Plan de Seguridad y Privacidad

de la Información

Contenido 1. PRESENTACIÓN ........................................................................................................................ 4

2. AVANCES DEL SISTEMA DE GESTIÓN DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN ................................................................................................................................. 5

2.1. FASE 1° - DIAGNÓSTICO ...................................................................................................... 5

2.1.1. Recopilación de información - Herramienta diagnóstica ..................................................... 6

2.1.2. Evaluación de Efectividad de controles y brecha ................................................................ 7

2.1.3. Avance en el ciclo de funcionamiento del modelo de operación (PHVA)........................... 8

2.1.4. Nivel de madurez obtenido ................................................................................................. 9

2.1.5. Calificación en ciberseguridad ............................................................................................. 9

2.2. INVENTARIO DE ACTIVOS DE INFORMACIÓN .............................................................. 10

2.3. PROCEDIMIENTOS IDENTIFICADOS DE SEGURIDAD Y PRIVACIDAD DE LA

INFORMACIÓN ............................................................................................................................... 11

2.3.1. SEGURIDAD DEL RECURSO HUMANO ........................................................................ 11

2.3.1.1. Procedimiento de capacitación y sensibilización del personal ....................................... 12

2.3.1.2. Procedimiento de ingreso y desvinculación del personal .............................................. 12

2.3.2. GESTIÓN DE ACTIVOS ................................................................................................... 12

2.3.2.1. Procedimiento de identificación y clasificación de activos ............................................ 12

2.3.3. CONTROL DE ACCESO ................................................................................................. 12

2.3.3.1. Procedimiento para ingreso seguro a los sistemas de información ............................... 12

2.3.3.2. Procedimiento de gestión de usuarios y contraseñas .................................................... 13

2.3.4. CRIPTOGRAFÍA ................................................................................................................ 13

2.3.4.1. Procedimiento de controles criptográficos ................................................................... 13

2.3.4.2. Procedimiento de gestión de llaves criptográficas ........................................................ 13

2.3.5. SEGURIDAD FÍSICA Y DEL ENTORNO ......................................................................... 13

2.3.5.1. Procedimiento de control de acceso físico ................................................................... 13

2.3.5.2. Procedimiento de protección de activos ....................................................................... 14

2.3.5.3. Procedimiento de retiro de activos ............................................................................... 14

2.3.5.4. Procedimiento de mantenimiento de equipos .............................................................. 14

2.3.6. SEGURIDAD DE LAS OPERACIONES ............................................................................. 14

2.3.6.1. Procedimiento de gestión de cambios .......................................................................... 14

2.3.6.2. Procedimiento de gestión de capacidad ........................................................................ 14

2.3.6.3. Procedimiento de separación de ambientes ................................................................. 15

2.3.6.4. Procedimiento de protección contra códigos maliciosos .............................................. 15

2.3.7. SEGURIDAD DE LAS COMUNICACIONES ................................................................... 15

2.3.7.1. Procedimiento de aseguramiento de servicios en la red ............................................... 15

2.3.7.2. Procedimiento de transferencia de información ........................................................... 15

2.3.8. RELACIONES CON LOS PROVEEDORES ...................................................................... 16

2.3.8.1. Procedimiento para el tratamiento de la seguridad en los acuerdos con los

proveedores ...................................................................................................................................... 16

2.3.9. ADQUISICIÓN DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE

INFORMACIÓN: .............................................................................................................................. 16

2.3.9.1. Procedimiento adquisición, desarrollo y mantenimiento de software .......................... 16

2.3.9.2. Procedimiento de control software .............................................................................. 16

2.3.10. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN .................... 16

2.3.10.1. Procedimiento de gestión de incidentes de seguridad de la información ..................... 17

2.3.11. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE

CONTINUIDAD DE NEGOCIO ..................................................................................................... 17

2.3.11.1. Procedimiento de gestión de la continuidad de negocio ............................................... 17

2.4. PROPUESTA DE POLITICA GENERAL DE SEGURIDAD Y PRIVACIDAD ........................ 18

2.5. FASE 2° - PLANIFICACIÓN.................................................................................................. 21

