Políticas de seguridad de la información Pág. 1 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
AUDITORÍA GENERAL DE LA REPUBLICA
Procedimiento
TI.120.P01.P
ADMINISTRACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA
Políticas de Seguridad de la información
TI.120.P01.A07
Resumen: Este documento presenta las políticas de seguridad de la información
que los usuarios deben seguir al hacer uso de los recursos tecnológicos de la
AGR.
“ESTAS NORMAS Y POLITICAS SON DE ESTRICTO CUMPLIMIENTO”
OFICINA DE PLANEACION
Bogotá, Octubre de 2017
Políticas de seguridad de la información Pág. 2 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
TABLA DE CONTENIDO
1 INTRODUCCIÓN ........................................................................................................................... 3
2 POLITICA DE SEGURIDAD DE LA INFORMACION ......................................................................... 3
3 NORMATIVIDAD .......................................................................................................................... 4
4 POLÍTICAS TECNICAS DE SEGURIDAD DE LA INFORMACIÓN ....................................................... 7
4.1 POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN .................................................... 7
4.2 POLÍTICA SOBRE USO DE CONTROLES CRIPTOGRÁFICOS Y GESTION DE LLAVES CRIPTOGRÁFICAS
9
4.3 POLÍTICA DE TRANSFERENCIA O INTERCAMBIO DE INFORMACIÓN ................................. 10
4.4 POLÍTICA DE USO DE DISPOSITIVOS MÓVILES .................................................................. 11
4.5 POLÍTICA PARA RELACIONES CON PROVEEDORES ............................................................ 13
4.6 POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA ..................................................... 15
4.7 POLÍTICA DE RESPALDO DE INFORMACIÓN ...................................................................... 16
4.8 POLÍTICA DE DESARROLLO SEGURO .................................................................................. 18
4.9 POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES ......................................................... 20
4.10 POLÍTICA DE USO DE SERVICIOS DE CORREO ELECTRÓNICO ............................................ 23
4.11 POLÍTICA DE USO DE SERVICIO DE ACCESO A INTERNET .................................................. 25
4.12 POLÍTICA DE USO ACEPTABLE DE ACTIVOS DE INFORMACIÓN ......................................... 28
5 DEFINICIONES ............................................................................................................................ 31
Políticas de seguridad de la información Pág. 3 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
1 INTRODUCCIÓN
La información es uno de los activos más importantes para cualquier institución, la pérdida
de este activo puede representar lesiones irreparables y en el peor de los casos la
desaparición de la misma Entidad.
Día tras día las amenazas a la seguridad de la información descubren e intentan
aprovechar las vulnerabilidades en los sistemas de información, la infraestructura y el
personal de las organizaciones. Estas situaciones representan sin duda alguna un alto
riesgo para la información que circula a lo largo y ancho de la entidad, por es fundamental
un proceso de identificación, gestión y tratamiento oportuno de los riesgos de seguridad
de la información.
Las políticas tecnológicas de seguridad y privacidad de la información de la Auditoría
General de la República, forman parte del sistema de gestión de calidad. Estas políticas
son mecanismos administrativos de control de los riesgos de seguridad de la información
y tienen como objetivo definir los requisitos para preservar la confidencialidad, integridad
y disponibilidad de la información de la Entidad frente a potenciales amenazas. Las
políticas son lineamientos generales que se traducen en procedimientos y controles
debidamente alineados a las necesidades y objetivos estratégicos de la Entidad.
El término política de seguridad se suele definir como el conjunto de requisitos definidos
por los responsables directos o indirectos de un sistema, que indica en términos generales
qué está y qué no está permitido en el área de seguridad durante la operación y uso
general de los recursos informáticos. Al tratarse de 'términos generales', aplicables a
situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política
para convertirlos en indicaciones precisas acerca de los qué es lo permitido y lo que es
denegado en cierta parte de las operaciones en un sistema o recurso
Las políticas deberán ser conocidas y cumplidas plenamente por todos los funcionarios,
contratistas y terceras partes de la Auditoría General de la República que tengan o
requieren tener acceso a la información de la Entidad o a sus sistemas de información.
El incumplimiento de las políticas de seguridad de la información puede conducir a riesgos
que derivan en pérdidas de confidencialidad, integridad o disponibilidad de la información
y en casos extremos a incidentes de seguridad de la información que dependiendo de su
severidad conducen a procesos administrativos, disciplinarios o legales según el impacto
del evento de seguridad provocado.
2 POLITICA DE SEGURIDAD DE LA INFORMACION
Políticas de seguridad de la información Pág. 4 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
En ejercicio de su función constitucional, la Auditoría General de la República reconoce la
importancia de preservar la seguridad de la información para lograr una efectiva vigilancia
de la función fiscal del estado colombiano, para lo cual se compromete en todos sus
niveles institucionales en la implementación de un sistema de gestión de seguridad de la
información que garantice un marco de confianza en el ejercicio de sus deberes con el
Estado y los ciudadanos y el estricto cumplimiento de las leyes, siempre en concordancia
con la misión y visión de la entidad.
