convertirlos en indicaciones precisas acerca de los qué es lo permitido y lo que es

denegado en cierta parte de las operaciones en un sistema o recurso

Las políticas deberán ser conocidas y cumplidas plenamente por todos los funcionarios,

contratistas y terceras partes de la Auditoría General de la República que tengan o

requieren tener acceso a la información de la Entidad o a sus sistemas de información.

El incumplimiento de las políticas de seguridad de la información puede conducir a riesgos

que derivan en pérdidas de confidencialidad, integridad o disponibilidad de la información

y en casos extremos a incidentes de seguridad de la información que dependiendo de su

severidad conducen a procesos administrativos, disciplinarios o legales según el impacto

del evento de seguridad provocado.

2 POLITICA DE SEGURIDAD DE LA INFORMACION


TI.120.P01.A02 Versión 1.0 06/10/2017

En ejercicio de su función constitucional, la Auditoría General de la República reconoce la

importancia de preservar la seguridad de la información para lograr una efectiva vigilancia

de la función fiscal del estado colombiano, para lo cual se compromete en todos sus

niveles institucionales en la implementación de un sistema de gestión de seguridad de la

información que garantice un marco de confianza en el ejercicio de sus deberes con el

Estado y los ciudadanos y el estricto cumplimiento de las leyes, siempre en concordancia

con la misión y visión de la entidad.

La Auditoría General de la República identificará periódicamente las amenazas y

vulnerabilidades que puedan afectar sus objetivos institucionales, fijará objetivos de la

seguridad de la información e implementará los planes para el tratamiento de los riesgos

que puedan afectar la confidencialidad, integridad y disponibilidad de la información. El

sistema de gestión de seguridad de la información mejorará continuamente a través del

fortalecimiento de las capacidades de su talento humano, la innovación tecnológica, la

adecuada incorporación de la seguridad de la información a su sistema integrado de

gestión institucional y la búsqueda permanente de eficiencia administrativa.

3 NORMATIVIDAD

Las políticas de seguridad de la información de la Auditoría General de la República se

soportan en las siguientes normas.

Norma Objeto Referencia

Ley 87 de 1993 Por la cual se establecen normas para

el ejercicio del control interno en las

entidades y organismos del Estado y

se dictan otras disposiciones

Se entiende por control interno el sistema integrado

por el esquema de organización y el conjunto de

planes, métodos principios, normas, procedimientos

y mecanismos de verificación y evaluación

adoptados por cada entidad, con el fin de procurar

que todas las actividades operaciones y actuaciones,

así como la administración de la información y los

recursos, se realicen de acuerdo con las normas

constitucionales y legales vigentes dentro de las

políticas trazadas por la dirección y en atención a las

metas y objetivos previstos.

Ley 527 de 1999 Por medio de la cual se define y se

reglamenta el acceso y el uso de los

mensajes de datos

El mensaje de datos es “La información generada,

enviada, recibida, almacenada o comunicada por

medios electrónicos, ópticos o similares, como

pudieran ser, entre otros, el Intercambio Electrónico

de Datos, Internet, el correo electrónico, el

telegrama, el télex o el telefax”.

Ley 594 de 2000 Por medio de la cual se dicta la Ley

General de Archivo y se dictan otras

disposiciones

Responsabilidad “Los servidores públicos son

responsables de la organización, conservación, uso

y manejo de los documentos”

Administración y acceso. “Es una obligación del

Estado la administración de los archivos públicos y


TI.120.P01.A02 Versión 1.0 06/10/2017


un derecho de los ciudadanos el acceso a los

mismos, salvo las excepciones que establezca la

ley;”

Ley 734 de 2002 Por la cual se expide el Código

Disciplinario Único.

Art.34 Deberes son deberes de todo servidor público

“4. Utilizar los bienes y recursos asignados para el

desempeño de su empleo, cargo o función, o la

información reservada a que tenga acceso por razón

de su función, en forma exclusiva para los fines a que

están afectos. 5. Custodiar y cuidar la

documentación e información que por razón de su

empleo cargo o función conserve bajo su cuidado o

a la cual tenga acceso e impedir o evitar la

sustracción, destrucción, ocultamiento o utilización

indebidos”

La Ley 850 de 2003 Por medio de la cual se reglamentan

las veedurías ciudadanas.

Principio de Transparencia “A fin de garantizar el

ejercicio de los derechos, deberes, instrumentos y

procedimientos consagrados en esta ley, la gestión

del Estado y de las veedurías deberán asegurar el

libre acceso de todas las personas a la información

y documentación relativa a las actividades de interés

colectivo de conformidad con lo dispuesto en esta ley

y en las normas vigentes sobre la materia”.

Ley 1266 de 2008 Por la cual se dictan disposiciones

generales del hábeas data y se regula

el manejo de la información contenida

en bases de datos personales, en

especial la financiera, crediticia,

comercial, de servicios y la

proveniente de terceros países.

Principio de seguridad. La información que conforma

los registros individuales constitutivos de los bancos

de datos a que se refiere la ley, así como la

resultante de las consultas que de ella hagan sus

usuarios, se deberá manejar con las medidas

técnicas que sean necesarias para garantizar la

seguridad de los registros evitando su adulteración,

pérdida, consulta o uso no autorizado;

Ley 1221 de 2008 Por la cual se establecen normas para

promover y regular el Teletrabajo y se

dictan otras disposiciones

Teletrabajo. Es una forma de organización laboral,

que consiste en el desempeño de actividades

remuneradas o prestación de servicios a terceros

utilizando como soporte las tecnologías de la

información y la comunicación – TIC para el contacto

entre el trabajador y la empresa, sin requerirse la

presencia física del trabajador en un sitio específico

de trabajo.

Ley 1273 de 2009 Por medio de la cual se crea un nuevo

bien jurídico tutelado denominado “de

la protección de la información y de los

datos” y se preservan integralmente

los sistemas que utilicen las

tecnologías de la información y las

comunicaciones.

“De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos”

Ley 1581 de 2012 Por medio de la cual se dictan

disposiciones generales para la

Protección de Datos Personales

Se hace referencia, principalmente, al artículo 15 de

la Constitución Nacional en el cual se establece que

“todas las personas tienen derecho a su intimidad

personal y familiar y a su buen nombre, y el Estado


TI.120.P01.A02 Versión 1.0 06/10/2017


debe respetarlos y hacerlos respetar. De igual modo,

tienen derecho a conocer, actualizar y rectificar las

informaciones que se hayan recogido sobre ellas en

bancos de datos y en archivos de entidades públicas

y privadas. En la recolección, tratamiento y

circulación de datos se respetarán la libertad y

demás garantías consagradas en la Constitución…”.

Decreto 884 de

2012

Por medio del cual se reglamenta la

Ley 1221 de 2008 y se dictan otras

disposiciones.

El empleador debe informar al teletrabajador sobre

las restricciones de uso de equipos y programas

informáticos, la legislación vigente en materia de

protección de datos personales, propiedad

intelectual, seguridad de la información y en general

las sanciones que puede acarrear por su

incumplimiento.

Decreto 886 de

2014

Por el cual se reglamenta el artículo 25

de la Ley 1581 de 2012, en lo relativo

al Registro Nacional de bases de

datos.

Serán objeto de inscripción en el Registro Nacional

de Bases de Datos, “las bases de datos que

contengan datos personales cuyo Tratamiento

automatizado o manual se realice por personas

naturales o jurídicas, de naturaleza pública o privada,

en el territorio colombiano o fuera de él, en este

último caso, siempre que al Responsable del

Tratamiento o al Encargado del Tratamiento le sea

aplicable la legislación colombiana en virtud de

normas y tratados internacionales. Lo anterior sin

perjuicio de las excepciones previstas en el artículo

2° de la Ley 1581 de 2012”.

LEY 1712 DE 2014 Ley de Transparencia y del Derecho

de Acceso a la Información Pública

Hace referencia, principalmente, al artículo 74 de la

Constitución Nacional en el cual se establece que

“Todas las personas tiene derecho a acceder a los

documentos públicos salvo los casos que establezca

la ley”.