1. PRESENTACIÓN La Universidad Industrial de Santander como entidad del sector publico acoge las directrices del decreto 612 de 2018 dados para la integración de sus planes institucionales y estratégicos, y teniendo presente que en el quehacer de sus pilares: Investigación, Extensión y Formación, incorpora, utiliza y fomenta la utilización de recursos tecnológicos e informáticos en sus procesos académicos y administrativos en pro de fortalecer la naturaleza pública de sus servicios y de escalar hacia una excelencia académica para el bienestar de la comunidad universitaria. La incorporación de determinadas Tecnologías de Información y Comunicación en los procesos educativos y administrativos requieren la aplicación de controles selectivos con el fin de garantizar la integralidad de la información, la confidencialidad de los datos y la disponibilidad de los servicios que se ofrecen por medio de los recursos tecnológico o informáticos incorporados por las entidades; en concordancia con lo expuesto, la Universidad Industrial de Santander requiere implementar un Sistema de Gestión de Seguridad y Privacidad de la Información alineado con su misión, visión, procesos, procedimientos y estructura organizacional con el fin de garantizar la Integridad, disponibilidad, confidencialidad y no repudio, de la información tanto física como digital. Tomando como referente el decreto 1008 de 2018 sobre la política de gobierno digital1- en particular al habilitador “Seguridad de la Información” – y el manual de gobierno digital2, la Universidad Industrial de Santander seleccionó la guía del Modelo de Seguridad y Privacidad de la Información (MSPI) aprobada por el MinTIC3, para iniciar el proceso de implementación del Plan de Seguridad y Privacidad de la Información, el cual sugieren cinco etapas para llevar acabo el ciclo de funcionamiento del modelo de operación: Etapa diagnostica, etapa planificación, implementación, evaluación de desempeño y mejora continua.

Figure 1: Fuente MinTIC

1 Decreto 1008 de 2018 https://www.mintic.gov.co/portal/604/articles-74903_documento.pdf 2 Versión 7 del manual de gobierno en digital https://estrategia.gobiernoenlinea.gov.co/623/articles-81473_recurso_1.pdf 3 Versión 3.0.2 MSPI - MinTIC https://www.mintic.gov.co/gestionti/615/articles-

5482_Modelo_de_Seguridad_Privacidad.pdf

2. AVANCES DEL SISTEMA DE GESTIÓN DE SEGURIDAD Y

PRIVACIDAD DE LA INFORMACIÓN

2.1. FASE 1° - DIAGNÓSTICO A inicios del segundo semestre de 2019 la Universidad Industrial de Santander inició con la primera etapa del proceso de incorporación del sistema de gestión de seguridad y privacidad4 de la información permitiendo determinar la brecha de implementación del modelo de seguridad en correspondencia con las actividades que se llevan a cabo como buenas prácticas para salvaguardar la información al interior de la Universidad. Durante esta primera fase se llevaron a cabo actividades como:

- Exploración y Selección de la documentación pertinente. - Reuniones de orientación con personal de MinTIC - Identificación de procesos o unidades académico-administrativas a involucrar en el proceso. - Comunicaciones vía email con el personal a involucrar o partes interesadas. - Reuniones con jefes de determinadas unidades académicas administrativas, con líderes de procesos o

en su defecto con personal autorizado para la recolección de la información, entre ellos se pueden mencionar:

o Control Interno de Evaluación y Gestión o Control Interno Disciplinario o Planeación o Oficina Asesora Jurídica o Gestión del Talento Humano o Planta física o División de Servicios de Información o División de Mantenimiento Tecnológico. o Contratación o Inventarios o Gestión documental

De manera más explícita, el desarrollo de la fase diagnóstica permitió a la Universidad obtener resultados, como:

- El estado actual de la gestión de la seguridad y privacidad de la información y la forma de gestionarlo. - Identificar el nivel de madurez de los controles de seguridad y privacidad de la información - Identificar el avance de la implementación del ciclo de operación del modelo de seguridad y privacidad

de la universidad - Identificar el uso de buenas prácticas en ciberseguridad - Identificar el cumplimiento de la norma vigente en relación a la protección de datos personal. - Construir el inventario de activos de información - Propuesta sobre la política general de seguridad y Privacidad de la Información. - Identificación de los Activos de Información

Los resultados anteriores quedaron consolidados en la herramienta diagnóstica diligenciada en conjunto con algunos líderes de área o de procesos logrando simultáneamente socializar y sensibilizar sobre los controles que se ejecutan o no actualmente en sus áreas de influencia para salvaguardar y proteger la privacidad y seguridad de la información tanto física como digital.