La Auditoría General de la República identificará periódicamente las amenazas y
vulnerabilidades que puedan afectar sus objetivos institucionales, fijará objetivos de la
seguridad de la información e implementará los planes para el tratamiento de los riesgos
que puedan afectar la confidencialidad, integridad y disponibilidad de la información. El
sistema de gestión de seguridad de la información mejorará continuamente a través del
fortalecimiento de las capacidades de su talento humano, la innovación tecnológica, la
adecuada incorporación de la seguridad de la información a su sistema integrado de
gestión institucional y la búsqueda permanente de eficiencia administrativa.
3 NORMATIVIDAD
Las políticas de seguridad de la información de la Auditoría General de la República se
soportan en las siguientes normas.
Norma Objeto Referencia
Ley 87 de 1993 Por la cual se establecen normas para
el ejercicio del control interno en las
entidades y organismos del Estado y
se dictan otras disposiciones
Se entiende por control interno el sistema integrado
por el esquema de organización y el conjunto de
planes, métodos principios, normas, procedimientos
y mecanismos de verificación y evaluación
adoptados por cada entidad, con el fin de procurar
que todas las actividades operaciones y actuaciones,
así como la administración de la información y los
recursos, se realicen de acuerdo con las normas
constitucionales y legales vigentes dentro de las
políticas trazadas por la dirección y en atención a las
metas y objetivos previstos.
Ley 527 de 1999 Por medio de la cual se define y se
reglamenta el acceso y el uso de los
mensajes de datos
El mensaje de datos es “La información generada,
enviada, recibida, almacenada o comunicada por
medios electrónicos, ópticos o similares, como
pudieran ser, entre otros, el Intercambio Electrónico
de Datos, Internet, el correo electrónico, el
telegrama, el télex o el telefax”.
Ley 594 de 2000 Por medio de la cual se dicta la Ley
General de Archivo y se dictan otras
disposiciones
Responsabilidad “Los servidores públicos son
responsables de la organización, conservación, uso
y manejo de los documentos”
Administración y acceso. “Es una obligación del
Estado la administración de los archivos públicos y
Políticas de seguridad de la información Pág. 5 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Norma Objeto Referencia
un derecho de los ciudadanos el acceso a los
mismos, salvo las excepciones que establezca la
ley;”
Ley 734 de 2002 Por la cual se expide el Código
Disciplinario Único.
Art.34 Deberes son deberes de todo servidor público
“4. Utilizar los bienes y recursos asignados para el
desempeño de su empleo, cargo o función, o la
información reservada a que tenga acceso por razón
de su función, en forma exclusiva para los fines a que
están afectos. 5. Custodiar y cuidar la
documentación e información que por razón de su
empleo cargo o función conserve bajo su cuidado o
a la cual tenga acceso e impedir o evitar la
sustracción, destrucción, ocultamiento o utilización
indebidos”
La Ley 850 de 2003 Por medio de la cual se reglamentan
las veedurías ciudadanas.
Principio de Transparencia “A fin de garantizar el
ejercicio de los derechos, deberes, instrumentos y
procedimientos consagrados en esta ley, la gestión
del Estado y de las veedurías deberán asegurar el
libre acceso de todas las personas a la información
y documentación relativa a las actividades de interés
colectivo de conformidad con lo dispuesto en esta ley
y en las normas vigentes sobre la materia”.
Ley 1266 de 2008 Por la cual se dictan disposiciones
generales del hábeas data y se regula
el manejo de la información contenida
en bases de datos personales, en
especial la financiera, crediticia,
comercial, de servicios y la
proveniente de terceros países.
Principio de seguridad. La información que conforma
los registros individuales constitutivos de los bancos
de datos a que se refiere la ley, así como la
resultante de las consultas que de ella hagan sus
usuarios, se deberá manejar con las medidas
técnicas que sean necesarias para garantizar la
seguridad de los registros evitando su adulteración,
pérdida, consulta o uso no autorizado;
Ley 1221 de 2008 Por la cual se establecen normas para
promover y regular el Teletrabajo y se
dictan otras disposiciones
Teletrabajo. Es una forma de organización laboral,
que consiste en el desempeño de actividades
remuneradas o prestación de servicios a terceros
utilizando como soporte las tecnologías de la
información y la comunicación – TIC para el contacto
entre el trabajador y la empresa, sin requerirse la
presencia física del trabajador en un sitio específico
de trabajo.
Ley 1273 de 2009 Por medio de la cual se crea un nuevo
bien jurídico tutelado denominado “de
la protección de la información y de los
datos” y se preservan integralmente
los sistemas que utilicen las
tecnologías de la información y las
comunicaciones.