Decreto 103 de

2015

Por el cual se reglamenta

parcialmente la Ley 1712 de 2014 y se

dictan otras disposiciones

“La información pública que contiene datos

semiprivados o privados, definidos en los literales g)

y h) del artículo 3° de la Ley 1266 de 2008, o datos

personales o sensibles, según lo previsto en los

artículos 3° y 5° de la Ley 1581 de 2012 y en el

numeral 3° del artículo 3° del Decreto 1377 de 2013,

solo podrá divulgarse según las reglas establecidas

en dichas normas.”

Decreto 1078 de

2015

Por medio del cual se expide el

Decreto único reglamentario del

sector de Tecnologías de la

Información y las comunicaciones

Titulo 9, Políticas y Lineamientos de Tecnologías de

la Información.

Artículo 2.2.9.1.1.1. Define los lineamientos,

instrumentos y plazos de la estrategia de Gobierno

en Línea para garantizar el máximo

aprovechamiento de las Tecnologías de la

Información y las Comunicaciones, con el fin de

contribuir con la construcción de un Estado abierto,

más eficiente, más transparente y más participativo

y que preste mejores servicios con la colaboración


TI.120.P01.A02 Versión 1.0 06/10/2017


de toda la sociedad

4 POLÍTICAS TECNICAS DE SEGURIDAD DE LA INFORMACIÓN

4.1 POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN

OBJETIVO

Definir los lineamientos generales para controlar el acceso a la información, los activos y

sistemas informáticos de la Auditoría General de la República.

POLITICA

La gestión de seguridad de la información en la Auditoría General de la República, busca

reducir los riesgos que afectan la confidencialidad, integridad y disponibilidad de los

activos de información de la Entidad que se encuentran a cargo de sus funcionarios,

contratistas o terceros; para lograr este objetivo se han establecido controles que permitan

regular el acceso a las redes, datos e información, así como la implementación de

perímetros de seguridad para la protección de las instalaciones, especialmente, aquellas

clasificadas como áreas seguras, como lo son los centros de procesamiento de

información, áreas de almacenamiento de información física, cuartos de suministro de

energía eléctrica, aire acondicionado y otras áreas esenciales para el cumplimiento de las

funciones misionales de la entidad.

El acceso a la información, los sistemas de información y demás recursos de información

de la Entidad requiere de una autorización por parte del funcionario responsable de su

protección y salvaguarda. La Auditoría General de la República cuenta con procedimientos

para tramitar el acceso a la información y sus sistemas de información.

Una vez se aprueba el acceso a la información, los funcionarios y contratistas no deben

realizar modificaciones sobre la información sin la debida autorización, guardar

confidencialidad de la información a la cual tiene acceso, no vulnerar los controles de

seguridad establecidos y deben informar al Oficina de Planeación – Grupo Informática y

Sistemas sobre las debilidades o eventos de seguridad que detecten o sospechen.

La Auditoría General de la República lleva a cabo un control de acceso a la información

que tiene en cuenta los aspectos lógicos y físicos que permiten garantizar la trazabilidad

de las acciones realizadas, identificando, entre otros datos relevantes, quién realiza el


TI.120.P01.A02 Versión 1.0 06/10/2017

acceso, las operaciones ejecutadas, fecha, hora, lugar, cantidad de intentos de acceso,

accesos denegados.

RESPONSABILIDADES

La información de naturaleza pública debe de estar disponible al ciudadano siempre

y cuando no esté sometida a reserva legal o existan restricciones para su acceso.

El acceso a la información y sistemas de información son controlados conforme a los

roles y responsabilidades de los funcionarios y contratistas. La autorización es

otorgada por los responsables de los activos de información. Los registros de acceso

y actividades desarrolladas podrán ser auditadas para propósitos de control e

investigación a los que haya lugar dentro de la naturaleza de la Auditoría General de

la República, y así mismo para minimizar el riesgo de la pérdida de integridad o

confidencialidad de la información.

Como responsables de la información, los funcionarios, contratistas y terceros de la

Auditoría General de la República deberán administrar y hacer cumplir las políticas y

controles de seguridad establecidos, con el fin de evitar accesos no autorizados,

pérdidas o utilización indebida de los activos de información.

Los funcionarios, contratistas y terceros tienen deben preservar la integridad,

confidencialidad y disponibilidad de la información, los activos y los sistemas

informáticos para los cuales han sido designados y autorizados, asegurándose que

estos solo sean utilizados para el desarrollo de las labores encomendadas dentro de

la Entidad.

Los accesos tanto físicos como lógicos, asignados a los funcionarios y contratistas

deberán ser desactivados o modificados una vez terminados los vínculos

contractuales.

Todos los usuarios tendrán un identificador único (ID del usuario) para su uso personal

que les permita validar los accesos y verificar su buen uso.

La Auditoría General de la República establece controles para restringir el acceso a

áreas de procesamiento de información, los visitantes a las áreas de procesamiento

de información deben estar acompañados por un funcionario responsable del área

durante la visita a las áreas de procesamiento de información.


TI.120.P01.A02 Versión 1.0 06/10/2017

Periódicamente y de acuerdo con el nivel de riesgos identificado, los responsables de

sistemas de información y áreas de procesamiento o almacenamiento de información

deben realizar revisiones de los derechos de acceso asignados a los usuarios de los

sistemas de información y áreas físicas.

4.2 POLÍTICA SOBRE USO DE CONTROLES CRIPTOGRÁFICOS Y GESTION DE LLAVES CRIPTOGRÁFICAS

OBJETIVO

Proteger la confidencialidad, autenticidad o integridad de la información de la Auditoría

General de la República a través de medios criptográficos.

POLITICA

La oficina de Planeación de la Auditoria General de la República, es la encargada de

definir los mecanismos de cifrado de información más apropiados frente a las

necesidades de la Entidad. Con base en el análisis de riesgos y considerando los criterios

de confidencialidad, integridad, autenticidad y no repudio en las comunicaciones o en el

tratamiento de la información, se adoptan los controles de cifrado y firma digital de datos

que reduzcan los riesgos de seguridad de la información. El uso de herramientas de

cifrado será autorizado conforme a los roles o responsabilidades de los funcionarios y

contratistas de la Entidad

Para establecer el sistema de cifrado, se tienen en cuenta la normatividad colombiana

vigente frente a la protección de los datos, estándares aplicables y la tecnología existente.

Las diferentes dependencias de la Auditoria General de la República, son las encargadas

de realizar la respectiva adquisición, creación, activación, distribución de dispositivos de

control criptográfico (token) para sus respectivas dependencias.

Las diferentes dependencias deben adoptar las medidas de seguridad recomendadas por

la Oficina de Planeación – Grupo de informática y sistemas para la protección y control

de los dispositivos de control criptográfico (token).

RESPONSABILIDADES

La solicitud de acceso o actualización al sistema o claves de cifrado se debe efectuar

de manera formal la Oficina de Planeación. Aquellas personas autorizadas deberán

velar por la conservación de la disponibilidad, integridad y confidencialidad de las

claves criptográficas, así como de la información a la cual se le haya aplicado algún


TI.120.P01.A02 Versión 1.0 06/10/2017

proceso de cifrado. De igual modo, la información cifrada o descifrada deberá ser

tratada conforme a su nivel de clasificación y su eliminación deberá realizarse a través

de borrado seguro.

Los responsables del sistema de cifrado y de las claves criptográficas serán los

encargados de establecer los controles para asegurar el sistema y las claves, así

como gestionar el acceso sólo a los funcionarios, contratistas y terceros autorizados.

Las actividades relacionadas con la administración y eliminación de las claves

criptográficas deberán ser registradas por la persona encargada. Las claves serán

deshabilitadas cuando estas tengan riesgo de divulgación o cuando los funcionarios,

contratistas y terceros autorizados culminen la relación laboral o contractual con la

Entidad

Los funcionarios, contratistas y terceros tendrán la responsabilidad de reportar,

mediante las fallas reales o potenciales y los posibles riesgos del sistema de cifrado o

firma digital de datos.

4.3 POLÍTICA DE TRANSFERENCIA O INTERCAMBIO DE INFORMACIÓN

OBJETIVO

Definir las pautas generales para la protección de la información durante el intercambio

de la información entre los funcionarios, contratistas y terceros de la Auditoría General de

la República, y de la entidad con partes externas, preservando las características de

disponibilidad, integridad y confidencialidad.