4 https://www.mintic.gov.co/gestion-ti/Seguridad-TI/Modelo-de-Seguridad/

2.1.1. Recopilación de información - Herramienta

diagnóstica

Figure 2. Fuente MinTIC

La herramienta utilizada para recopilar la información corresponde al instrumento suministrado por el MinTIC (documento Excel5) el cual contiene varias hojas clasificadas con diferentes controles de seguridad sugeridos por entidades que regulan normas en relación a la seguridad y privacidad de la información; entre las normas y buenas practica se pueden mencionar

- Norma técnica NTC ISO/IEC 27001:2003 – ANEXO A - Norma técnica NTC ISO/IEC 27002 - Guías Marco de Referencia de Arquitectura Empresarial - Prácticas de seguridad definida por el NIST - Guías de Modelo de seguridad y Privacidad de Información - documento Conpes 3701 y el Conpes 3854

Llevando a cabo la metodología descrita en el instructivo6 para el diligenciamiento de la herramienta permitió comprender el diseño, estructura e interpretación de los resultados arrojados como resultados de la información recopilada al interior de la universidad.

Figure 3. Fuente MinTIC

De forma paralela a la construcción del documento se hizo necesario conocer y revisar aspectos de documentos tales como:

Organigrama de la Universidad Mapa de procesos Manual de gestión integrado Matriz de interacción de información institucional Manual para la gestión del riesgo Informe sobre la gestión de los riegos

5 https://www.mintic.gov.co/gestionti/615/articles-5482_Instrumento_Evaluacion_MSPI.xlsx 6 https://www.mintic.gov.co/gestionti/615/articles-5482_Instructivo_instrumento_Evaluacion_MSPI.pdf

2.1.2. Evaluación de Efectividad de controles y brecha

Como resultados en la efectividad de los controles aplicados en las diferentes categorías (14) definidas en el

Anexo A de la ISO 27001_2013, se puede establecer que la Universidad obtiene una valoración general del

38% quedando clasificada su brecha de implementación en el nivel REPETIBLE.

En forma más detallada se puede apreciar qué:

- Los dominios de mayor valoración, con un nivel GESTIONADO de efectividad, son:

o Seguridad Física y del Entorno con un 75%

o Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio en un

67% y

o Seguridad en las comunicaciones en un 63%

- Entre los dominios de menor valoración, obteniendo el nivel INICIAL de efectividad, se pueden

mencionar:

o Políticas de Seguridad de la Información

o Organización de la seguridad de la Información

o Seguridad en los recursos humanos

o Criptografía

Figure 4. Brecha

2.1.3. Avance en el ciclo de funcionamiento del modelo de

operación (PHVA)

El resultado de este componente establece que la Universidad se encuentra en un 24% de avance sobre el

modelo esperado (figura 5), mostrando un retraso de acuerdo a los plazos establecidos por el MinTIC (figura

6) para lograr el objetivo propuesto.

Los bajos resultados en cada una de las etapas del ciclo se deben a que no se socializado institucionalmente la

implementación de una política para la gestión de la seguridad y privacidad de la información, conllevando con

ello a que no se cuenten con aspectos como:

- Plan de socialización y toma de conciencia apropiada para los empleados, docentes, estudiantes y

contratistas en el manejo responsable de la información;

- Plan para el seguimiento, control y mitigación de los riesgos asociados a la gestión de la privacidad y

seguridad de la información

- Plan de auditorías internas en cuestión de seguridad y privacidad de la información

- Plan de seguimiento, evaluación, indicadores y análisis en la implementación del MSP

A pesar de lo anterior cabe resaltar que diferentes líderes de proceso han encaminado acciones desde su

quehacer como servidores públicos para implementar controles como medidas de buenas prácticas para

salvaguardar la integridad, confidencialidad y disponibilidad de la información tanto física como digital.

Figure 5 PHVA

Figure 6. MinTIC - Plazos para alcanzar avance en el PHVA

2.1.4. Nivel de madurez obtenido

Tal como lo ilustra la figura 7, la universidad ha alcanzado el nivel de madurez REPETIBLE con un nivel de

cumplimiento INTERMEDIO representando a su vez la brecha existente entre el nivel actual y el ideal

“OPTIMIZADO”

Figure 7. Nivel de Madurez

Los resultados obtenidos se deben, tal como lo indican los controles, en gran parte a la etapa actual del proyecto de seguridad informática, el cual inicia este año su implementación. La cual contempla apoyo por parte de la administración.

2.1.5. Calificación en ciberseguridad

Frente a las mejores prácticas a nivel de ciberseguridad la universidad se encuentra con una valoración

promedio del 32% (figura 8), resaltando que esta categoría abarca algunos aspectos relacionados con

actividades de carácter administrativo, gestión técnica y controles netamente específicos de ciberseguridad tal

cómo lo indican los controles de NIST.

Dentro los aspectos a mencionar en vista del resultado se pueden indicar:

- La necesidad de incluir los riesgos de ciberseguridad en la gestión de riesgos.