“De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos”
Ley 1581 de 2012 Por medio de la cual se dictan
disposiciones generales para la
Protección de Datos Personales
Se hace referencia, principalmente, al artículo 15 de
la Constitución Nacional en el cual se establece que
“todas las personas tienen derecho a su intimidad
personal y familiar y a su buen nombre, y el Estado
Políticas de seguridad de la información Pág. 6 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Norma Objeto Referencia
debe respetarlos y hacerlos respetar. De igual modo,
tienen derecho a conocer, actualizar y rectificar las
informaciones que se hayan recogido sobre ellas en
bancos de datos y en archivos de entidades públicas
y privadas. En la recolección, tratamiento y
circulación de datos se respetarán la libertad y
demás garantías consagradas en la Constitución…”.
Decreto 884 de
2012
Por medio del cual se reglamenta la
Ley 1221 de 2008 y se dictan otras
disposiciones.
El empleador debe informar al teletrabajador sobre
las restricciones de uso de equipos y programas
informáticos, la legislación vigente en materia de
protección de datos personales, propiedad
intelectual, seguridad de la información y en general
las sanciones que puede acarrear por su
incumplimiento.
Decreto 886 de
2014
Por el cual se reglamenta el artículo 25
de la Ley 1581 de 2012, en lo relativo
al Registro Nacional de bases de
datos.
Serán objeto de inscripción en el Registro Nacional
de Bases de Datos, “las bases de datos que
contengan datos personales cuyo Tratamiento
automatizado o manual se realice por personas
naturales o jurídicas, de naturaleza pública o privada,
en el territorio colombiano o fuera de él, en este
último caso, siempre que al Responsable del
Tratamiento o al Encargado del Tratamiento le sea
aplicable la legislación colombiana en virtud de
normas y tratados internacionales. Lo anterior sin
perjuicio de las excepciones previstas en el artículo
2° de la Ley 1581 de 2012”.
LEY 1712 DE 2014 Ley de Transparencia y del Derecho
de Acceso a la Información Pública
Hace referencia, principalmente, al artículo 74 de la
Constitución Nacional en el cual se establece que
“Todas las personas tiene derecho a acceder a los
documentos públicos salvo los casos que establezca
la ley”.
Decreto 103 de
2015
Por el cual se reglamenta
parcialmente la Ley 1712 de 2014 y se
dictan otras disposiciones
“La información pública que contiene datos
semiprivados o privados, definidos en los literales g)
y h) del artículo 3° de la Ley 1266 de 2008, o datos
personales o sensibles, según lo previsto en los
artículos 3° y 5° de la Ley 1581 de 2012 y en el
numeral 3° del artículo 3° del Decreto 1377 de 2013,
solo podrá divulgarse según las reglas establecidas
en dichas normas.”
Decreto 1078 de
2015
Por medio del cual se expide el
Decreto único reglamentario del
sector de Tecnologías de la
Información y las comunicaciones
Titulo 9, Políticas y Lineamientos de Tecnologías de
la Información.
Artículo 2.2.9.1.1.1. Define los lineamientos,
instrumentos y plazos de la estrategia de Gobierno
en Línea para garantizar el máximo
aprovechamiento de las Tecnologías de la
Información y las Comunicaciones, con el fin de
contribuir con la construcción de un Estado abierto,
más eficiente, más transparente y más participativo
y que preste mejores servicios con la colaboración
Políticas de seguridad de la información Pág. 7 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Norma Objeto Referencia
de toda la sociedad
4 POLÍTICAS TECNICAS DE SEGURIDAD DE LA INFORMACIÓN
4.1 POLÍTICA DE CONTROL DE ACCESO A LA INFORMACIÓN
OBJETIVO
Definir los lineamientos generales para controlar el acceso a la información, los activos y
sistemas informáticos de la Auditoría General de la República.
POLITICA
La gestión de seguridad de la información en la Auditoría General de la República, busca
reducir los riesgos que afectan la confidencialidad, integridad y disponibilidad de los
activos de información de la Entidad que se encuentran a cargo de sus funcionarios,
contratistas o terceros; para lograr este objetivo se han establecido controles que permitan
regular el acceso a las redes, datos e información, así como la implementación de
perímetros de seguridad para la protección de las instalaciones, especialmente, aquellas
clasificadas como áreas seguras, como lo son los centros de procesamiento de
información, áreas de almacenamiento de información física, cuartos de suministro de
energía eléctrica, aire acondicionado y otras áreas esenciales para el cumplimiento de las
funciones misionales de la entidad.
El acceso a la información, los sistemas de información y demás recursos de información
de la Entidad requiere de una autorización por parte del funcionario responsable de su
protección y salvaguarda. La Auditoría General de la República cuenta con procedimientos
para tramitar el acceso a la información y sus sistemas de información.