POLITICA

La transmisión de la información perteneciente a la Auditoría General de la República se

controla según los niveles de clasificación legal de la información establecidos y las

políticas de seguridad de la Entidad. En caso de que se requiera intercambiar información

reservada o pública clasificada o sensible personal, se deben adoptar controles de cifrado

de información de acuerdo con lo establecido en la política de uso de controles

criptográficos.

Los intercambios de información con otras entidades o partes interesadas externas

deberán ser soportados formalmente, determinando en ellos los medios y controles en el


TI.120.P01.A02 Versión 1.0 06/10/2017

tratamiento de la información. Así mismo, se firmarán acuerdos de confidencialidad que

garanticen la protección de la información durante y posterior al tiempo de ejecución de

las labores encomendadas.

La transmisión de la información se desarrollará teniendo en cuenta la normatividad

colombiana vigente, especialmente la relativa a la Ley de Habeas Data (Ley 1266 de

2008), la Ley de Protección de Datos Personales (Ley 1581 de 2012) y Ley de

Transparencia y Acceso a la información pública (Ley 1712 de 2014).

RESPONSABILIDADES

Todos los funcionarios, contratistas y terceros que tengan acceso a la información

de la Entidad, deben protegerla de divulgación no autorizada conforme a los

Procedimientos de Clasificación y Etiquetado de la Información definidos en el

Sistema de Gestión de Calidad.La información sólo podrá ser usada para las

actividades autorizadas dentro de los acuerdos suscritos entre La Auditoría General

de la República y las partes interesadas.

En los acuerdos que se establezcan para el intercambio de información, se deben

describir: las responsabilidades y procedimientos para la transferencia segura de la

información, el responsable y proceso a seguir en caso de presentarse un incidente

de seguridad y los niveles de clasificación de la información que se intercambia.

Para la transferencia de información se deben mitigar los riesgos asociados la

pérdida de confidencialidad, integridad o disponibilidad. Se deben emplear canales

de transmisión de datos (físicos o lógicos) que permitan brindar los niveles de

seguridad apropiados al tipo de información a transmitir y que preserven los niveles

de confidencialidad e integridad de la información.

Las partes interesadas en el intercambio de información deben establecer y firmar

acuerdos de confidencialidad en donde se incluyan las responsabilidades de las

partes y los controles para la protección de la información de acuerdo con el marco

legal que se aplique a la información a transmitir.

4.4 POLÍTICA DE USO DE DISPOSITIVOS MÓVILES

OBJETIVO

Garantizar la seguridad de la información en los dispositivos móviles cuando se

administre, transmita o almacene información de la Auditoría General de la República, y


TI.120.P01.A02 Versión 1.0 06/10/2017

cuando estos se utilicen dentro de las redes de datos de la Auditoría General de la

República.

POLITICA

La Oficina de Planeación de la Auditoría General de la República es la responsable de

implementar las directrices necesarias para la autorización de acceso a los recursos y

activos de información a través de los dispositivos de tecnología móviles (computadores

portátiles, smartphone, tabletas, o cualquier equipo de dispositivos electrónicos con

capacidad de acceso a las redes). La autorización de conexión de dispositivos móviles a

las redes de datos de la Entidad, se realiza una vez se identifican, gestionan y mitigan los

riesgos de seguridad de la información asociados al uso de los dispositivos.

Los dispositivos móviles que se conecten a las redes de datos de la Entidad, solo deben

tener acceso a la información autorizada por parte de los responsables de los diferentes

procesos de la Entidad.

De acuerdo con los niveles de clasificación legal de la información almacenada en el

dispositivo móvil, se determinará la necesidad de aplicar controles de cifrado, de datos,

así como la ejecución de copias de respaldo periódicas.

En los dispositivos móviles de propiedad de la Auditoría General de la República no se

debe almacenar información de carácter personal sensible en los términos especificados

por la Ley 1581 de protección de datos personales.

RESPONSABILIDADES

La Oficina de Planeación, con la información suministrada de la Dirección de

Talento Humano o Grupo de Contratación, brindará o denegará el acceso a los

funcionarios, contratistas y terceros a la información o sistemas de información que

son accedidos a través de dispositivos móviles de acuerdo con los resultados del

análisis de riesgos que se realiza en conjunto con el responsable de la información

o el proceso.

En caso de extravió o hurto de un dispositivo móvil asignado por la Auditoría

General de la República, el funcionario, contratista o tercero será el responsable de

informar de manera inmediata la Oficina de Planeación del incidente.


TI.120.P01.A02 Versión 1.0 06/10/2017

La oficina de Planeación debe seguir el procedimiento de atención de incidentes de

seguridad de la información y los procesos administrativos definidos por la Entidad

en caso de eventos de hurto o pérdida de dispositivos móviles que contengan

información institucional.

Los funcionarios que han sido dotados con dispositivos móviles de la entidad, no

podrán instalar software sin previa autorización y coordinación por La oficina de

Planeación, así mismo, no se deberá realizar conexiones externas a redes públicas

que no cuenten con protecciones de seguridad equivalentes a las definidas por la

oficina de Planeación de la Entidad.

La oficina de Planeación podrá realizar la desactivación, borrado y retiro de los

accesos del dispositivo móvil a los sistemas de información de la Auditoría General

de la República, cuando el dispositivo móvil haya sido extraviado, robado o haya

sido comprometida su seguridad.

La Oficina Planeación junto con la Dirección de Talento Humano realizará

campañas de sensibilización periódicas a los funcionarios, contratistas y terceros

de la Auditoría General de la República encaminadas al uso responsable de

dispositivos móviles.

Todos los funcionarios, contratistas y terceros autorizados deben cumplir las

políticas de seguridad de la información de la Entidad desde el momento en que se

les autoriza el uso de dispositivos móviles interconectados a las redes de datos de

la Entidad.

Los funcionarios deben proteger física y lógicamente los dispositivos móviles asignados y que son propiedad de la Entidad para evitar el hurto, acceso o la divulgación no autorizada de la información institucional.

4.5 POLÍTICA PARA RELACIONES CON PROVEEDORES

OBJETIVO

Preservar los niveles de seguridad y privacidad de los activos de información de la

Auditoría General de la República que sean accedidos o administrados por proveedores,

a través de la implementación de controles que minimicen los riesgos asociados a la

pérdida de confidencialidad, integridad o disponibilidad de la información.


TI.120.P01.A02 Versión 1.0 06/10/2017

POLITICA

Cuando se requiera otorgar acceso la información, sistemas o activos de información de

la Entidad a los proveedores, el responsable del activo, con apoyo de la Oficina de

Planeación, debe realizar un análisis de riesgos con el fin de determinar los controles de

seguridad que preserven la confidencialidad, disponibilidad e integridad de la información.

Antes de autorizar el acceso a la información a un proveedor se debe validar los

antecedentes disciplinarios del proveedor conforme a los procedimientos establecidos por

La Auditoría General de la República, con el objetivo de garantizar el adecuado manejo

de la información.

En ningún caso se otorgará acceso a la información, sistemas de información o áreas

seguras de la Auditoría General de la República a proveedores, hasta no haber realizado

la adecuada gestión de los riesgos, formalizado la relación contractual y firmado el acuerdo

de confidencialidad.

Dentro de los acuerdos, contratos o convenios formalmente firmados entre la Auditoria

General de la República y los proveedores se deben definir claramente los requerimientos

de seguridad y privacidad tales como: información a tratar; niveles de clasificación,

finalidad del uso de la información, controles a tener en cuenta antes, durante y después

del tratamiento de los datos por parte del proveedor. En el caso de tratamiento de

información con carácter personal, se debe contar con la autorización de los titulares de

los datos.

Siempre que se otorgue acceso a la información de la Auditoría General de la República

a terceros, se establecerán acuerdos de confidencialidad que tengan como principio el

cumplimiento de las políticas de seguridad de la información de la Auditoría General de la

República y cláusulas requeridas para proteger la información a acceder.

RESPONSABILIDADES

Antes de otorgar los permisos de acceso a la información, el responsable del activo

debe determinar: las necesidades del acceso, el acceso requerido (físico o lógico),

el nivel de clasificación de la información a acceder, la finalidad de uso, los controles

mínimos a tener en cuenta frente al tratamiento de la información y el manejo que

el proveedor debe dar a los incidentes de seguridad de la información que se

puedan presentar con la información entregada.