- La necesidad de documentar y comunicar las amenazas internas y externas, y las estrategias de

respuestas a dichas amenazas

- Como aspecto positivo se establece que los sistemas de información y los activos de misión crítica

(red, servidores, ambiente físico) son monitoreados a intervalos discretos para identificar eventos de

ciberseguridad.

Figure 8. Ciberseguridad

2.2. INVENTARIO DE ACTIVOS DE INFORMACIÓN

Para el levantamiento del inventario de activos de información se elaboró un formato guía (figura 9) que fue

suministrado, vía email, a determinadas Unidades Académicas Administrativas y sedes con el fin de identificar

y valorar los activos propios de cada Unidad dando a conocer aspectos como: Nombre del activo, tipo de

activo, criticidad de la información, ubicación, propietario y custodio.

Figure 9. Guía activos información

En esta primera versión del Inventario se lograron establecer aproximadamente 350 activos los cuales quedaron

registrados en un documento de Excel (figura 10) con carácter de confidencialidad RESERVADA por ende solo

se comparte el encabezado del documento

Figure 10. Activos de Información

2.3. PROCEDIMIENTOS IDENTIFICADOS DE SEGURIDAD

Y PRIVACIDAD DE LA INFORMACIÓN

A continuación, se relacionan los procedimientos que a nivel de seguridad y privacidad de la información se sugieren implementar al igual que se indica el posible responsable para la formulación del mismo teniendo en cuenta las características particulares de los procesos institucionales, activos y servicios de información, todo ello basado en marco de la guía del Modelo de Seguridad y Privacidad de la Información (MSPI). Documento guía de apoyo o de referencia de MSPI GUÍA # 3 Normatividad: Los 14 numerales de control de seguridad de la información definidos en la norma ISO/IEC 27001

2.3.1. SEGURIDAD DEL RECURSO HUMANO Procedimientos relacionados con el personal que labora dentro de la entidad:

2.3.1.1. Procedimiento de capacitación y sensibilización del

personal Indica la metodología empleada por la entidad para realizar la capacitación y sensibilización del

personal en temas de seguridad de la información teniendo en cuenta los diferentes roles y

responsabilidades, la periodicidad de dichas capacitaciones y sensibilizaciones etc…

- Responsables: División de Recursos Humanos, Contratación

2.3.1.2. Procedimiento de ingreso y desvinculación del

personal Indica la manera como la entidad gestiona de manera segura el ingreso y desvinculación, incluyendo

temas como verificación de antecedentes, firma de acuerdos de confidencialidad, recepción de

entregables requeridos para generar paz y salvos entre otras características

- Responsables: División de Recursos Humanos, Contratación

2.3.2. GESTIÓN DE ACTIVOS Concierne a la identificación y clasificación de activos de acuerdo a su criticidad y nivel de confidencialidad

se pueden definir los siguientes procedimientos

2.3.2.1. Procedimiento de identificación y clasificación de

activos Indica la manera en que los activos de información son identificados e inventariados por la entidad,

así como también se debe especificar como son clasificados de acuerdo a su nivel de confidencialidad

o criticidad, cómo se asignan y se devuelven los activos una vez se termina la relación laboral con la

entidad.

- Responsables: División de Servicios de Información, Gestión Documental, Oficina de Jurídica

2.3.3. CONTROL DE ACCESO Procedimientos relacionados con el acceso a la información y a las instalaciones de procesamiento de la

información

2.3.3.1. Procedimiento para ingreso seguro a los sistemas de

información Indica como la institución gestiona el acceso a sus sistemas de información de manera segura,

empleando métodos preventivos contra ataques de fuerza bruta, validando los datos completos para

ingreso a los sistemas, empleando métodos para cifrar la información de acceso a través de la red

entre otros.

- Responsables: División de Servicios de Información.

2.3.3.2. Procedimiento de gestión de usuarios y contraseñas Ilustra cómo la entidad realiza la creación de usuarios y la asignación de contraseñas (las cuales

deberán tener un nivel de seguridad aceptable, con base a una política de contraseñas seguras definida

previamente), prohibiendo su reutilización posterior, permitiendo a los usuarios cambiarla

regularmente, llevando un registro de las mismas. Este procedimiento debe aplicar a todos los

sistemas de información, también se debe tener en cuenta el rol que cada usuario requiera en los

determinados sistemas, para brindar el acceso necesario.

- Responsables: División de Servicios de Información.

