Articles-5482 Implementacion Politicas

7/25/2019 Articles-5482 Implementacion Politicas

1/19

Formato e implementacinde polticas de seguridad yprivacidad de la informacin

Gua Tcnic


2/19

1. DERECHOS DE AUTOR

Todas las referencias a los documentos del Modelo de Seguridad y Privacidad de

la Informacin son derechos reservados por parte del Ministerio de Tecnologas de

la Informacin y las Comunicaciones, por medio del Programa Gobierno en lnea.

Todas las referencias a las polticas, definiciones o contenido relacionado,

publicadas en la norma tcnica colombiana NTC ISO/IEC 27001:2013, as como a

los anexos son derechos reservados por parte de ISO/ICONTEC.


3/19

2. AUDIENCIA

Este documento est elaborado para las entidades pblicas de orden nacional,

entidades pblicas del orden territorial y entidades privadas que deseen una gua

para implementar las polticas planteadas en el Modelo de Seguridad de la

Informacin, as como proveedores de servicios de Gobierno en Lnea y terceros

que deseen adoptar el Modelo de Seguridad y Privacidad de la Informacin en el

marco del Programa Gobierno en Lnea.


4/19

3. INTRODUCCIN

La informacin es en la actualidad el elemento primordial de cualquier

organizacin. De tal manera, se hace importante la implementacin de medidas

que propendan por salvaguardar la integridad, la confidencialidad y la

disponibilidad de la informacin que manejan las entidades, con el fin de asegurar

la operacin de las mismas.

Las entidades en el proceso de implementacin y puesta en funcionamiento deSistemas de Gestin de Seguridad de la Informacin deben crear polticas que

definan los lineamientos y lmites que deben cumplir los funcionarios, contratistasy terceros frente a la seguridad de la informacin, por lo cual este documentoplantea algunas mejores prcticas para la definicin de polticas, y en algunoscasos plantea unas polticas generales, a partir de las cuales las entidadespueden basar su sistema de gestin y adaptar de acuerdo a su contextoorganizacional.

Los elementos se encuentran organizados en los dominios definidos por la polticay se han planteado de modo tal que se ajusten a los objetivos de control definidos.


5/19

4. PROPSITO

El propsito de este documento es ofrecer una gua de recomendaciones para la

construccin e implementacin de polticas de seguridad y privacidad de

informacin para las entidades pblicas, como parte del Modelo de Seguridad y

Privacidad de la Informacin de la estrategia de Gobierno en Lnea, segn lo

establecido en el Decreto 2573 del 12 de diciembre de 2014.


6/19

5. GLOSARIO

Estndar: Regla que especifica una accin o respuesta que se debe seguir a unasituacin dada. Los estndares son orientaciones obligatorias que buscan hacer

cumplir las polticas. Los estndares son diseados para promover la

implementacin de las polticas de alto nivel de la organizacin antes de crear

nuevas polticas.

Mejor Prctica: Una regla de seguridad especfica o una plataforma que esaceptada, a travs de la industria al proporcionar el enfoque ms efectivo a una

implementacin de seguridad concreta. Las mejores prcticas son establecidaspara asegurar que las caractersticas de seguridad de los sistemas utilizados con

regularidad estn configurados y administrados de manera uniforme, garantizando

un nivel consistente de seguridad a travs de la organizacin.

Gua: Una gua es una declaracin general utilizada para recomendar o sugerir unenfoque para implementar polticas, estndares buenas prcticas. Las guas son

esencialmente, recomendaciones que deben considerarse al implementar la

seguridad. Aunque no son obligatorias, sern seguidas a menos que existan

argumentos documentados y aprobados para no hacerlo.

Procedimiento: Los procedimientos, definen especficamente como las polticas,estndares, mejores prcticas y guas que sern implementadas en una situacin

dada. Los procedimientos son independientes de la tecnologa o de los procesos

y se refieren a las plataformas, aplicaciones o procesos especficos. Son utilizados

para delinear los pasos que deben ser seguidos por una dependencia para

implementar la seguridad relacionada con dicho proceso o sistema especfico.

Generalmente los procedimientos son desarrollados, implementados y

supervisados por el dueo del proceso o del sistema, los procedimientos seguirn

las polticas de la organizacin, los estndares, las mejores prcticas y las guas

tan cerca como les sea posible, y a la vez se ajustaran a los requerimientosprocedimentales o tcnicos establecidos dentro del a dependencia donde ellos se

aplican.