TI.120.P01.A02 Versión 1.0 06/10/2017

El responsable del activo de información, debe definir la finalidad de la autorización

de acceso a la información que se otorgue al proveedor y documentar la

autorización del acceso a los datos de acuerdo con el fin previsto.

Todos los funcionarios, contratistas y proveedores que tengan acceso a la

información deberán cumplir con las políticas de seguridad y privacidad de la

información, así mismo, en caso de que identifiquen una amenaza que pueda llegar

a vulnerar la información, deberán reportarla a la Oficina de Planeación.

El Responsable del activo de información no debe permitir el acceso a la

información hasta no tener firmados y formalizados, por medio de un contrato o

acuerdo con los proveedores, los fines de uso, condiciones de tratamiento, así

como la debida implementación de los controles requeridos para preservar las

características de confidencialidad, integridad y disponibilidad de la información.

Antes de brindar acceso a los activos de información, los proveedores deben

aceptar formalmente el cumplimiento de las políticas de seguridad y privacidad de

la información de la Auditoría General de la República.

4.6 POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA

OBJETIVO

Establecer los lineamientos generales para reducir los riesgos de acceso no autorizado,

pérdida o daño de información en escritorios y estaciones de trabajo durante o por fuera

de las horas laborales.

POLITICA

Para lograr un adecuado aseguramiento de la información los funcionarios, contratistas y

terceros de la Auditoría General de la República deberán adoptar buenas prácticas para

el manejo y administración de la información física y electrónica que se encuentra a su

cargo, con el fin de evitar que personas no autorizadas accedan a dicha información.

Se deben almacenar de forma segura documentos y elementos de almacenamiento

electrónico conforme los niveles de clasificación de la información para evitar accesos no

autorizados, pérdida o daño de la información en la jornada laboral o fuera de ella.


TI.120.P01.A02 Versión 1.0 06/10/2017

Cuando no estén en uso, los documentos que contienen información reservada o pública

clasificada deben ser almacenados en lugar seguro que impida el acceso a personal no

autorizado a los mismos.

RESPONSABILIDADES

La Oficina de Planeación es la encargada de establecer controles de bloqueo sobre

las sesiones de los usuarios para que el equipo se bloquee en un lapso de tiempo

determinado.

Los funcionarios, contratistas y terceros que tenga dentro de sus funciones la

atención al público, deberán almacenar los documentos y dispositivos de

almacenamiento bajo llave y ubicar el equipo de cómputo de tal forma que se evite

el acceso o revisión de la información por parte de los visitantes no autorizados.

Todos los funcionarios, contratistas y terceros deben adoptar las medidas de

seguridad aprobadas por la Entidad para prevenir el acceso no autorizado a

información electrónica o impresa cuando se deja desatendido el puesto de trabajo.

Durante los lapsos de tiempo en los que se dejen desatendidas las estaciones de

trabajo, los funcionarios deben bloquear la sesión del usuario para evitar que terceros

no autorizados accedan a la información contenida en el computador.

Al imprimir información reservada o pública clasificada, los documentos deberán ser

retirados de forma inmediata de las impresoras para evitar divulgación no autorizada

de la información.

Los archivos que contengan información reservada, pública clasificada o personal sensible deberán ser almacenados en forma que impida se el fácil acceso por terceros, de acuerdo con los resultados de la evaluación de riesgos, la información deberá ser cifrada para su protección.

4.7 POLÍTICA DE RESPALDO DE INFORMACIÓN

OBJETIVO

Definir los lineamientos generales para la generación, administración, retención y custodia

de las copias de respaldo, con el fin de preservar la disponibilidad e integridad de la

información de la Auditoria General de la República.


TI.120.P01.A02 Versión 1.0 06/10/2017

POLITICA

La información requerida para el cumplimiento de las actividades misionales y los objetivos

estratégicos de la Entidad, debe ser respaldada conforme a los lineamientos legales,

técnicos, requisitos de las tablas de retención documental, la gestión de riesgos, así como

a los niveles de clasificación de la información. Los tiempos de preservación de las copias

de respaldo son definidos teniendo en cuenta los requerimientos anteriormente expuestos,

así como también la tecnología requerida para la restauración de la información contenida.

Las copias de respaldo deben ser almacenadas en lugares que tenga los debidos

controles de seguridad físicos y tecnológicos, que limiten el acceso sólo a las personas

autorizadas y garanticen la disponibilidad de la información.

Al cumplir el ciclo de vida útil de los medios de almacenamiento de las copias de respaldo,

los medios son inutilizados de forma segura, evitando la recuperación de la información

contenida y acceso por personas no autorizadas.

RESPONSABILIDADES

Las copias de respaldo deben ser almacenadas de forma segura por parte de la

oficina de Planeación, para garantizar que no sean manipuladas por personas no

autorizadas. La oficina de Planeación debe mantener un registro de todas las

actividades desarrolladas frente al tratamiento y manipulación de las copias de

respaldo para asegurar la trazabilidad de las mismas.

Los funcionarios, contratistas y terceros responsables de la infraestructura, sistemas

de información y Bases de datos requeridas para la operación de la Auditoría General

de la República, deben generar las respectivas copias de respaldo, estableciendo la

periodicidad, tipo de almacenamiento y registrando la información según lo

establecido dentro de la presente política.

Los encargados de las copias de respaldo deben velar porque la información sea

almacenada conforme a los lineamientos establecidos, de forma controlada y

conforme a las necesidades de la Auditoría General de la República. Así mismo

deberán realizar una prueba periódica de las copias con el fin validar el correcto

funcionamiento y la efectiva restauración.

La oficina de Planeación debe verificar que las copias de respaldo se realicen de

acuerdo con lo establecido y que las estrategias de protección de las copias de


TI.120.P01.A02 Versión 1.0 06/10/2017

respaldo se ajusten a las necesidades y requerimientos de la Entidad y los

responsables de los procesos.

La oficina de Planeación debe realizar a intervalos planificados pruebas de

restauración de los datos para comprobar su correcto funcionamiento.

Los funcionarios, contratistas y terceros deben almacenar la información requerida para sus procesos operativos, en la ubicación establecida por La Oficina de Planeación dentro del servidor de almacenamiento, con el fin de garantizar la disponibilidad y posibilidad de realización de copias de respaldo de cada una de las áreas de trabajo compartidas de almacenamiento.

4.8 POLÍTICA DE DESARROLLO SEGURO OBJETIVO

Definir los lineamientos generales para el desarrollo, mantenimiento y adquisición de

software al interior de la Auditoría General de la República, con el fin de determinar los

controles de seguridad en el desarrollo de código fuente.

POLITICA

Para el desarrollo de software dentro de la Auditoría General de la República se debe

realizar un proceso de planificación de los desarrollos en donde se determine la respectiva

metodología a utilizar; las etapas de desarrollo; la estructura de componentes a elaborar,

los respectivos responsables, criterios de aceptación y las pruebas de funcionalidad y

seguridad teniendo en cuenta los requerimientos y el cumplimiento de los objetivos

estratégicos de la Entidad. Las etapas del desarrollo del software deben estar

debidamente documentadas con el objetivo de generar registros de trazabilidad frente a

los requerimientos, desarrollo y aceptación del software.

La identificación de las necesidades y requisitos de funcionalidad, calidad y seguridad, se

documentan entre el área solicitante y la oficina de Planeación de la Auditoria General de

la República. Los requerimientos del software se deben validar durante el proceso de

aceptación del desarrollo de software.

Para el desarrollo y puesta de producción del software, se deben usar ambientes

separados (lógica o fisicamente): uno para el desarrollo, uno para las pruebas y uno final

para la puesta en producción En los diferentes ambientes se deben establecer con claridad

los roles y responsabilidades de los usuarios con el fin de evitar modificaciones no

autorizadas del código fuente del software.


TI.120.P01.A02 Versión 1.0 06/10/2017

Los cambios requeridos sobre el software se deben controlar través de la metodología de

desarrollo de software que establezca el Grupo de Informática y Sistemas de la Oficina de

Planeación, la cual permite que se documenten y establezcan los requerimientos y los

niveles de aceptación del cambio. Dentro de los requerimientos de los cambios es

necesario analizar los riesgos asociados a la seguridad de la información y la identificación

de los controles a implementar para su adecuada gestión.