2.3.4. CRIPTOGRAFÍA Hace referencia al buen uso de la criptografía para garantizar la disponibilidad, integridad y confidencialidad

de la información, así como también el correcto uso de las llaves criptográficas durante todo su ciclo de

vida (creación, uso, recuperación, distribución, retiro y destrucción)

2.3.4.1. Procedimiento de controles criptográficos Especifica cómo se utilizará la criptografía dentro de los sistemas de información de la organización

para garantizar su integridad, disponibilidad y confidencialidad.

Debe especificarse la complejidad de los controles criptográficos a emplear, dependiendo de la

criticidad de la información que circulará a través de la red o se encontrará alojada en un sistema

determinado.

- Responsables: División de Servicios de Información.

2.3.4.2. Procedimiento de gestión de llaves criptográficas Describe el ciclo de vida de las llaves criptográficas dentro de la entidad (si aplica), desde que se crean

hasta que se distribuyen a cada usuario o aplicación de manera segura. Deben mencionarse aspectos

como la creación de las llaves, obtención de certificados, almacenamiento seguro de las llaves,

actualización o cambio, revocación y recuperación de llaves.

- Responsables: División de Servicios de Información.

2.3.5. SEGURIDAD FÍSICA Y DEL ENTORNO Se relaciona con la prevención del acceso a áreas no autorizadas, el daño a la infraestructura, las

instalaciones o de la información. Se pueden generar los siguientes procedimientos

2.3.5.1. Procedimiento de control de acceso físico Ilustra los pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que este

procedimiento indique como se determina la ubicación de los equipos que procesan información

confidencial, como se aseguran dichas instalaciones, los controles que se aplican para minimizar

riesgos de desastres naturales, amenazas físicas, daños, por polvo, agua, interferencias, descargas

eléctricas etc…

- Responsables: División de Servicios de Información, División de Planta Física

2.3.5.2. Procedimiento de protección de activos Especifica como los activos son retirados de la entidad con previa autorización. Se debe indicar el

flujo de las solicitudes, autorizaciones y el control que tendrá el activo fuera de la entidad, así como

también los controles de seguridad que deberá incluir el equipo cuando esté por fuera (controles

criptográficos, cifrado de discos etc…)

- Responsables: División de Servicios de Información, División de Planta Física

2.3.5.3. Procedimiento de retiro de activos Especifica como los activos son retirados de la entidad con previa autorización. Se debe indicar el

flujo de las solicitudes, autorizaciones y el control que tendrá el activo fuera de la entidad, así como

también los controles de seguridad que deberá incluir el equipo cuando esté por fuera (controles

criptográficos, cifrado de discos etc…)

- Responsables: División de Servicios de Información, División de Planta Física, Mantenimiento

Tecnológico, División Financiera: Inventarios

2.3.5.4. Procedimiento de mantenimiento de equipos Especifica cómo se ejecutan los mantenimientos preventivos o correctivos dentro de la entidad,

indicando los intervalos en que estos deberán realizarse, con base a las sugerencias de los

proveedores o si existen seguros atados a los equipos y los mantenimientos sean requisitos. Se debe

especificar el modo en que los mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo,

llevando el registro apropiado.

- Responsables: División de Servicios de Información, División de Planta Física, Mantenimiento

Tecnológico

2.3.6. SEGURIDAD DE LAS OPERACIONES Busca asegurar las operaciones correctas dentro de las instalaciones de procesamiento de información

2.3.6.1. Procedimiento de gestión de cambios Especifica cómo realiza el control de cambios en la organización, los procesos de negocio y los sistemas de información de manera segura. Se deben especificar aspectos como identificación y registro de cambios significativos, planificación y pruebas previas de los cambios a realizar, valoración de impactos, tiempos de no disponibilidad del servicio, comunicación a las áreas pertinentes, procedimientos de rollback (reversa) entre otros. - Responsables: División de Servicios de Información

2.3.6.2. Procedimiento de gestión de capacidad Se debe especificar como la organización realiza una gestión de la capacidad para los sistemas de

información críticos, en especial si los recursos requeridos son escasos, demorados en su arribo o

costosos. La entidad puede realizar acciones como la eliminación de datos obsoletos, cierre de

aplicaciones, ambientes y sistemas en desuso, restricción de ancho de banda etc…

- Responsables: División de Servicios de Información

2.3.6.3. Procedimiento de separación de ambientes Con el fin de evitar problemas operacionales que pueden desencadenar en incidentes críticos, es

necesario desarrollar un procedimiento de separación de ambientes que permita realizar una

transición de los diferentes sistemas desde el ambiente de desarrollo hacia el de producción. Dentro

de los aspectos más importantes a considerar se encuentran la implementación de un ambiente de

pruebas para las aplicaciones, definición de los requerimientos para la transición entre ambientes, la

compatibilidad de los desarrollos con diferentes sistemas entre otros.