7/19

CAPTULO I - POLTICA DE SEGURIDAD Y PRIVACIDAD DE LAINFORMACIN

Formato de Poltica de Seguridad y Privacidad de la Informacin

El siguiente documento es un formato de poltica de Seguridad y Privacidad de laInformacin

La Poltica de Seguridad y Privacidad de la Informacin es la declaracin generalque representa la posicin de la administracin de _NOMBRE DE LA ENTIDADcon respecto a la proteccin de los activos de informacin (los funcionarios,contratistas, terceros. la informacin, los procesos, las tecnologas de informacinincluido el hardware y el software), que soportan los procesos de la Entidad yapoyan la implementacin del Sistema de Gestin de Seguridad de la Informacin,por medio de la generacin y publicacin de sus polticas, procedimientos einstructivos, as como de la asignacin de responsabilidades generales yespecficas para la gestin de la seguridad de la informacin.

NOMBRE DE LA ENTIDAD, para asegurar la direccin estratgica de la Entidad,

establece la compatibilidad de la poltica de seguridad de la informacin y los

objetivos de seguridad de la informacin, estos ltimos correspondientes a:

Minimizar el riesgo de los procesos misionales de la entidad.

Cumplir con los principios de seguridad de la informacin.

Cumplir con los principios de la funcin administrativa. Mantener la confianza de los funcionarios, contratistas y terceros.

Apoyar la innovacin tecnolgica.

Implementar el sistema de gestin de seguridad de la informacin.

Proteger los activos de informacin.

Establecer las polticas, procedimientos e instructivos en materia deseguridad de la informacin.

Fortalecer la cultura de seguridad de la informacin en los funcionarios,terceros, aprendices, practicantes y clientes del NOMBRE DE LA ENTIDAD

Garantizar la continuidad del negocio frente a incidentes.

Alcance/Aplicabilidad Esta poltica aplica a toda la entidad, sus funcionarios, contratistas y

terceros del NOMBRE DE LA ENTIDADy la ciudadana en general.

Nivel de cumplimiento


8/19

Todas las personas cubiertas por el alcance y aplicabilidad debern darcumplimiento un 100% de la poltica.

A continuacin se establecen las 12 polticas de seguridad que soportan el SGSIde NOMBRE DE LA ENTIDAD:

NOMBRE DE LA ENTIDAD ha decidido definir, implementar, operar ymejorar de forma continua un Sistema de Gestin de Seguridad de laInformacin, soportado en lineamientos claros alineados a las necesidadesdel negocio, y a los requerimientos regulatorios que le aplican a sunaturaleza.

Las responsabilidades frente a la seguridad de la informacin serndefinidas, compartidas, publicadas y aceptadas por cada uno de losempleados, contratistas o terceros.

NOMBRE DE LA ENTIDAD proteger la informacin generada,

procesada o resguardada por los procesos de negocio y activos deinformacin que hacen parte de los mismos.

NOMBRE DE LA ENTIDADproteger la informacin creada, procesada,transmitida o resguardada por sus procesos de negocio, con el fin deminimizar impactos financieros, operativos o legales debido a un usoincorrecto de esta. Para ello es fundamental la aplicacin de controles deacuerdo con la clasificacin de la informacin de su propiedad o encustodia.

NOMBRE DE LA ENTIDAD proteger su informacin de las amenazasoriginadas por parte del personal.

NOMBRE DE LA ENTIDADproteger las instalaciones de procesamiento

y la infraestructura tecnolgica que soporta sus procesos crticos. NOMBRE DE LA ENTIDADcontrolar la operacin de sus procesos denegocio garantizando la seguridad de los recursos tecnolgicos y las redesde datos.

NOMBRE DE LA ENTIDAD implementar control de acceso a lainformacin, sistemas y recursos de red.

NOMBRE DE LA ENTIDADgarantizar que la seguridad sea parte integraldel ciclo de vida de los sistemas de informacin.

NOMBRE DE LA ENTIDADgarantizar a travs de una adecuada gestinde los eventos de seguridad y las debilidades asociadas con los sistemasde informacin una mejora efectiva de su modelo de seguridad.

NOMBRE DE LA ENTIDADgarantizar la disponibilidad de sus procesosde negocio y la continuidad de su operacin basado en el impacto quepueden generar los eventos.