Una vez se aprueba el acceso a la información, los funcionarios y contratistas no deben
realizar modificaciones sobre la información sin la debida autorización, guardar
confidencialidad de la información a la cual tiene acceso, no vulnerar los controles de
seguridad establecidos y deben informar al Oficina de Planeación – Grupo Informática y
Sistemas sobre las debilidades o eventos de seguridad que detecten o sospechen.
La Auditoría General de la República lleva a cabo un control de acceso a la información
que tiene en cuenta los aspectos lógicos y físicos que permiten garantizar la trazabilidad
de las acciones realizadas, identificando, entre otros datos relevantes, quién realiza el
Políticas de seguridad de la información Pág. 8 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
acceso, las operaciones ejecutadas, fecha, hora, lugar, cantidad de intentos de acceso,
accesos denegados.
RESPONSABILIDADES
La información de naturaleza pública debe de estar disponible al ciudadano siempre
y cuando no esté sometida a reserva legal o existan restricciones para su acceso.
El acceso a la información y sistemas de información son controlados conforme a los
roles y responsabilidades de los funcionarios y contratistas. La autorización es
otorgada por los responsables de los activos de información. Los registros de acceso
y actividades desarrolladas podrán ser auditadas para propósitos de control e
investigación a los que haya lugar dentro de la naturaleza de la Auditoría General de
la República, y así mismo para minimizar el riesgo de la pérdida de integridad o
confidencialidad de la información.
Como responsables de la información, los funcionarios, contratistas y terceros de la
Auditoría General de la República deberán administrar y hacer cumplir las políticas y
controles de seguridad establecidos, con el fin de evitar accesos no autorizados,
pérdidas o utilización indebida de los activos de información.
Los funcionarios, contratistas y terceros tienen deben preservar la integridad,
confidencialidad y disponibilidad de la información, los activos y los sistemas
informáticos para los cuales han sido designados y autorizados, asegurándose que
estos solo sean utilizados para el desarrollo de las labores encomendadas dentro de
la Entidad.
Los accesos tanto físicos como lógicos, asignados a los funcionarios y contratistas
deberán ser desactivados o modificados una vez terminados los vínculos
contractuales.
Todos los usuarios tendrán un identificador único (ID del usuario) para su uso personal
que les permita validar los accesos y verificar su buen uso.
La Auditoría General de la República establece controles para restringir el acceso a
áreas de procesamiento de información, los visitantes a las áreas de procesamiento
de información deben estar acompañados por un funcionario responsable del área
durante la visita a las áreas de procesamiento de información.
Políticas de seguridad de la información Pág. 9 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Periódicamente y de acuerdo con el nivel de riesgos identificado, los responsables de
sistemas de información y áreas de procesamiento o almacenamiento de información
deben realizar revisiones de los derechos de acceso asignados a los usuarios de los
sistemas de información y áreas físicas.
4.2 POLÍTICA SOBRE USO DE CONTROLES CRIPTOGRÁFICOS Y GESTION DE LLAVES CRIPTOGRÁFICAS
OBJETIVO
Proteger la confidencialidad, autenticidad o integridad de la información de la Auditoría
General de la República a través de medios criptográficos.
POLITICA
La oficina de Planeación de la Auditoria General de la República, es la encargada de
definir los mecanismos de cifrado de información más apropiados frente a las
necesidades de la Entidad. Con base en el análisis de riesgos y considerando los criterios
de confidencialidad, integridad, autenticidad y no repudio en las comunicaciones o en el
tratamiento de la información, se adoptan los controles de cifrado y firma digital de datos
que reduzcan los riesgos de seguridad de la información. El uso de herramientas de
cifrado será autorizado conforme a los roles o responsabilidades de los funcionarios y
contratistas de la Entidad
Para establecer el sistema de cifrado, se tienen en cuenta la normatividad colombiana
vigente frente a la protección de los datos, estándares aplicables y la tecnología existente.
Las diferentes dependencias de la Auditoria General de la República, son las encargadas
de realizar la respectiva adquisición, creación, activación, distribución de dispositivos de
control criptográfico (token) para sus respectivas dependencias.
Las diferentes dependencias deben adoptar las medidas de seguridad recomendadas por
la Oficina de Planeación – Grupo de informática y sistemas para la protección y control
de los dispositivos de control criptográfico (token).
RESPONSABILIDADES
La solicitud de acceso o actualización al sistema o claves de cifrado se debe efectuar
de manera formal la Oficina de Planeación. Aquellas personas autorizadas deberán
velar por la conservación de la disponibilidad, integridad y confidencialidad de las
claves criptográficas, así como de la información a la cual se le haya aplicado algún
Políticas de seguridad de la información Pág. 10 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
proceso de cifrado. De igual modo, la información cifrada o descifrada deberá ser
tratada conforme a su nivel de clasificación y su eliminación deberá realizarse a través
de borrado seguro.
Los responsables del sistema de cifrado y de las claves criptográficas serán los
encargados de establecer los controles para asegurar el sistema y las claves, así
como gestionar el acceso sólo a los funcionarios, contratistas y terceros autorizados.