- Responsables: División de Servicios de Información.

2.3.6.4. Procedimiento de protección contra códigos

maliciosos La entidad debe indicar por medio de este procedimiento como realiza la protección contra códigos

maliciosos teniendo en cuenta, que controles utiliza (hardware o software), como se instalan y se

actualizan las plataformas de detección, definición de procedimientos o instructivos específicos sobre

el modo de operación de la plataforma, reporte y recuperación de ataques contra software malicioso,

implementación de procedimientos para recolectar información de manera regular como suscripción

a listas de correo

- Responsables: División de Servicios de Información

2.3.7. SEGURIDAD DE LAS COMUNICACIONES Propende por el aseguramiento y la protección de la información a través de los diferentes servicios

de comunicaciones de la organización

2.3.7.1. Procedimiento de aseguramiento de servicios en la

red Explica la manera en que la entidad protege la información en las redes, indicando los controles de

seguridad (como se cifran los datos a través de la red, por ejemplo) que se aplican para acceder a la

red cableada e inalámbrica, satelital etc… con miras a proteger la privacidad de la información que

circula a través de estos medios, también se debe incluir el uso de registros (logs) que permitan

realizar seguimiento a acciones sospechosas.

- Responsables: División de Servicios de Información

2.3.7.2. Procedimiento de transferencia de información Indica como realiza la transmisión o transferencia de la información de manera segura dentro de la

entidad o con entidades externas, donde se apliquen métodos para proteger la información de

interceptación, copiado, modificación y/o destrucción.

Se deben tener en cuenta acuerdos de confidencialidad y no divulgación, que deberán ser actualizados

y revisados constantemente, donde se incluyan

condiciones sobre la información que se va a proteger, la duración del acuerdo, responsabilidades,

propietarios de la información, acciones en caso de incumplimiento, entre otros

- Responsables: División de Servicios de Información

2.3.8. RELACIONES CON LOS PROVEEDORES Se refiere a la protección de los activos de la organización a los cuales los proveedores o terceros tienen

acceso

2.3.8.1. Procedimiento para el tratamiento de la seguridad

en los acuerdos con los proveedores Indica como la entidad establece, acuerda, aprueba y divulga los requerimientos y obligaciones

relacionados con la seguridad de la información, tanto con los proveedores como con la cadena de

suministros que estos tengan (es decir algún intermediario). Dichos acuerdos deben tener

características como: Aspectos legales, descripción de la información a la que ambas partes tendrán

acceso, reglas de uso aceptable e inaceptable de la información, requerimientos en gestión de

incidentes, resolución de conflictos, informes periódicos por parte del proveedor, auditorías al

servicio y gestión de cambios.

- Responsables: División de Servicios de Información, Recursos Humanos, Contratación

2.3.9. ADQUISICIÓN DESARROLLO Y

MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN:

2.3.9.1. Procedimiento adquisición, desarrollo y

mantenimiento de software Describe cómo se realiza la gestión de la seguridad de la información en los sistemas desarrollados

internamente (inhouse) o adquiridos a un tercero, verificando que cada uno de ellos preserve la

confidencialidad, integridad y disponibilidad de la información de la entidad. Dicha gestión y control

también debe ser especificada para los sistemas ya existentes que son actualizados o modificados en

la entidad. Se deben tener en cuenta el uso de ambientes de desarrollo, pruebas y producción para

los sistemas de información

- Responsables: División de Servicios de Información

2.3.9.2. Procedimiento de control software Indica como realiza el control de software, es decir, como limita el uso o instalación de software no

autorizado dentro de la entidad, quienes están autorizados para realizar la instalación de software,

como se realizaría la gestión de las solicitudes de instalación de software para los usuarios, cómo se

realiza el inventario de software dentro de la entidad entre otros aspectos.

- Responsables: División de Servicios de Información

2.3.10. GESTIÓN DE INCIDENTES DE SEGURIDAD DE

LA INFORMACIÓN

2.3.10.1. Procedimiento de gestión de incidentes de

seguridad de la información Indica cómo responde la entidad en caso de presentarse algún incidente que afecte alguno de los 3

servicios fundamentales de la información: Disponibilidad, Integridad o confidencialidad. Deben

especificarse los roles, las responsabilidades y acciones requeridas para identificar, contener,

documentar, recolectar evidencias y mejorar la respuesta ante un incidente de seguridad de la

información, así mismo, deberá indicar en qué casos sería necesario pasar a la activación de los planes

de BCP (Planes De Continuidad) dependiendo de la criticidad de la información.