NOMBRE DE LA ENTIDAD garantizar el cumplimiento de lasobligaciones legales, regulatorias y contractuales establecidas.


9/19

El incumplimiento a la poltica de Seguridad y Privacidad de la Informacin, traer

consigo, las consecuencias legales que apliquen a la normativa de la Entidad,

incluyendo lo establecido en las normas que competen al Gobierno nacional y

territorial en cuanto a Seguridad y Privacidad de la Informacin se refiere.


10/19

CAPTULO II - FASES DE IMPLEMENTACIN DE POLTICAS DE SEGURIDADDE LA INFORMACIN

Para realizar una correcta implementacin de polticas de seguridad de lainformacin, es necesario cumplir con una serie de fases que se sugieren en estedocumento, las cuales tienen como objetivo que la entidad desarrolle, apruebe,implemente y socialice e interiorice las polticas para un uso efectivo por parte detodos los funcionarios, contratistas y/o terceros de la entidad.

IMPORTANCIA DE LAS POLITICAS DE SEGURIDAD DE LA INFORMACIN

Para las entidades es importante contar con polticas de seguridad ya que sonellas quienes guiaran el comportamiento personal y profesional de losfuncionarios, contratistas o terceros sobre la informacin obtenida, generada o

procesada por la entidad, as mismo las polticas permitirn que la entidad trabajebajo las mejores prcticas de seguridad y cumpla con los requisitos legales a loscuales est obligada a cumplir la entidad.

FASES DE IMPLEMENTACIN DE LAS POLITICAS DE SEGURIDAD DEINFORMACIN

1. Desarrollo de las polticas: En esta fase la Entidad deberesponsabilizar las reas para la creacin de las polticas, estructurarlas,escribirlas, revisarlas y aprobarlas; por lo cual para llevar a buen trminoesta fase se requiere que se realicen actividades de verificacin einvestigacin de los siguientes aspectos:

Justificacin de la creacin de poltica: Debe identificarse el por qu laEntidad requiere la creacin de la poltica de seguridad de informacin ydeterminar el control al cual hace referencia su implementacin.

Alcance: Debe determinarse el alcance, A qu poblacin, reas,procesos o departamentos aplica la poltica?, Quin debe cumplir lapoltica?

Roles y Responsabilidades: Se debe definir los responsables y los rolespara la implementacin, aplicacin, seguimiento y autorizaciones de lapoltica.

Revisin de la poltica: Es la actividad mediante la cual la poltica una vez

haya sido redactada pasa a un procedimiento de evaluacin por parte deotros individuos o grupo de individuos que evalen la aplicabilidad, laredaccin y se realizan sugerencias sobre el desarrollo y creacin de lamisma.

Aprobacin de la Poltica: Se debe determinar al interior de la entidad lapersona o rol de la alta direccin que tiene la competencia de formalizarlas polticas de seguridad de la informacin mediante la firma y publicacin


11/19

de las mismas. Es importante que la Alta Gerencia de la Entidad muestreinters y apoyo en la implementacin de dichas polticas.

2. Cumplimiento: Fase mediante la cual todas aquellas polticas escritasdeben estar implementadas y relacionadas a los controles de seguridadde la Informacin, esto con el fin de que exista consistencia entre loescrito en las polticas versus los controles de seguridad implementadosy documentados.

3. Comunicacin: Fase mediante la cual se da a conocer las polticas alos funcionarios, contratistas y/o terceros de la Entidad. Esta fase esmuy importante toda vez que del conocimiento del contenido de laspolticas depende gran parte del cumplimiento de las mismas; esta fasede la implementacin tambin permitir obtener retroalimentacin de la

efectividad de las polticas, permitiendo as realizar excepciones,correcciones y ajustes pertinentes. Todos los funcionarios contratistasy/o terceros de la entidad debe conocer la existencia de las polticas, laobligatoriedad de su cumplimiento y la ubicacin fsica de tal documentoo documentos, para que sean consultados en el momento que serequieran.

4. Monitoreo: Es importante que las polticas sean monitoreadas paradeterminar la efectividad y cumplimiento de las mismas, deben crearsemecanismos ejemplo indicadores para verificar de forma peridica y conevidencias que la poltica funciona y si debe o no ajustarse.

5. Mantenimiento: Esta fase es la encargada de asegurar que la polticase encuentra actualizada, integra y que contiene los ajustes necesariosy obtenidos de las retroalimentaciones.