En el desarrollo de software es necesario establecer controles que permitan conservar la

seguridad y privacidad de la información; por lo tanto, es importante tener en cuenta los

mecanismos de acceso a la información, autenticación, detección de intrusos, cifrado de

datos, salvaguarda de confidencialidad, integridad, disponibilidad y protección de los datos

personales.

En el desarrollo de software se debe llevar a cabo un control de versiones con los

respectivos documentos de soporte, con el objeto de verificar el buen funcionamiento del

software y el respectivo control de su ciclo de vida.

En los procesos de desarrollo de software se deben establecer las condiciones para

transferencia de los derechos de propiedad intelectual del código fuente.

RESPONSABILIDADES

Las solicitudes de desarrollo de software deben ser realizadas por los responsables

de las áreas o procesos ante la oficina de Planeación.

Antes de iniciar el desarrollo de software, La Oficina de Planeación y las áreas

solicitantes del software deben acordar una metodología para hacer seguimiento al

desarrollo del software, igualmente deben definir los requisitos y productos a entregar,

responsabilidades, cronograma de desarrollo y requisitos de calidad y seguridad para

el software.

El área solicitante del software debe validar los criterios de aceptación

correspondientes a la funcionalidad y calidad para dar la aceptación formal del

desarrollo de software.

La oficina de Planeación de la Auditoria General de la República valida los criterios de

aceptación técnicos del software para dar la aceptación formal del desarrollo de

software incluyendo: interoperabilidad, buenas prácticas de programación y


TI.120.P01.A02 Versión 1.0 06/10/2017

seguridad. La aceptación de los criterios está determinada por los resultados de las

pruebas propuestas sobre el software.

La Oficina de Planeación, lleva a cabo revisiones periódicas a los desarrollos de

software, con el propósito de garantizar que se estén desplegando los controles

conforme a lo establecido dentro de la fase de planeación.

4.9 POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

OBJETIVO

Establecer las medidas generales para garantizar los niveles de seguridad y privacidad

adecuados para la protección de datos personales, con el fin de evitar posibles

adulteraciones, pérdidas, consultas, usos o accesos no autorizados.

POLITICA

La Auditoría General de la República implementa una política de Tratamiento de la

información, en un lenguaje claro y sencillo, que ha sido puesta en conocimiento de los

Titulares y que incluye:

Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del

Responsable del tratamiento de los datos personales.

El tratamiento al cual son sometidos los datos y la finalidad del mismo, en caso que

el aviso de privacidad no informe específicamente el tipo de tratamiento realizado

por la Auditoría General de la República.

Derechos que asisten a los Titulares de la información.

El área o persona responsable de la atención de las consultas, peticiones y

reclamos ante la cual el Titular de la información puede ejercer sus derechos.

Procedimiento por medio del cual los titulares de la información puedan ejercer los

derechos a conocer, actualizar, rectificar, suprimir información y revocar la

autorización.

La Auditoría General de la República informa a los titulares de los datos acerca de los

mecanismos establecidos para la autorización del tratamiento de los datos personales los

cuales incluyen: medios técnicos, orales o por medio de conductas inequívocas que


TI.120.P01.A02 Versión 1.0 06/10/2017

permitan determinar el otorgamiento de la autorización por parte del Titular. Los

Responsables del tratamiento de datos de la Auditoría General de la República conservan

el registro de la autorización de tratamiento de datos personales.

Los funcionarios, contratistas o terceros de la Auditoria General de la República sólo

recopilan la cantidad mínima de datos personales requerida para cumplir con los

propósitos de la Entidad o los requerimientos de los interesados. Dicho recaudo sólo se

realiza una vez que se obtiene la respectiva autorización por parte del Titular de los datos.

El Responsable de las bases de datos de la Auditoria General de la República adopta las

medidas necesarias para garantizar la seguridad de los datos de carácter personal y así

evitar su destrucción, alteración, pérdida o tratamiento no autorizado. Estas medidas

incluyen los mecanismos de seguridad físicos y lógicos más adecuados, de acuerdo con

el desarrollo tecnológico, de tal forma se garantiza la protección de la información

almacenada y el secreto profesional.

Las bases de datos que contienen datos personales, son administradas de tal modo que

se garantiza el respeto a derechos fundamentales como la intimidad, el buen nombre, y

en especial, el Habeas Data de los Titulares de los datos.

Ningún funcionario o contratista de la Auditoría General de la República debe retirar o

transmitir información que contenga datos personales sin la debida autorización expresa

del Responsable; y en caso de que se facilite información a terceros, se garantiza el buen

uso y se cuenta con el debido consentimiento para el tratamiento de los datos conforme a

su finalidad por parte el Titular de los datos. Los mecanismos de transferencia se realizan

a través de las políticas y procedimientos de seguridad y privacidad descritas las políticas

de seguridad de la información de la Auditoria General de la República.

Los responsables y encargados del tratamiento de los datos personales sólo pueden

recolectar, almacenar, usar o circular dichos datos durante el tiempo establecido para

cumplir las finalidades que se justificaron en el tratamiento. Por lo tanto, una vez se cumpla

con los objetivos y las finalidades del tratamiento, el Responsable y el Encargado deben

suprimir los datos personales que tengan en su posesión de una forma segura.

Los funcionarios, contratistas y terceros de la Auditoría General de la República no pueden

realizar el tratamiento de datos personales de niños, niñas y adolescentes, excepto

cuando se trate de datos públicos o se cuente con la autorización legal para su tratamiento.

En este caso, La Auditoría General de la República debe respetar los intereses y los


TI.120.P01.A02 Versión 1.0 06/10/2017

derechos fundamentales, conforme a una autorización previa del representante legal de

cualquiera de ellos.

En el caso de que no sea posible poner a disposición del Titular de la información las

políticas de tratamiento, los responsables del tratamiento de datos informan por medio de

un Aviso de Privacidad al Titular sobre la existencia de las políticas y la forma en la cual

puede acceder a las mismas, en el momento en el que se vaya a realizar la recolección

de datos personales.

RESPONSABILIDADES

Los funcionarios, contratistas y terceros que tengan acceso a datos personales

tratados y administrados por La Auditoría General de la República, deben cumplir

con la política de protección de datos personales, haciendo uso de los controles y

medidas establecidas para la protección de la información conforme a su nivel de

clasificación.

El Responsable de las bases de datos que contengan información personal, debe

asegurar que antes de realizar cualquier tratamiento de los datos se cuenta con las

autorizaciones de los Titulares y los mecanismos de control para la protección de

la información.

Los funcionarios, contratistas y terceros deben evitar el acceso a los datos

personales para los cuales no se encuentren autorizados y en caso de que

observen violación o fallas de los mecanismos de control de seguridad y privacidad,

estos hechos deberán ser reportados a la Oficina de Planeación para determinar

las acciones de tratamiento del evento de seguridad.

En caso de que se requiera realizar transferencia de datos personales, se deberá

efectuar de acuerdo con el Procedimiento de Recepción y/o Transferencia de

Información de la Auditoría General de la República y los requisitos que defina la

Superintendencia de Industria y Comerció a través de la delegatura de protección

de datos personales.

Se debe realizar la actualización periódica de las listas de acceso de las personas

y funcionarios autorizados para efectuar cualquier tipo de tratamiento frente a los

datos personales. Así mismo se identificarán, de acuerdo con los niveles de

clasificación, los mecanismos apropiados para garantizar la seguridad de los datos


TI.120.P01.A02 Versión 1.0 06/10/2017

de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no

autorizado.

Una vez culmine el lapso de tiempo del tratamiento de los datos personales, el

Responsable de los mismos, deberá velar porque sean eliminados de forma

segura, para evitar su recuperación

4.10 POLÍTICA DE USO DE SERVICIOS DE CORREO ELECTRÓNICO

OBJETIVO

Definir las pautas generales para asegurar una adecuada protección de la información de

la Auditoria General de la República cuando se usa el servicio de correo electrónico por

parte de los usuarios autorizados.