- Responsables: División de Servicios de Información

2.3.11. ASPECTOS DE SEGURIDAD DE LA

INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD

DE NEGOCIO

2.3.11.1. Procedimiento de gestión de la continuidad de

negocio Indica la manera en que la entidad garantizará la continuidad para todos sus procesos (de ser posible

o por lo menos los misionales), identificando los procesos críticos que tendrán mayor prioridad en

las fases de recuperación ante algún desastre o incidente crítico. El procedimiento debe indicar los

pasos a seguir cuando existan estas situaciones adversas, quienes deberán actuar (incluyendo las

terceras partes o proveedores), los tiempos a cumplir, los procesos alternos o que permitan

continuar con el proceso de manera temporal.

- Responsables: División de Servicios de Información

2.4. PROPUESTA DE POLITICA GENERAL DE SEGURIDAD

Y PRIVACIDAD

POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN DE LA UNIVERSIDAD

INDUSTRIAL DE SANTANDER

La dirección de la UNIVERSIDAD INDUSTRIAL DE SANTANDER, entendiendo la importancia de una

adecuada gestión de la información, se ha comprometido con la implementación de un Sistema de Gestión de

Seguridad de la Información (SGSI) buscando establecer un marco de confianza en el ejercicio de sus deberes

con el Estado y los ciudadanos, todo enmarcado en el estricto cumplimiento de las leyes y en concordancia con

la misión y visión de la Universidad.

Objetivos

La UNIVERSIDAD INDUSTRIAL DE SANTANDER, orienta los objetivos del Modelo de Seguridad y Privacidad

de la Información7 en la protección de la información física y digital buscando siempre alcanzar altos niveles de

calidad y excelencia en su quehacer, disminuyendo el impacto generado sobre sus activos por los riesgos

identificados de manera sistemática con objeto de mantener un nivel de exposición que permita responder por

la integridad, confidencialidad y la disponibilidad de la misma, acorde con las necesidades de los diferentes

procesos, servicios, sistemas de información y grupos de interés identificados.

De acuerdo con lo anterior, esta política aplica a la UNIVERSIDAD INDUSTRIAL DE SANTANDER, según

como se defina en el alcance, teniendo en cuenta que los principios sobre los que se basa el desarrollo de las

acciones o toma de decisiones alrededor del SGSI estarán determinadas por las siguientes premisas:

Minimizar el riesgo de pérdida de información en las funciones misionales de la Universidad.

Cumplir con los principios de seguridad de la información.

Cumplir con los principios de la función administrativa.

Mantener la confianza de sus clientes, procesos y empleados.

Apoyar la innovación tecnológica.

Proteger los activos tecnológicos.

Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.

Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices,

practicantes, auxiliares y clientes

Garantizar la continuidad de los procesos y servicios frente a incidentes.

Definir, implementar, operar y mejorar de forma continua un modelo de seguridad, soportado en

lineamientos claros alineados a las necesidades de su quehacer, y a los requerimientos regulatorios.

Alcance/Aplicabilidad:

Esta política aplica a toda la Universidad, sus funcionarios, profesores, contratistas, Unidades Académicos

Administrativas, terceros, aprendices, practicantes, auxiliares, proveedores, procesos, tecnologías de

información incluido el hardware y software de la UNIVERSIDAD INDUSTRIAL DE SANTANDER y la

ciudadanía en general

7 En correspondencia con el Modelo de Seguridad y Privacidad de la Información definido por la Dirección de

Arquitectura y Estándares de TI del Ministerio de Tecnologías de la Información (MinTic)

Nivel de cumplimiento:

Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de las políticas

de seguridad y los procedimientos asociados para la conservación de la confidencialidad, integridad y

disponibilidad de la información, evitando así que se apliquen medidas correctivas de carácter disciplinario.

Roles y responsabilidades:

La responsabilidad final de seguridad de la información recae sobre el representante legal de la Universidad

Industrial de Santander; no obstante, en el desarrollo de las actividades cotidianas del quehacer universitario,

el jefe de cada unidad académico administrativa será responsable de gestionar e implementar las políticas y los

procedimientos concernientes contenidos en el manual de políticas de los servicios de información, con los

funcionarios y proveedores de su unidad.

Los jefes de las UAA serán responsables de diseñar las estrategias, los mecanismos y herramientas pertinentes

para asegurar que su equipo de trabajo (funcionarios y proveedores) sea consciente de:

Las políticas de seguridad de la información y conocimiento aplicable en sus actividades.