6. Retiro: Fase mediante la cual se hace eliminacin de una poltica deseguridad en cuanto esta ha cumplido su finalidad o la poltica ya no esnecesaria en la Entidad. Esta es la ltima fase para completar el ciclo devida de las polticas de seguridad y requiere que este retiro seadocumentado con el objetivo de tener referencias y antecedentes sobreel tema.


12/19

CAPTULO III - RECOMENDACIONES PARA LA REDACCION DE UNAPOLITICA DE SEGURIDAD DE LA INFORMCIN

A continuacin se presenta una serie de recomendaciones para la redaccin delas polticas de seguridad y privacidad de la informacin en la Entidad.

La poltica debe tener como parte de su texto la declaracin en la cual seindica qu es lo que se desea hacer?, qu regula la poltica?, cul es ladirectriz que deben seguir los funcionarios, contratistas y/o terceros?, todoesto alineado con la estrategia de la organizacin.

Alinearse con el alcance del Modelo de Seguridad y Privacidad de la

Informacin.

Debe especificarse a quin (es) va dirigida la poltica, se debe identificar

fcilmente quien (es) deben cumplir la poltica.

En los casos que aplique se hace referencia de la regulacin mediante la

cual se soporta la poltica.

En caso que aplique la poltica debe indicar las excepciones a la misma y a

quienes les aplica la excepcin.

Datos de las personas o roles de la entidad que pueden brindar informacin

sobre la poltica.

Nombre, rol o responsable de quien autoriza la poltica.

Describir los pasos y procedimientos para realizar ajustes a la poltica.

Explicacin de las consecuencias que se pueden tener en caso de que un

funcionario, contratista o tercero incumpla la poltica. Fecha que inicia la vigencia de la poltica.

CAPTULO IV - POLITICAS RECOMENDADAS PARA LA IMPLEMENTACINDE CONTROLES DE SEGURIDAD DE LA INFORMACIN

En este documento presenta algunas recomendaciones de polticas de seguridadde la informacin para el Modelo de Seguridad y privacidad de la Informacin paralas Entidades del Estado. Este conjunto de recomendaciones no es exhaustivo, se

aconseja que cada Entidad genere sus documentaciones propias dependiendo desus caractersticas particulares, sus activos de informacin, sus procesos y losservicios de informacin que pueda prestar. A continuacin se agruparan laspolticas con el objetivo de hacer una implementacin transversal de Seguridad dela Informacin en la Entidad.

GESTION DE ACTIVOS


13/19

Este grupo de polticas deben hacer referencia a todas aquellas directricesmediante las cuales se indica a los funcionarios los lmites y procedimientos frente

a la identificacin, uso, administracin y responsabilidad frente a los activos deInformacin, las polticas relacionadas con gestin de activos deben contemplarcomo mnimo:

Identificacin de Activos: Esta poltica debe determinar laperiodicidad con la cual se va a realizar al interior de la Entidad laidentificacin y/o actualizacin del inventario de Activos deInformacin, la poltica debe determinar el responsable de realizar laactividad, se debe determinar bajo que instrumento se va a realizarla actividad, dicho instrumento debe permitir identificar el propietariodel activo de informacin.

Clasificacin de Activos: La Entidad debe determinar laclasificacin de los activos de informacin de acuerdo a la criticidad,sensibilidad y reserva de la misma. En la elaboracin de estapoltica debe tenerse en cuenta las leyes y normatividades actualesque afecten a la Entidad, algunos ejemplos: Ley 1581 de 2012,Decreto 1377 de 2013, Ley 1712 de 2014, Decreto 103 de 2015,entre otras que puedan aplicar de acuerdo a la naturaleza de laentidad.

Etiquetado de la Informacin: Esta poltica debe determinar elmecanismo, responsable y obligatoriedad para el etiquetado orotulacin de Activos.

Devolucin de los Activos: Esta poltica debe determinar elinstrumento y responsable del cumplimiento, mediante el cual segenera obligatoriedad para que los funcionarios, contratistas y/oterceros realicen la entrega de activos fsicos y de la informacin unavez finalizado el empleo, acuerdo o contrato que se tenga con laEntidad.