POLITICA

El servicio de correo electrónico institucional debe ser utilizado exclusivamente para las

tareas propias de la función desarrollada por la Auditoria General de la República. El uso

del servicio de correo electrónico para actividades diferentes a las necesarias para el

cumplimiento de las funciones encargadas al funcionario, contratista o tercero requieren

autorización del responsable del proceso en el que trabaja la persona.

El uso del servicio de correo electrónico de la Auditoría General de la República para fines

personales no está autorizado.

Para la creación de la cuenta de correo electrónico se sigue el procedimiento de gestión

de cuentas de usuarios.

El servicio de correo electrónico oficial de la Auditoria General de la República es el

aprobado por la Oficina de Planeación. Los funcionarios, contratistas y terceros reconocen

y aceptan que los incidentes de seguridad de la información generados por el uso de

servicios de correo electrónico no autorizados serán de su entera responsabilidad.

Los correos electrónicos deben contener una nota de confidencialidad ubicada al final del

texto, después de la firma del mismo, este mecanismo es una medida preventiva de

divulgación no autorizada de contenidos de correo electrónico. La nota de confidencialidad

debe seguir el estándar definido por la Entidad.


TI.120.P01.A02 Versión 1.0 06/10/2017

Los siguientes usos del servicio de correo electrónico se consideran usos no autorizados

y pueden constituir un incidente de seguridad de la información que se gestionan de

acuerdo con los procedimientos adoptados por entidad:

Envío de correos masivos sin autorización oficial.

Envío, reenvío o intercambio de mensajes no deseados o considerados SPAM

Envío o intercambio de mensajes con contenido que atente contra la integridad de

las personas o instituciones, cualquier contenido que represente riesgo para la

seguridad de la información de la Entidad o esté prohibido por la leyes, regulaciones

o normas a las cuales está sujeta la entidad.

Creación, almacenamiento o intercambio de mensajes que violen las leyes de

material protegido por la ley de derechos de autor, normas sobre seguridad de la

información y protección de datos personales.

Crear, enviar, alterar, borrar mensajes suplantando la identidad de un usuario.

Abrir, usar o revisar indebidamente la cuenta de correo electrónico de otro usuario,

sin contar con la autorización formal del titular de la cuenta.

RESPONSABILIDADES

Todos los usuarios del servicio de correo electrónico deben cumplir las políticas de

seguridad de la información de la Auditoria General de la República

La Oficina de Planeación es la responsable de la gestión del servicio de correo

institucional

Los responsables de áreas o procesos deben tramitar la solicitud de asignación de

cuenta de correo electrónico para sus funcionarios o contratistas ante la oficina de

planeación.

Al finalizar su relación laboral todo funcionario, contratista o tercero que preste sus

servicios a la Entidad, debe realizar la devolución de la cuenta de usuario de correo

electrónico al responsable del proceso para el cual laboraba.

La Auditoría General de la República puede supervisar el uso del servicio de correo

electrónico para verificar que se está usando para el cumplimiento de las funciones

misionales de la Entidad. En los procesos de verificación de uso apropiado del

servicio de correo electrónico se respetarán los derechos a la privacidad e intimidad

del titular de la cuenta de correo electrónico.


TI.120.P01.A02 Versión 1.0 06/10/2017

El acceso al servicio de correo electrónico debe ser autorizado por el responsable

del proceso al que pertenece el funcionario, contratista o tercero que presta sus

servicios a la Entidad.

En los casos en los que se requiera envío o recepción de información pública

clasificada con carácter reservado, el usuario del servicio de correo electrónico

debe solicitar el servicio de cifrado de datos a la Oficina de Planeación.

La clave de acceso al servicio de correo electrónico no debe ser divulgada a

ninguna persona, exhibirse en público y para su gestión se debe seguir los controles

de protección de contraseñas definidos por la Oficina de Planeación de la Entidad.

4.11 POLÍTICA DE USO DE SERVICIO DE ACCESO A INTERNET

OBJETIVO

Definir las pautas generales para asegurar una adecuada protección de la información de

la Auditoria General de la República cuando se hace uso del servicio de Internet por parte

de los usuarios autorizados.

POLITICA

El servicio de acceso a Internet debe utilizarse exclusivamente para las tareas propias de

la función desarrollada en la Auditoria General de la República, los usos diferentes a los

necesarios para el cumplimiento de las funciones de la Entidad son de entera

responsabilidad del usuario al que se le asigna la cuenta de acceso al servicio.

El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de

vinculación con la Auditoria General de la República, ya sea como funcionario, contratista

o tercero. El acceso al servicio es solicitado por funcionarios de nivel directivo de la

Auditoria General de la República

Los servicios a los que un determinado usuario pueda acceder desde Internet dependerán

del rol que desempeña el usuario en la Entidad y para los cuales este formal y

expresamente autorizado.


TI.120.P01.A02 Versión 1.0 06/10/2017

Los siguientes usos del servicio de acceso a Internet se consideran usos no autorizados

y pueden constituir un incidente de seguridad de la información que se gestionan de

acuerdo con los procedimientos adoptados por la Entidad

No está autorizado el envío o descarga de información de sometida a derechos de

autor cuando no se tienen esos derechos (música, videos, obras literarias,

pictóricas, imágenes)

No está autorizado el envío, descarga o visualización de información con

contenidos que no forman parte de las actividades propias asignadas al usuario

No está autorizado el uso del servicio de acceso a Internet para actividades

comerciales personales.

No está autorizado el acceso a sitios de música, juegos, vídeos, u otros sitios de

entretenimientos on-line;

No está autorizado el acceso a sitios Web considerados como ilegales por la

normatividad colombiana, incluidos aquellos incluidos en la ley de delitos

informáticos y aquellos prohibidos por la Ley de Infancia y Adolescencia.

Todas las conductas definidas como delito informático en la ley 1273 de 2009 están

prohibidas y no se debe hacer uso del servicio de acceso a Internet de la Entidad

para fines no lícitos,

Está prohibido el uso del servicio de acceso a Internet de la Entidad para realizar o

propiciarla propaganda de productos o propaganda política.

No está autorizado el acceso a material pornográfico o a sitios Web de contenido

para adultos relacionados con desnudismo, erotismo o pornografía, salvo en los

casos que estén expresa y formalmente autorizados con apego a funciones

explícitamente definidas para el funcionario, caso particular de investigaciones en

procesos disciplinarios o administrativos, en dichos casos se debe gestionar los

mecanismos de acceso seguro en canales protegidos configurados por los

responsables de administración de tecnología durante el tiempo requerido para el

cumplimiento de la asignación.

No está autorizado el acceso a sitios Web de carácter discriminatorio, racista, o

material potencialmente ofensivo, prejuicios, menosprecio o acoso explícito.

RESPONSABILIDADES


TI.120.P01.A02 Versión 1.0 06/10/2017

Los funcionarios responsables de los procesos de la Entidad son los autorizados

para solicitar la creación, modificación o cancelación de las cuentas de acceso al

servicio de Internet

Todos los funcionarios y contratistas que, en el desarrollo de sus tareas habituales

u ocasionales, utilicen el servicio de acceso a Internet de la Entidad son

responsables del cumplimiento y seguimiento de las políticas de seguridad de la

información de la Auditoria General de la República.

Los responsables de la administración de las redes de acceso a Internet de la

Enidad, deben de implementar los controles necesarios para evitar la circulación

de información o contenidos desde Internet hacia la red de la Entidad que puedan

constituirse en riesgos para la seguridad de la Información.

Los responsables de la administración de las redes de acceso a Internet de la

Entidad deben implementar los controles de seguridad de la información que

reduzcan los riesgos de pérdida de confidencialidad, integridad y disponibilidad de

la información de la Entidad.

Todo usuario es responsable de informar de contenidos o acceso a servicios que

no le estén autorizados o no correspondan a sus funciones dentro de la Auditoria

General de la República.

Todo usuario es responsable tanto del contenido de las comunicaciones como de

cualquier otra información que se envíe desde la red de la Auditoria General de la

República o descargue desde Internet empleando la cuenta de acceso a Internet

que se le ha suministrado.

La Auditoría General de la República puede supervisar el acceso del servicio de

Internet para certificar que se está usando para el cumplimiento de las funciones

institucionales, en los procesos verificación del uso apropiado del servicio de

acceso a Internet se respetan los derechos a la intimidad y privacidad del titular de

la cuenta de acceso a Internet.