Su responsabilidad personal en material de seguridad de la información

Cómo acceder a asesoramiento en materia de seguridad de la información

Los jefes de las UAAs serán responsables individualmente por la seguridad de las instalaciones

físicas usadas por ellos, su equipo de trabajo y proveedores.

Cada funcionario y/o proveedor que utilice o maneje información, será responsable por la

protección y conservación de los sistemas de información y del conocimiento que utilicen.

Cada funcionario y/o proveedor que haga uso de los sistemas de información debe cumplir con

los requisitos de seguridad que se encuentren establecidos, y garantizar que se mantenga la

confidencialidad, integridad y disponibilidad de la información y conocimiento que maneja.

Los contratos con partes externas que permiten acceder a sistemas de información o equipos de

los funcionarios, se harán efectivos antes de que se permita el acceso. Estos contratos aseguraran

que el personal o los subcontratistas de la organización externa cumplan con todas las normas de

seguridad adecuadas.

Revisión de la política de seguridad de la información

La política de seguridad de la información y conocimiento deberá ser conservada, revisada, aprobada y

actualizada anualmente por la Rectoría y el Comité Institucional de Gestión y Desempeño

Principios:

A continuación, se establecen 12 principios de seguridad que soportan el SGSI de la UNIVERSIDAD

INDUSTRIAL DE SANTANDER:

Las responsabilidades frente a la seguridad de la información serán definidas, compartidas, publicadas

y aceptadas por cada uno de los empleados, proveedores, contratistas y terceros.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER protegerá la información generada, procesada o

resguardada por sus procesos, su infraestructura tecnológica y activos, del riesgo que se generará por

los accesos otorgados a terceros (ej.: proveedores o clientes), o como resultado de un servicio interno

en outsourcing.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER protegerá la información creada, procesada,

transmitida o resguardada por sus procesos, con el fin de minimizar impactos financieros, operativos

o legales debido al uso incorrecto de esta. Para ello es fundamental la aplicación de controles de

acuerdo con la clasificación de la información de su propiedad o en custodia.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER protegerá su información de las amenazas

originadas por parte del personal.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER protegerá las instalaciones de procesamiento y la

infraestructura tecnológica que soporta sus procesos críticos.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER controlará la operación de sus procesos

garantizando la seguridad de los recursos tecnológicos y las redes de datos.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER implementará control de acceso a la información,

sistemas y recursos de red.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER garantizará que la seguridad sea parte integral del

ciclo de vida de los sistemas de información.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER garantizará a través de una adecuada gestión de

los eventos de seguridad y las debilidades asociadas con los sistemas de información una mejora

efectiva de su modelo de seguridad.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER garantizará la disponibilidad de sus procesos y la

continuidad de su operación basada en el impacto que pueden generar los eventos.

La UNIVERSIDAD INDUSTRIAL DE SANTANDER garantizará el cumplimiento de las obligaciones

legales, regulatorias y contractuales establecidas.

El incumplimiento a la política de Seguridad y Privacidad de la Información, traerá consigo, las consecuencias

legales que apliquen a la normativa de la UNIVERSIDAD INDUSTRIAL DE SANTANDER, incluyendo lo

establecido en las normas que competen al Gobierno nacional y territorial en cuanto a Seguridad y Privacidad

de la Información se refiere.

Entrada en vigencia y modificación

La presente política fue aprobada por acuerdo XXX del XXXXXX de XXXX de 2020 y entra en vigencia a

partir del día XXXX de XXX de 2020

2.5. FASE 2° - PLANIFICACIÓN.

Durante el transcurso del año 2020 se ha considerado desarrollar la segunda etapa, denominada por

el MSPI: “Fase de Planificación”, en la cual se pretenden obtener resultados como:

Aprobación de la Política General de Seguridad y Privacidad de la Información por la alta

dirección

Aprobación de los Activos de Información por parte de la alta dirección y su metodología de

identificación, clasificación y valoración.

Conformación del equipo de trabajo para la implementación del modelo con alcance para la

División de Servicios de Información en un periodo inicial

Manual de políticas de seguridad el cual incluye las políticas específicas y los procedimientos

de seguridad

Definición de la metodología y construcción del plan para el tratamiento de riegos de

seguridad y privacidad de la información

Identificación de vulnerabilidades técnicas

Asignación de roles y responsabilidades en lo concerniente a seguridad y privacidad de

información.

Plan de comunicaciones para socializar y sensibilizar a los involucrados