Las actividades relacionadas con la administración y eliminación de las claves
criptográficas deberán ser registradas por la persona encargada. Las claves serán
deshabilitadas cuando estas tengan riesgo de divulgación o cuando los funcionarios,
contratistas y terceros autorizados culminen la relación laboral o contractual con la
Entidad
Los funcionarios, contratistas y terceros tendrán la responsabilidad de reportar,
mediante las fallas reales o potenciales y los posibles riesgos del sistema de cifrado o
firma digital de datos.
4.3 POLÍTICA DE TRANSFERENCIA O INTERCAMBIO DE INFORMACIÓN
OBJETIVO
Definir las pautas generales para la protección de la información durante el intercambio
de la información entre los funcionarios, contratistas y terceros de la Auditoría General de
la República, y de la entidad con partes externas, preservando las características de
disponibilidad, integridad y confidencialidad.
POLITICA
La transmisión de la información perteneciente a la Auditoría General de la República se
controla según los niveles de clasificación legal de la información establecidos y las
políticas de seguridad de la Entidad. En caso de que se requiera intercambiar información
reservada o pública clasificada o sensible personal, se deben adoptar controles de cifrado
de información de acuerdo con lo establecido en la política de uso de controles
criptográficos.
Los intercambios de información con otras entidades o partes interesadas externas
deberán ser soportados formalmente, determinando en ellos los medios y controles en el
Políticas de seguridad de la información Pág. 11 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
tratamiento de la información. Así mismo, se firmarán acuerdos de confidencialidad que
garanticen la protección de la información durante y posterior al tiempo de ejecución de
las labores encomendadas.
La transmisión de la información se desarrollará teniendo en cuenta la normatividad
colombiana vigente, especialmente la relativa a la Ley de Habeas Data (Ley 1266 de
2008), la Ley de Protección de Datos Personales (Ley 1581 de 2012) y Ley de
Transparencia y Acceso a la información pública (Ley 1712 de 2014).
RESPONSABILIDADES
Todos los funcionarios, contratistas y terceros que tengan acceso a la información
de la Entidad, deben protegerla de divulgación no autorizada conforme a los
Procedimientos de Clasificación y Etiquetado de la Información definidos en el
Sistema de Gestión de Calidad.La información sólo podrá ser usada para las
actividades autorizadas dentro de los acuerdos suscritos entre La Auditoría General
de la República y las partes interesadas.
En los acuerdos que se establezcan para el intercambio de información, se deben
describir: las responsabilidades y procedimientos para la transferencia segura de la
información, el responsable y proceso a seguir en caso de presentarse un incidente
de seguridad y los niveles de clasificación de la información que se intercambia.
Para la transferencia de información se deben mitigar los riesgos asociados la
pérdida de confidencialidad, integridad o disponibilidad. Se deben emplear canales
de transmisión de datos (físicos o lógicos) que permitan brindar los niveles de
seguridad apropiados al tipo de información a transmitir y que preserven los niveles
de confidencialidad e integridad de la información.
Las partes interesadas en el intercambio de información deben establecer y firmar
acuerdos de confidencialidad en donde se incluyan las responsabilidades de las
partes y los controles para la protección de la información de acuerdo con el marco
legal que se aplique a la información a transmitir.
4.4 POLÍTICA DE USO DE DISPOSITIVOS MÓVILES
OBJETIVO
Garantizar la seguridad de la información en los dispositivos móviles cuando se
administre, transmita o almacene información de la Auditoría General de la República, y
Políticas de seguridad de la información Pág. 12 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
cuando estos se utilicen dentro de las redes de datos de la Auditoría General de la
República.
POLITICA
La Oficina de Planeación de la Auditoría General de la República es la responsable de
implementar las directrices necesarias para la autorización de acceso a los recursos y
activos de información a través de los dispositivos de tecnología móviles (computadores
portátiles, smartphone, tabletas, o cualquier equipo de dispositivos electrónicos con
capacidad de acceso a las redes). La autorización de conexión de dispositivos móviles a
las redes de datos de la Entidad, se realiza una vez se identifican, gestionan y mitigan los
riesgos de seguridad de la información asociados al uso de los dispositivos.
Los dispositivos móviles que se conecten a las redes de datos de la Entidad, solo deben
tener acceso a la información autorizada por parte de los responsables de los diferentes
procesos de la Entidad.
De acuerdo con los niveles de clasificación legal de la información almacenada en el
dispositivo móvil, se determinará la necesidad de aplicar controles de cifrado, de datos,
así como la ejecución de copias de respaldo periódicas.
En los dispositivos móviles de propiedad de la Auditoría General de la República no se
debe almacenar información de carácter personal sensible en los términos especificados
por la Ley 1581 de protección de datos personales.