Cuando un funcionario o contratista al que le haya sido autorizado el uso de una cuenta servicio de Internet o de acceso a la red local de la Entidad finalice su vinculación con la Entidad, deberá seguir los procedimientos definidos por la Entidad para entregar su cuenta de usuario y accesos a servicios informáticos provistos por la Entidad.


TI.120.P01.A02 Versión 1.0 06/10/2017

4.12 POLÍTICA DE USO ACEPTABLE DE ACTIVOS DE INFORMACIÓN

OBJETIVO

Definir las pautas para realizar un uso seguro y aceptable de los activos de información

de la Auditoria General de la República

POLITICA

Todo funcionario, contratista, tercero, proceso o sistema de información que realice

actividades para Auditoria General de la República debe tener acceso únicamente a la

información necesaria para el desempeño de las actividades que le han sido autorizadas,

de conformidad con el principio de “necesidad de conocer para para realizar la actividad”.

Todo acceso a la información debe cumplir con los requisitos legales, normativos,

reglamentarios, procedimentales o de cualquier otra índole que haya definido el

responsable de la información.

Todo acceso a la información debe ser autorizado formalmente por el área responsable

de la información. Para la autorización de acceso a la información se debe contemplar un

análisis previo de la justificación de la necesidad de uso de la misma y las actividades a

realizar con el acceso a la información.

Todo acceso a la información debe considerar el nivel de clasificación legal según el

procedimiento de clasificación de la información de la Entidad

Todas las actividades de administración, operación y uso de la información y de sus

activos asociados deben estar orientadas a garantizar la prestación de los servicios

necesarios para el cumplimiento de la misión de la Entidad, los usos diferentes deben ser

formalmente autorizados, tal y como lo establece la ley 734 de 2002, por la cual se expide

el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4: Utilizar los bienes y

recursos asignados para el desempeño de su empleo, cargo o función, las facultades que

le sean atribuidas, o la información reservada a que tenga acceso por razón de su función,

en forma exclusiva para los fines a que están afectos.”

Todos los funcionarios y contratistas de la Auditoria General de la República deben

reportar sin demoras injustificadas a los responsables de sus áreas, a los responsables

de los procesos o a la oficina de Planeación cualquier evento que pueda afectar la

integridad, disponibilidad o confidencialidad de cualquier activo de información de la

Entidad.

La oficina de Planeación debe generar y conservar un registro detallado de todos los

eventos de seguridad que sucedan sobre los diferentes activos de información su cargo.


TI.120.P01.A02 Versión 1.0 06/10/2017

Todos los funcionarios y contratistas de la Entidad deben aplicar el procedimiento

institucional de gestión de riesgos para identificar y tratar los riesgos que puedan afectar

a sus activos de información. Cada responsable de proceso o área debe coordinar la

aplicación del procedimiento institucional de gestión de riesgos sobre los activos a su

cargo.

Las modificaciones a los activos de la Entidad, deben cumplir con los procedimientos para

la gestión del cambio definidos por el sistema de gestión de calidad de la Entidad

Todos los funcionarios de la Auditoria General de la República deben aplicar los controles

de seguridad de la Información definidos el sistema de gestión de Calidad para reducir los

riesgos que afectan a la seguridad de la información.

Todos los funcionarios de la Entidad se comprometen a cumplir las leyes, normas,

políticas, directrices y procedimientos a los que está sometida la Entidad para la protección

de la información a su cargo.

Las siguientes actividades sobre los activos de información de la Auditoria General de la

República se consideran usos no autorizados y pueden constituir un incidente de

seguridad de la información que se gestionan de acuerdo con los procedimientos

adoptados por la Auditoria General de la República:

Modificación de la información sin contar con la autorización formal para dichas

modificaciones

Divulgación no autorizada de información

Impedir el acceso a la información sin justificación real

Modificación o Eliminación de los controles de seguridad que protejan la

información

Cualquier acción sobre la información considerada como ilegal o no autorizada por

las leyes, regulaciones, normas o procedimientos a los que está sometida la

Entidad

Utilizar la información de la Entidad para fines personales o diferentes a los

requeridos para el cumplimiento de las funciones asignadas o el cumplimiento de

las funciones de la Entidad.

RESPONSABILIDADES

Los administradores de equipos informáticos Entidad deben:


TI.120.P01.A02 Versión 1.0 06/10/2017

Mantener y aplicar los procedimientos de operación de los equipos o servicios

informáticos definidos por el sistema de gestión de seguridad de la Información.

Aplicar y mantener los acuerdos de confidencialidad sobre la información a su cargo

Mantener actualizado el registro de riesgos que afecte a los activos bajo su

responsabilidad.

Reportar lo cambios que sucedan sobre los activos a su cargo ante los

responsables de áreas o procesos

Aplicar los procedimientos que defina el sistema de gestión de calidad de la Entidad

para el acceso de terceros a los componentes a su cargo en situaciones como

mantenimiento o garantía.

Mantener de registros del desempeño de los equipos o servicios a su cargo.

Mantener de registros que muestren las actividades realizadas por los

administradores o los operadores de los equipos o servicios a su cargo.

Mantener de los registros de las fallas sobre los equipos o servicios a su cargo

Mantener registros de los usuarios a los cuales se les ha otorgado acceso a cada

activo, servicio o componente.

Realizar una revisión periódica de los privilegios de acceso otorgados a los usuarios

de los servicios o componentes a su cargo.

Coordinar la aplicación de los procedimientos definidos en el sistema de gestión de

Calidad para la asignación de cuentas de usuario y contraseñas de acceso a

servicios y componentes

En coordinación con los responsables de los procesos y áreas de la Auditoria

General de la República aplicar las medidas de mitigación que se definan en el

sistema de gestión de Calidad para contrarrestar las vulnerabilidades que se

identifiquen sobre los componentes o servicios de tecnología.

Mantener y aplicar de los procedimientos de respaldo de la información.

Mantener, Mejorar y probar periódicamente los procedimientos de contingencia,

recuperación ante desastres y continuidad en la prestación de servicios de

tecnología.


TI.120.P01.A02 Versión 1.0 06/10/2017

Implementar, mantener y mejorar de los controles de protección física lógica o

procedimental que defina el sistema de gestión de Calidad para la protección de

los activos de información, componentes o servicios a su cargo.

Implementar, preservar y garantizar la seguridad de la información referente a la

configuración de los diversos componentes o servicios de información y tecnología

de la Entidad que estén a su cargo

Las actividades de administración y operación de equipos y servicios de tecnología

de la Entidad deben estar orientadas a garantizar los servicios necesarios para el

cumplimiento de la misión de la entidad.

5 DEFINICIONES

Activo: en relación con la seguridad de la información, se refiere a cualquier

información o elemento relacionado con el tratamiento de la misma (sistemas,

soportes, edificios, personas, etc.) que tenga valor para la organización.

Amenaza: causa potencial de un incidente no deseado, que pueda provocar

daños a un sistema o a la organización.

Amenaza informática: la aparición de una situación potencial o actual donde un

agente tiene la capacidad de generar una agresión cibernética contra la

población, el territorio y la organización política del Estado (Auditoría General de

la República de Defensa de Colombia).

Análisis de riesgos: proceso para comprender la naturaleza del riesgo y

determinar su nivel de riesgo.

Autenticación: provisión de una garantía de que una característica afirmada por

una entidad es correcta.

Autenticidad: Propiedad de que una entidad es lo que afirma ser. (ISO

27000.es, 2012).

Ciberseguridad: capacidad del Estado para minimizar el nivel de riesgo al que

están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza

cibernética.


TI.120.P01.A02 Versión 1.0 06/10/2017

Ciberespacio: ámbito o espacio hipotético o imaginario de quienes se

encuentran inmersos en la civilización electrónica, la informática y la cibernética.

(CONPES 3701).

Confidencialidad: propiedad de la información de no ponerse a disposición o

ser revelada a individuos, entidades o procesos no autorizados.

Clave (Llave) Criptográfica Una clave, palabra clave o clave criptográfica es

una pieza de información que controla la operación de un algoritmo de

criptografía. Habitualmente, esta información es una secuencia de números o

letras mediante la cual, en criptografía, se especifica la transformación del texto

plano en texto cifrado, o viceversa.

