LINEAMIENTOS PARA ACUERDOS DE TRANFERENCIA DE INFORMACIÓN

BOGOTÁ D.C. ENERO 2020

LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE

INFORMACIÓN

Proceso asociado

Código

Versión

Tecnología de Información y Comunicaciones

L-TI-28

02

2

CONTENIDO

1. OBJETIVO ------------------------------------------------------------------------------------------------------ 3 2. ALCANCE ------------------------------------------------------------------------------------------------------ 3 3. TÉRMINOS Y DEFINICIONES ------------------------------------------------------------------------------- 3 4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES --------------------------------------------- 5 4.1 Transferencia de información en medio físico --------------------------------------------------------- 5

4.2 Transferencia de información digital -------------------------------------------------------------------- 5

4.3 Características mínimas para la transferencia de información. ------------------------------------ 5

5. MARCO LEGAL ----------------------------------------------------------------------------------------------- 6 6. REQUISITOS TÉCNICOS ------------------------------------------------------------------------------------- 6 7. DOCUMENTOS ASOCIADOS ------------------------------------------------------------------------------- 7 8. RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------------------ 7

LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE

INFORMACIÓN

Proceso asociado

Código

Versión

Tecnología de Información y Comunicaciones

L-TI-28

02

3

1. OBJETIVO Establecer los lineamientos para la protección de la información a transferir al interior y exterior del DAPRE.

2. ALCANCE

Estos lineamientos deben ser aplicados por todos los funcionarios, contratistas, pasantes, personal en comisión, del Departamento Administrativo de la Presidencia de la República.

3. TÉRMINOS Y DEFINICIONES

Activo: Según [ISO/lEC 13335-1:2004] Cualquier cosa que tiene valor para la organización. También se entiende por cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Es todo activo que contiene información, la cual posee un valor y es necesaria para realizar los procesos misionales y operativos del DAPRE. Se pueden clasificar de la siguiente manera:

- Datos: Son todos aquellos elementos básicos de la información (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word “listado de personal.docx”

- Aplicaciones: Es todo el software que se utiliza para la gestión de la información. Ejemplo:

SIGEPRE.

- Personal: Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y en general, todos aquellos que tengan acceso de una manera u otra a los activos de información del DAPRE. Ejemplo: Pedro Pérez.

- Servicios: Son tanto los servicios internos, aquellos que una parte de la organización suministra

a otra, como los externos, aquellos que la organización suministra a clientes y usuarios. Ejemplo: Publicación de hojas de vida, solicitud de vacaciones.

- Tecnología: Son todos los equipos utilizados para gestionar la información y las comunicaciones

Ejemplo: equipo de cómputo, teléfonos, impresoras.

- Instalaciones: Son todos los lugares en los que se alojan los sistemas de información. Ejemplo: Oficina Pagaduría.

- Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de información

y que no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire acondicionado, destructora de papel.

LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE

INFORMACIÓN

Proceso asociado

Código

Versión

Tecnología de Información y Comunicaciones

L-TI-28

02

4

Alcance: Ámbito de la organización que queda sometido al Sistema de Gestión de Seguridad de la Información - SGSI. Debe incluir la identificación clara de las dependencias, interfaces y límites con el entorno, sobre todo si sólo incluye una parte de la organización. Autenticación: Proceso que tiene por objetivo asegurar la identificación de una persona o sistema. Autenticidad: Los activos de información solo pueden estar disponibles verificando la identidad de un sujeto o recurso, es la propiedad que garantiza que la identidad de un sujeto o recurso es la que declara y se aplica a entidades tales como usuarios, procesos, sistemas de información. Características de la Información: las principales características desde enfoque de seguridad de información son: confidencialidad, disponibilidad e integridad. Clausulas: Condiciones de un ejercicio contractual entre dos entidades de naturaleza pública o privada. Confiabilidad: Se puede definir como la capacidad de un producto de realizar su función de la manera prevista, De otra forma, la confiabilidad se puede definir también como la probabilidad en que un producto realizará su función prevista sin incidentes por un período de tiempo especificado y bajo condiciones indicadas. Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados, Según [ISO/lEC 13335-1:2004]:" característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados. Control: son todas aquellas políticas, procedimientos, prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido, (Nota: Control es también utilizado como sinónimo de salvaguarda). Información: La información constituye un importante activo, esencial para las actividades de una organización y, en consecuencia, necesita una protección adecuada. La información puede existir de muchas maneras, es decir puede estar impresa o escrita en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en videos, o exponer oralmente en conversaciones. Política de seguridad: Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. Según [ISO/lEC 27001:2013): intención y dirección general expresada formalmente por la Dirección. Transferencia de información: Es la transmisión de información en medio físico y/o digital entre organizaciones, con el fin de automatizar servicios. Vulnerabilidad: Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/lEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.

LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE

INFORMACIÓN

Proceso asociado

Código

Versión

Tecnología de Información y Comunicaciones

L-TI-28

02

5

4. ÁMBITO DE APLICACIÓN Y DISPOSICIONES GENERALES La Entidad realizará transferencia de información con organizaciones gubernamentales y privadas, basados en la necesidad de la Entidad que permita automatizar servicios, fortaleciendo la gestión del DAPRE. La Entidad generará acuerdos de transferencia de información, previa solicitud a la Dirección de Operaciones. La transferencia de información deberá determinarse a través de un convenio interadministrativo o contrato, el acuerdo de transferencia debe realizarse siguiendo lo establecido en el Manual de Contratación del DAPRE M-BS-01. La transferencia de información al interior de la Entidad se realizará a través de los medios oficiales de comunicación.

4.1 Transferencia de información en medio físico La transferencia en medios físicos se realizará de acuerdo a lo establecido por la Entidad en el Manual de Gestión Documental M-GD-02.

4.2 Transferencia de información digital La elaboración de las condiciones y estudios previos para el convenio interadministrativo o contrato para el acuerdo de transferencia de información digital con entidades u organizaciones externas deberá realizarse de acuerdo al procedimiento Estudios previos para contratación directa F-BS-32.

4.3 Características mínimas para la transferencia de información. El acuerdo de transferencia de información con organizaciones deberá contener clausulas donde se establezcan las herramientas a utilizar para asegurar la transferencia de información. Definir los mecanismos a utilizar para evitar la interceptación, copiado, modificación y/o destrucción de información. Especificar el método de enrutado y autenticación detallada para la transferencia de información. Establecer claramente en el acuerdo de transferencia de información, para conocer quienes asumirán los costos de servicios y licenciamiento necesarios. Incluir acuerdos de confidencialidad de la información, compromiso y reserva, el cumplimiento de la normatividad vigente nacional e internacional para el tratamiento de la información. El Departamento Administrativo de la Presidencia se reservará el derecho de suspender de manera unilateral los servicios que hacen parte del objeto del acuerdo, así como la terminación unilateral del mismo.

LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE

INFORMACIÓN

Proceso asociado

Código

Versión

Tecnología de Información y Comunicaciones

L-TI-28

02

6

El acatamiento total de la política de seguridad de la información establecida por el Departamento Administrativo de la Presidencia, de obligatorio cumplimiento, el cual deberá notificado y acatado por los funcionarios que tengan acceso a las actividades del acuerdo de transferencia de información. La transferencia de información digital será liderada por el Área de Tecnologías y Sistemas de Información, con la coordinación del Área u oficina que manifieste la necesidad. El Área de Tecnologías y Sistemas de Información, implementará las herramientas seguras para la transferencia de información al interior de la Entidad. El Área de Tecnologías y Sistemas de Información debe implementar las herramientas necesarias para asegurar la transferencia de información al interior y exterior del DAPRE, contra interceptación, copiado, modificación, enrutado y destrucción. El Área de Tecnologías y Sistemas de Información, deberá controlar las acciones para reenvío automático de correo electrónico a direcciones de correo externo. Los funcionarios del DAPRE que traten temas o información clasificada como información pública reservada o información pública clasificada (privada o semiprivada), lo deberán hacer en lugares seguros y/o por medios de comunicación seguros establecidos por la Entidad. El Área de Tecnologías y Sistemas de Información, realiza el control del uso de sistemas de transferencia de archivos vía FTP a terceros.

5. MARCO LEGAL

Ley 1581 de 2012. Decreto 1377 de 2013. Ley 1273 de 2009. Decreto 415 de 2016. Decreto 2573 de 2015. Ley 1712 de 2014. Resolución 3564 de 2015. Ley 1266 de 2008. Decreto 2364 de 2012. Ley 1266 de 2008.

6. REQUISITOS TÉCNICOS

ISO/lEC 13335-1:2004. ISO/lEC 27001:2013.

LINEAMIENTOS PARA ACUERDOS DE TRANSFERENCIA DE

INFORMACIÓN

Proceso asociado

Código

Versión

Tecnología de Información y Comunicaciones

L-TI-28

02

7

7. DOCUMENTOS ASOCIADOS M-BS-01 Manual de contratación. F-BS-32 Estudios previos para contratación directa. M-GD-02 Manual de Gestión documental. M-TI-01 Manual de Seguridad de la Información. P-GD-05 Procedimiento para las transferencias de los archivos de gestión. P-GD-06 Procedimiento transferencias externas AGN (Secundarias). D-GD-01 Programa de Gestión Documental-PGD.

8. RESPONSABLE DEL DOCUMENTO Jefe Área de Tecnologías y Sistemas de Información.