RESPONSABILIDADES
La Oficina de Planeación, con la información suministrada de la Dirección de
Talento Humano o Grupo de Contratación, brindará o denegará el acceso a los
funcionarios, contratistas y terceros a la información o sistemas de información que
son accedidos a través de dispositivos móviles de acuerdo con los resultados del
análisis de riesgos que se realiza en conjunto con el responsable de la información
o el proceso.
En caso de extravió o hurto de un dispositivo móvil asignado por la Auditoría
General de la República, el funcionario, contratista o tercero será el responsable de
informar de manera inmediata la Oficina de Planeación del incidente.
Políticas de seguridad de la información Pág. 13 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
La oficina de Planeación debe seguir el procedimiento de atención de incidentes de
seguridad de la información y los procesos administrativos definidos por la Entidad
en caso de eventos de hurto o pérdida de dispositivos móviles que contengan
información institucional.
Los funcionarios que han sido dotados con dispositivos móviles de la entidad, no
podrán instalar software sin previa autorización y coordinación por La oficina de
Planeación, así mismo, no se deberá realizar conexiones externas a redes públicas
que no cuenten con protecciones de seguridad equivalentes a las definidas por la
oficina de Planeación de la Entidad.
La oficina de Planeación podrá realizar la desactivación, borrado y retiro de los
accesos del dispositivo móvil a los sistemas de información de la Auditoría General
de la República, cuando el dispositivo móvil haya sido extraviado, robado o haya
sido comprometida su seguridad.
La Oficina Planeación junto con la Dirección de Talento Humano realizará
campañas de sensibilización periódicas a los funcionarios, contratistas y terceros
de la Auditoría General de la República encaminadas al uso responsable de
dispositivos móviles.
Todos los funcionarios, contratistas y terceros autorizados deben cumplir las
políticas de seguridad de la información de la Entidad desde el momento en que se
les autoriza el uso de dispositivos móviles interconectados a las redes de datos de
la Entidad.
Los funcionarios deben proteger física y lógicamente los dispositivos móviles asignados y que son propiedad de la Entidad para evitar el hurto, acceso o la divulgación no autorizada de la información institucional.
4.5 POLÍTICA PARA RELACIONES CON PROVEEDORES
OBJETIVO
Preservar los niveles de seguridad y privacidad de los activos de información de la
Auditoría General de la República que sean accedidos o administrados por proveedores,
a través de la implementación de controles que minimicen los riesgos asociados a la
pérdida de confidencialidad, integridad o disponibilidad de la información.
Políticas de seguridad de la información Pág. 14 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
POLITICA
Cuando se requiera otorgar acceso la información, sistemas o activos de información de
la Entidad a los proveedores, el responsable del activo, con apoyo de la Oficina de
Planeación, debe realizar un análisis de riesgos con el fin de determinar los controles de
seguridad que preserven la confidencialidad, disponibilidad e integridad de la información.
Antes de autorizar el acceso a la información a un proveedor se debe validar los
antecedentes disciplinarios del proveedor conforme a los procedimientos establecidos por
La Auditoría General de la República, con el objetivo de garantizar el adecuado manejo
de la información.
En ningún caso se otorgará acceso a la información, sistemas de información o áreas
seguras de la Auditoría General de la República a proveedores, hasta no haber realizado
la adecuada gestión de los riesgos, formalizado la relación contractual y firmado el acuerdo
de confidencialidad.
Dentro de los acuerdos, contratos o convenios formalmente firmados entre la Auditoria
General de la República y los proveedores se deben definir claramente los requerimientos
de seguridad y privacidad tales como: información a tratar; niveles de clasificación,
finalidad del uso de la información, controles a tener en cuenta antes, durante y después
del tratamiento de los datos por parte del proveedor. En el caso de tratamiento de
información con carácter personal, se debe contar con la autorización de los titulares de
los datos.
Siempre que se otorgue acceso a la información de la Auditoría General de la República
a terceros, se establecerán acuerdos de confidencialidad que tengan como principio el
cumplimiento de las políticas de seguridad de la información de la Auditoría General de la
República y cláusulas requeridas para proteger la información a acceder.
RESPONSABILIDADES
Antes de otorgar los permisos de acceso a la información, el responsable del activo
debe determinar: las necesidades del acceso, el acceso requerido (físico o lógico),
el nivel de clasificación de la información a acceder, la finalidad de uso, los controles
mínimos a tener en cuenta frente al tratamiento de la información y el manejo que
el proveedor debe dar a los incidentes de seguridad de la información que se
puedan presentar con la información entregada.
Políticas de seguridad de la información Pág. 15 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
El responsable del activo de información, debe definir la finalidad de la autorización
de acceso a la información que se otorgue al proveedor y documentar la
autorización del acceso a los datos de acuerdo con el fin previsto.
Todos los funcionarios, contratistas y proveedores que tengan acceso a la
información deberán cumplir con las políticas de seguridad y privacidad de la
información, así mismo, en caso de que identifiquen una amenaza que pueda llegar
a vulnerar la información, deberán reportarla a la Oficina de Planeación.