Control: las políticas, los procedimientos, las prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la

información por debajo del nivel de riesgo asumido. Control también es utilizado

como sinónimo de salvaguarda o contramedida, es una medida que modifica el

riesgo.

Custodio de activo de información: identifica a un individuo, un cargo, proceso

o grupo de trabajo designado por la entidad, que tiene la responsabilidad de

administrar y hacer efectivo los controles que el propietario del activo haya

definido, con base en los controles de seguridad disponibles en la entidad.

Datos abiertos: son datos primarios o sin procesar. Los cuales son puestos a

disposición de cualquier ciudadano. Con el fin de que terceros puedan

reutilizarlos y crear servicios derivados de los mismos.

Datos biométricos: parámetros físicos únicos de cada persona que

comprueban su identidad y se evidencian cuando la persona o una parte de ella

interacciona con el sistema (ej. huella digital o voz).

Dato personal: Es cualquier pieza de información vinculada a una o varias

personas determinadas o determinables o que puedan asociarse con una

persona natural o jurídica. Los datos personales pueden ser públicos,

semiprivados o privados. Ley 1266/2008

Datos personales sensibles: se entiende por datos sensibles aquellos que

afectan la intimidad del Titular o cuyo uso indebido puede generar su

discriminación, tales como aquellos que revelen el origen racial o étnico, la

orientación política, las convicciones religiosas o filosóficas, la pertenencia a


TI.120.P01.A02 Versión 1.0 06/10/2017

sindicatos, organizaciones sociales, de derechos humanos o que promueva

intereses de cualquier partido político o que garanticen los derechos y garantías

de partidos políticos de oposición así como los datos relativos a la salud, a la

vida sexual y los datos biométricos.

Dato privado: es el dato que por su naturaleza íntima o reservada sólo es

relevante para el titular.

Dato público: es el dato calificado como tal según los mandatos de la ley o de

la Constitución Política y todos aquellos que no sean semiprivados o privados,

de conformidad con presente ley. Son públicos, entre otros, los datos contenidos

en documentos públicos, sentencias judiciales debidamente ejecutoriadas que

no estén sometidos a reserva y los relativos al estado civil de las personas.

Dato semiprivado: es semiprivado el dato que no tiene naturaleza íntima,

reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo

a su titular sino a cierto sector o grupo de personas o a la sociedad en general,

como el dato financiero y crediticio de actividad comercial o de servicios.

Disco duro: disco de metal cubierto con una superficie de grabación ferro

magnético. Haciendo una analogía con los discos musicales, los lados planos de

la placa son la superficie de grabación, el brazo acústico es el brazo de acceso

y la púa (aguja) es la cabeza lectora/grabadora. Los discos magnéticos pueden

ser grabados, borrados y re-grabados como una cinta de audio.

Disponibilidad: propiedad de la información de estar accesible y utilizable

cuando lo requiera una entidad autorizada.

Documento en construcción. Son documentos que no cumplen las

condiciones de ser documentos públicos si es información preliminar y no

definitiva, propia del proceso deliberatorio de un sujeto obligado en su calidad de

tal. De acuerdo con la Sentencia C-274-13 de 5 de marzo de 2014, un sujeto

obligado puede mantener la reserva sobre información preliminar, dependiendo

de que esta reserva obedezca a (i) un fin constitucionalmente legítimo (ii) la

medida resulte ser razonable, proporcionada y necesaria.

Evento de seguridad de la información: ocurrencia identificada de estado en

un sistema de información, servicio o red que indica una posible brecha de

seguridad, falla de un control o una condición no identificada que puede ser

relevante para la seguridad de la información.


TI.120.P01.A02 Versión 1.0 06/10/2017

Gestión de claves: son controles que realizan mediante la gestión de claves

criptográficas.

Gestión de incidentes de seguridad de la información: procesos para

detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de

seguridad de la información.

Gestión de riesgos: actividades coordinadas para dirigir controlar una

organización con respecto al riesgo. Se compone de la evaluación y el

tratamiento de riesgos.

Habeas data: derecho a acceder a la información personal que se encuentre en

archivos o bases de datos; implica la posibilidad de ser informado acerca de los

datos registrados sobre sí mismo y la facultad de corregirlos.

Información. Se refiere a un conjunto organizado de datos contenido en

cualquier documento que los sujetos obligados generen, obtengan, adquieran,

transformen o controlen Ley 1712/2014

Información pública, Es toda información que un sujeto obligado genere,

obtenga, adquiera, o controle en su calidad de tal, Ley 1712/2014.

Información pública clasificada. Es aquella información que estando en poder

o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio,

particular y privado o semiprivado de una persona natural o jurídica por lo que

su acceso podrá ser negado o exceptuado, siempre que se trate de las

circunstancias legítimas y necesarias y los derechos particulares o privados

consagrados en el artículo 18 de la ley 1712/2014;

Información pública reservada. Es aquella información que estando en poder

o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso

a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad

de los requisitos consagrados en el artículo 19 de la ley 1712;

Impacto: el coste para la empresa de un incidente -de la escala que sea-, que

puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de

reputación, implicaciones legales, etc.

Incidente de seguridad de la información: evento único o serie de eventos de

seguridad de la información inesperados o no deseados que poseen una


TI.120.P01.A02 Versión 1.0 06/10/2017

probabilidad significativa de comprometer las operaciones del negocio y

amenazar la seguridad de la información.

Integridad: la propiedad de salvaguardar la exactitud y complejidad de la

información.

Inventario de activos: lista de todos aquellos recursos (físicos, de información,

software, documentos, servicios, personas, intangibles, etc.) dentro del alcance

del SGSI, que tengan valor para la organización y necesiten por tanto ser

protegidos de potenciales riesgos. (ISO 27000.es, 2012)

Llave criptográfica. Ver clave criptográfica.

No repudio: servicio de seguridad que previene que un emisor niegue haber

remitido un mensaje (cuando realmente lo ha emitido) y que un receptor niegue

su recepción (cuando realmente lo ha recibido). (ISO-7498-2).

Parte interesada (Stakeholder): persona u organización que puede afectar a,

ser afectada por o percibirse a sí misma como afectada por una decisión o

actividad.

Plan de continuidad del negocio: plan orientado a permitir la continuidad de

las principales funciones misionales o del negocio en el caso de un evento

imprevisto que las ponga en peligro.

Plan de tratamiento de riesgos: documento que define las acciones para

gestionar los riesgos de seguridad de la información inaceptables e implantar los

controles necesarios para proteger la misma.

Proceso: conjunto de actividades interrelacionadas o interactuantes que

transforman unas entradas en salidas. (ISO 27000.es, 2012)

Propietario de activo de información: identifica a un individuo, un cargo,

proceso o grupo de trabajo designado por la entidad, que tiene la responsabilidad

de definir los controles, el desarrollo, el mantenimiento, el uso y la seguridad de

los activos de información asignados.

Riesgo: posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele

considerarse como una combinación de la probabilidad de un evento y sus

consideraciones. (ISO Guía 73:2002).


TI.120.P01.A02 Versión 1.0 06/10/2017

Responsable del tratamiento: persona natural o jurídica. Pública o privada.

Que por sí misma o en asocio con otros. Decida sobre la base de datos y/o el

Tratamiento de los datos.

Segregación de tareas: reparto de tareas sensibles entre distintos empleados

para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado

o por negligencia.

Seguridad de la información: preservación de la confidencialidad, integridad y

disponibilidad de la información.

Titular de la información: es la persona natural o jurídica a quien se refiere la

información que reposa en un banco de datos y sujeto del derecho de hábeas

data y demás derechos y garantías a que se refiere la presente ley.

Token: Mecanismo equivalente a la firma manuscrita que garantiza la identidad

y responsabilidad del autor de un documento o transacción electrónica, así como

permite comprobar la integridad del mismo, es decir que la información no ha

sido alterada.

Trazabilidad: cualidad que permite que todas las acciones realizadas sobre la

información o un sistema de tratamiento de la información sean asociada de

modo inequívoco a un individuo o entidad.

Vulnerabilidad: debilidad de un activo o control que pueda ser explotado por

una o más amenazas. (ISO 27000.es, 2012).

auditorÍa general de la republica - auditoria… · políticas de seguridad de la información...

Documents