Gestin de medios removibles: Esta poltica debe contemplar losusos y permisos que tienen los usuarios y/o funcionarios de laEntidad frente a los medios removibles, entendiendo como medioremovible a todos aquellos dispositivos electrnicos que almacenaninformacin y pueden ser extrados de los computadores. Esta

poltica debe describir detenidamente en qu casos se autoriza y enlos que no, el uso de medios removibles y los procedimientos en loscuales se determinen las autorizaciones; adicionalmente debedescribir el responsable de las autorizaciones y responsabilidades deaquellas personas que tienen autorizacin para el uso del dichomedio de almacenamiento. El uso de medios removibles en la


14/19

entidad deben ir alineados a las clasificaciones de activos dispuestasen la poltica de Clasificacinde Activos.

Disposicin de los activos: Esta poltica debe determinar la

obligatoriedad para la construccin y cumplimiento de unprocedimiento mediante el cual se realice de forma segura y correctala eliminacin, retiro, traslado o re uso cuando ya no se requieranlos activos. Esta poltica debe determinar la toma de backup de losactivos evitando as el acceso o borrado no autorizado de lainformacin, la poltica debe indicar quien es el responsable deemitir las correspondientes autorizaciones y debe aplicar tanto paramedios removibles como activos de procesamiento y/oalmacenamiento de informacin.

Dispositivos mviles: Esta poltica debe determinar losfuncionarios, contratistas o terceros que pueden tener acceso a las

redes inalmbricas, quines pueden realizar instalacin de chatscorporativos y/o correos electrnicos de la entidad mediante el usode este tipo de dispositivos, adicionalmente debe describir lasresponsabilidades que deben tener los funcionarios, contratistas oterceros frente al uso de la informacin almacenada en losdispositivos mviles as como como los controles de seguridad quela entidad utilizar para proteger, mitigar, supervisar y monitorearlos riesgos asociados al acceso y divulgacin no autorizada de lainformacin.

CONTROL DE ACCESO

Este grupo de polticas deben hacer referencia a todas aquellas directricesmediante las cuales la Entidad determina los mecanismos de proteccin, loslmites y procedimientos frente a la administracin y responsabilidad, relacionadoscon los accesos a la informacin, sin importar si estos accesos sean electrnicos ofsicos; las polticas relacionadas con el control de acceso deben contemplarcomo mnimo:

Control de acceso con usuario y contrasea: Se debe elaborar unapoltica sobre control de acceso a redes, aplicaciones, y/o sistemas deinformacin de la entidad, mediante la cual se determinen los responsables

y los procedimientos formales de autorizacin de creacin, modificacin,suspensin o eliminacin de usuarios (ID) y contraseas. La poltica debeenunciar las responsabilidades que los funcionarios, contratistas o tercerostienen al contar con un usuario o contrasea de la entidad, se debeestipular que los usuarios (ID) y contraseas son personales eintransferibles y no deben prestarse, ni compartirse. La entidad debe


15/19

establecer que por cada funcionario, contratista o tercero debe tenerse unusuario y una contrasea para el acceso.

Suministro del control de acceso: Esta poltica debe determinar los

procedimientos formales y directrices que se deben construir para la gestinde asignacin, modificacin, revisin o revocacin de derechos y/oprivilegios a cada uno de los usuarios (ID) creados, tambin deben tenerseen cuenta en esta poltica los casos especiales como lo son usuarios (ID)con privilegios superiores utilizados para la administracin deinfraestructura, aplicaciones y sistemas de informacin de la entidad.

Gestin de Contraseas: Esta poltica debe definir los lineamientosmnimos en cuanto a calidad que deben tener las contraseas para serutilizadas como mecanismo de autenticacin en los accesos a la red,aplicaciones y/o sistemas de informacin de la entidad. Esta polticadebe indicar a los funcionarios, contratistas y/o terceros los parmetros

mnimos para que una contrasea sea considera como fuerte, gestin decambio de contrasea, debe determinar que los accesos a la red, lasaplicaciones y sistemas de informacin deben requerir un usuario (ID) y unacontrasea fuerte para que realice la correspondiente autenticacin yacceso a la informacin de forma segura.