El Responsable del activo de información no debe permitir el acceso a la
información hasta no tener firmados y formalizados, por medio de un contrato o
acuerdo con los proveedores, los fines de uso, condiciones de tratamiento, así
como la debida implementación de los controles requeridos para preservar las
características de confidencialidad, integridad y disponibilidad de la información.
Antes de brindar acceso a los activos de información, los proveedores deben
aceptar formalmente el cumplimiento de las políticas de seguridad y privacidad de
la información de la Auditoría General de la República.
4.6 POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA
OBJETIVO
Establecer los lineamientos generales para reducir los riesgos de acceso no autorizado,
pérdida o daño de información en escritorios y estaciones de trabajo durante o por fuera
de las horas laborales.
POLITICA
Para lograr un adecuado aseguramiento de la información los funcionarios, contratistas y
terceros de la Auditoría General de la República deberán adoptar buenas prácticas para
el manejo y administración de la información física y electrónica que se encuentra a su
cargo, con el fin de evitar que personas no autorizadas accedan a dicha información.
Se deben almacenar de forma segura documentos y elementos de almacenamiento
electrónico conforme los niveles de clasificación de la información para evitar accesos no
autorizados, pérdida o daño de la información en la jornada laboral o fuera de ella.
Políticas de seguridad de la información Pág. 16 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Cuando no estén en uso, los documentos que contienen información reservada o pública
clasificada deben ser almacenados en lugar seguro que impida el acceso a personal no
autorizado a los mismos.
RESPONSABILIDADES
La Oficina de Planeación es la encargada de establecer controles de bloqueo sobre
las sesiones de los usuarios para que el equipo se bloquee en un lapso de tiempo
determinado.
Los funcionarios, contratistas y terceros que tenga dentro de sus funciones la
atención al público, deberán almacenar los documentos y dispositivos de
almacenamiento bajo llave y ubicar el equipo de cómputo de tal forma que se evite
el acceso o revisión de la información por parte de los visitantes no autorizados.
Todos los funcionarios, contratistas y terceros deben adoptar las medidas de
seguridad aprobadas por la Entidad para prevenir el acceso no autorizado a
información electrónica o impresa cuando se deja desatendido el puesto de trabajo.
Durante los lapsos de tiempo en los que se dejen desatendidas las estaciones de
trabajo, los funcionarios deben bloquear la sesión del usuario para evitar que terceros
no autorizados accedan a la información contenida en el computador.
Al imprimir información reservada o pública clasificada, los documentos deberán ser
retirados de forma inmediata de las impresoras para evitar divulgación no autorizada
de la información.
Los archivos que contengan información reservada, pública clasificada o personal sensible deberán ser almacenados en forma que impida se el fácil acceso por terceros, de acuerdo con los resultados de la evaluación de riesgos, la información deberá ser cifrada para su protección.
4.7 POLÍTICA DE RESPALDO DE INFORMACIÓN
OBJETIVO
Definir los lineamientos generales para la generación, administración, retención y custodia
de las copias de respaldo, con el fin de preservar la disponibilidad e integridad de la
información de la Auditoria General de la República.
Políticas de seguridad de la información Pág. 17 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
POLITICA
La información requerida para el cumplimiento de las actividades misionales y los objetivos
estratégicos de la Entidad, debe ser respaldada conforme a los lineamientos legales,
técnicos, requisitos de las tablas de retención documental, la gestión de riesgos, así como
a los niveles de clasificación de la información. Los tiempos de preservación de las copias
de respaldo son definidos teniendo en cuenta los requerimientos anteriormente expuestos,
así como también la tecnología requerida para la restauración de la información contenida.
Las copias de respaldo deben ser almacenadas en lugares que tenga los debidos
controles de seguridad físicos y tecnológicos, que limiten el acceso sólo a las personas
autorizadas y garanticen la disponibilidad de la información.
Al cumplir el ciclo de vida útil de los medios de almacenamiento de las copias de respaldo,
los medios son inutilizados de forma segura, evitando la recuperación de la información
contenida y acceso por personas no autorizadas.
RESPONSABILIDADES
Las copias de respaldo deben ser almacenadas de forma segura por parte de la
oficina de Planeación, para garantizar que no sean manipuladas por personas no
autorizadas. La oficina de Planeación debe mantener un registro de todas las
actividades desarrolladas frente al tratamiento y manipulación de las copias de
respaldo para asegurar la trazabilidad de las mismas.
Los funcionarios, contratistas y terceros responsables de la infraestructura, sistemas
de información y Bases de datos requeridas para la operación de la Auditoría General
de la República, deben generar las respectivas copias de respaldo, estableciendo la
periodicidad, tipo de almacenamiento y registrando la información según lo
establecido dentro de la presente política.