Permetros de Seguridad: La poltica debe definir los permetros fsicos deseguridad donde se encuentra informacin crtica, sensible o se realicealmacenamiento y/o procesamiento de informacin a los cuales losfuncionarios, contratistas o terceros, tienen acceso y a cuales no, la polticadebe definir los responsables de autorizar o no ingresos a las reasdelimitadas como de acceso restringido.

reas de Carga: La poltica debe definir las condiciones e instalacionesfsicas en las cuales se va a realizar despacho y carga de paquetes fsicospara bodegas o espacios definidos de carga, esto con el fin de evitar elacceso no autorizado a otras reas de la entidad. Esta poltica debedeterminar el seguimiento que se debe realizar para garantizar elcumplimiento de dicha poltica y sus correspondientes responsables.

NO REPUDIO

La poltica de seguridad y privacidad comprende la capacidad de no repudio con elfin de que los usuarios eviten haber realizado alguna accin.

La poltica deber incluir mnimo los siguientes aspectos:

Trazabilidad: La poltica har que por medio de la trazabilidad de lasacciones se haga seguimiento a la creacin, origen, recepcin, entrega deinformacin y otros.


16/19

Retencin: La poltica debe incluir el periodo de retencin oalmacenamiento de las acciones realizadas por los usuarios, el cual deberser informado a los funcionarios, contratistas y/o terceros de la Entidad.

Auditora: La poltica incluir la realizacin de auditoras continuas, comoprocedimiento para asegurarse que las partes implicadas nieguen haberrealizado una accin.

Intercambio electrnico de informacin:La poltica incluir en los casosque aplique, que los servicios de intercambio electrnico de informacin songaranta de no repudio.

PRIVACIDAD Y CONFIDENCIALIDAD

Esta poltica debe contener una descripcin de las polticas de tratamiento yproteccin de datos personales que deben ser aplicados, conforme a lo

establecido en la normatividad vigente. La poltica de privacidad debe contenercomo mnimo lo siguiente:

1. mbito de aplicacin2. Excepcin al mbito de aplicacin de las polticas de tratamiento de

datos personales3. Principios del tratamiento de datos personales: Principio de la Legalidad: El tratamiento de datos personales debe estar

sujeto a lo establecido en la normatividad vigente.

Principio de finalidad: Indicar la finalidad del tratamiento de datospersonales, la cual debe ser informada al titular.

Principio de libertad: El tratamiento slo puede hacerse con elconsentimiento previo, expreso e informado del titular de los datos.

Principio de veracidad o calidad: La informacin a tratar debe ser veraz,completa, exacta, actualizada, comprobable y comprensible.

Principio de transparencia: Garantizar al titular de los datos el derecho aobtener informacin que le concierna del encargado del tratamiento.

Principio de acceso y circulacin restringida: El tratamiento slo podrhacerse por personas autorizadas por el titular o por personas previstas enla normatividad vigente.

Principio de seguridad: La informacin sujeta a tratamiento, se debemanejar con las medidas tcnicas, humanas y administrativas que sean

necesarias para garantizar la seguridad evitando su adulteracin, prdida,consulta, uso o acceso no autorizado o fraudulento

Principio de confidencialidad: Todas las personas que participen en elTratamiento de Datos Personales deben garantizar la reserva de dichainformacin

4. Derechos de los titulares: La poltica debe indicar los derechos de lostitulares de los datos, tales como:


17/19

Conocer, actualizar y rectificar sus datos personales.

Solicitar la prueba de su autorizacin para el tratamiento de sus datospersonales.

Ser informado respecto del uso que se le da a sus datos personales. Revocar la autorizacin y/o solicitar la supresin de sus datos personales

de las bases de datos o archivos cuando el titular lo considere, siempre ycuando no se encuentren vigentes con el Banco los servicios o productosque dieron origen a dicha autorizacin.

Presentar quejas ante la entidad administrativa encargada de la proteccinde los datos personales.

5. Autorizacin del titular:La poltica debe indicar cmo obtener autorizacindel titular para el tratamiento de sus datos personales, as como los casosen los cuales no se requiere autorizacin del titular.

6. Deberes de los responsables del Tratamiento: La poltica debe indicar

cuales son los deberes de los responsables y/o encargados del tratamientode los datos personales.

La poltica de confidencialidad, debe contener un compromiso o acuerdo deconfidencialidad, por medio del cual todo funcionario, contratista y/o tercerovinculado a la Entidad, deber firmar un compromiso de no divulgar la informacininterna y externa que conozca de la Entidad, as como la relacionada con lasfunciones que desempea en la misma. La firma del acuerdo implica que lainformacin conocida por todo funcionario, contratista y/o tercero, bajo ningunacircunstancia deber ser revelada por ningn medio electrnico, verbal, escrito uotro, ni total ni parcialmente, sin contar con previa autorizacin.

La poltica deber indicar desde cuando se firma el acuerdo de confidencialidad,as como la vigencia del mismo.

INTEGRIDAD

La poltica de integridad debe ser conocida y aceptada por todos los funcionarios,contratistas y/o terceros que hagan parte de la Entidad, la cual se refiere al manejontegro e integral de la informacin tanto interna como externa, conocida oadministradas por los mismos.

De esta manera, toda informacin verbal, fsica o electrnica, debe ser adoptada,procesada y entregada o transmitida integralmente, coherentemente,exclusivamente a las personas correspondientes y a travs de los medioscorrespondientes, sin modificaciones ni alteraciones, salvo que as lo determinenlas personas autorizadas y/o responsables de dicha informacin. En el caso devinculacin contractual, el Compromiso de administracin y manejo integro eintegral de la informacin interna y externa har parte de las clusulas del


18/19

respectivo contrato, bajo la denominacin de Clusula de integridad de lainformacin.

La poltica de integridad, deber establecer asimismo la vigencia de la mismaacorde al tipo de vinculacin del personal al cual aplica el cumplimiento.

DISPONIBILIDAD DEL SERVICIO E INFORMACIN

La Entidad deber contar con un plan de continuidad del negocio con el fin deasegurar, recuperar o restablecer la disponibilidad de los procesos que soportan elSistema de Gestin de Seguridad de la Informacin y procesos misionales de laEntidad, ante el evento de un incidente de seguridad de la informacin.

La poltica de disponibilidad debe incluir como mnimo los siguientes aspectos:

Niveles de disponibilidad:Esta poltica debe velar por el cumplimiento delos niveles de disponibilidad de servicios e informacin acordados conclientes, proveedores y/o terceros en funcin de las necesidades de laEntidad, los acuerdos de nivel de servicios ofrecidos y evaluaciones deriesgos.

Planes de recuperacin: La poltica debe incluir los planes derecuperacin que incluyan las necesidades de disponibilidad del negocio.

Interrupciones:La poltica debe velar por la gestin de interrupciones demantenimiento de los servicios que afecten la disponibilidad del mismo.

Acuerdos de Nivel de servicio:Tener en cuenta los acuerdos de niveles

de servicios (ANS) en las interrupciones del servicio. Segregacin de ambientes:Esta poltica debe establecer la segregacin

de ambientes para minimizar los riesgos de puesta en funcionamiento decambios y nuevos desarrollos con el fin de minimizar el impacto de laindisponibilidad del servicio durante las fases de desarrollo, pruebas yproduccin.

Ventana de cambios:La poltica debe incluir gestin de cambios para quelos pasos a produccin afecten mnimamente la disponibilidad y se realicenbajo condiciones controladas.

REGISTRO Y AUDITORA

Esta poltica vela por el mantenimiento de las evidencias de las actividades yacciones que afectan los activos de informacin.

Esta poltica deber contener:


19/19

Responsabilidad:Incluir la responsabilidad de la Oficina de Control Internoy similares, acerca de la responsabilidad de llevar a cabo las auditorasperidicas a los sistemas y actividades relacionadas a la gestin de activos

de informacin, as como la responsabilidad de dicha Oficina de informarlos resultados de las auditoras.

Almacenamiento de registros:La poltica debe incluir el almacenamientode los registros de las copias de seguridad en la base de datoscorrespondiente y el correcto funcionamiento de las mismas. Los registrosde auditora deben incluir toda la informacin registro y monitoreo deeventos de seguridad.

Normatividad:La poltica de auditora debe velar porque las mismas seanrealizadas acorde a la normatividad y requerimientos legales aplicables a lanaturaleza de la Entidad.

Garanta cumplimiento: La poltica de auditora debe garantizar la

evaluacin de los controles, la eficiencia de los sistemas, el cumplimientode las polticas y procedimientos de la Entidad; as como recomendar lasdeficiencias detectadas.

Periodicidad: La poltica debe determinar la revisin peridica de losniveles de riesgos a los cuales est expuesta la Entidad, lo cual se logra atravs de auditoras peridicas alineada a los objetivos estratgicos ygestin de procesos de la Entidad.

Articles-5482 Implementacion Politicas

Documents