Los encargados de las copias de respaldo deben velar porque la información sea
almacenada conforme a los lineamientos establecidos, de forma controlada y
conforme a las necesidades de la Auditoría General de la República. Así mismo
deberán realizar una prueba periódica de las copias con el fin validar el correcto
funcionamiento y la efectiva restauración.
La oficina de Planeación debe verificar que las copias de respaldo se realicen de
acuerdo con lo establecido y que las estrategias de protección de las copias de
Políticas de seguridad de la información Pág. 18 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
respaldo se ajusten a las necesidades y requerimientos de la Entidad y los
responsables de los procesos.
La oficina de Planeación debe realizar a intervalos planificados pruebas de
restauración de los datos para comprobar su correcto funcionamiento.
Los funcionarios, contratistas y terceros deben almacenar la información requerida para sus procesos operativos, en la ubicación establecida por La Oficina de Planeación dentro del servidor de almacenamiento, con el fin de garantizar la disponibilidad y posibilidad de realización de copias de respaldo de cada una de las áreas de trabajo compartidas de almacenamiento.
4.8 POLÍTICA DE DESARROLLO SEGURO OBJETIVO
Definir los lineamientos generales para el desarrollo, mantenimiento y adquisición de
software al interior de la Auditoría General de la República, con el fin de determinar los
controles de seguridad en el desarrollo de código fuente.
POLITICA
Para el desarrollo de software dentro de la Auditoría General de la República se debe
realizar un proceso de planificación de los desarrollos en donde se determine la respectiva
metodología a utilizar; las etapas de desarrollo; la estructura de componentes a elaborar,
los respectivos responsables, criterios de aceptación y las pruebas de funcionalidad y
seguridad teniendo en cuenta los requerimientos y el cumplimiento de los objetivos
estratégicos de la Entidad. Las etapas del desarrollo del software deben estar
debidamente documentadas con el objetivo de generar registros de trazabilidad frente a
los requerimientos, desarrollo y aceptación del software.
La identificación de las necesidades y requisitos de funcionalidad, calidad y seguridad, se
documentan entre el área solicitante y la oficina de Planeación de la Auditoria General de
la República. Los requerimientos del software se deben validar durante el proceso de
aceptación del desarrollo de software.
Para el desarrollo y puesta de producción del software, se deben usar ambientes
separados (lógica o fisicamente): uno para el desarrollo, uno para las pruebas y uno final
para la puesta en producción En los diferentes ambientes se deben establecer con claridad
los roles y responsabilidades de los usuarios con el fin de evitar modificaciones no
autorizadas del código fuente del software.
Políticas de seguridad de la información Pág. 19 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Los cambios requeridos sobre el software se deben controlar través de la metodología de
desarrollo de software que establezca el Grupo de Informática y Sistemas de la Oficina de
Planeación, la cual permite que se documenten y establezcan los requerimientos y los
niveles de aceptación del cambio. Dentro de los requerimientos de los cambios es
necesario analizar los riesgos asociados a la seguridad de la información y la identificación
de los controles a implementar para su adecuada gestión.
En el desarrollo de software es necesario establecer controles que permitan conservar la
seguridad y privacidad de la información; por lo tanto, es importante tener en cuenta los
mecanismos de acceso a la información, autenticación, detección de intrusos, cifrado de
datos, salvaguarda de confidencialidad, integridad, disponibilidad y protección de los datos
personales.
En el desarrollo de software se debe llevar a cabo un control de versiones con los
respectivos documentos de soporte, con el objeto de verificar el buen funcionamiento del
software y el respectivo control de su ciclo de vida.
En los procesos de desarrollo de software se deben establecer las condiciones para
transferencia de los derechos de propiedad intelectual del código fuente.
RESPONSABILIDADES
Las solicitudes de desarrollo de software deben ser realizadas por los responsables
de las áreas o procesos ante la oficina de Planeación.
Antes de iniciar el desarrollo de software, La Oficina de Planeación y las áreas
solicitantes del software deben acordar una metodología para hacer seguimiento al
desarrollo del software, igualmente deben definir los requisitos y productos a entregar,
responsabilidades, cronograma de desarrollo y requisitos de calidad y seguridad para
el software.
El área solicitante del software debe validar los criterios de aceptación
correspondientes a la funcionalidad y calidad para dar la aceptación formal del
desarrollo de software.
La oficina de Planeación de la Auditoria General de la República valida los criterios de
aceptación técnicos del software para dar la aceptación formal del desarrollo de
software incluyendo: interoperabilidad, buenas prácticas de programación y
Políticas de seguridad de la información Pág. 20 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
seguridad. La aceptación de los criterios está determinada por los resultados de las
pruebas propuestas sobre el software.
La Oficina de Planeación, lleva a cabo revisiones periódicas a los desarrollos de
software, con el propósito de garantizar que se estén desplegando los controles
conforme a lo establecido dentro de la fase de planeación.
4.9 POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
OBJETIVO
Establecer las medidas generales para garantizar los niveles de seguridad y privacidad
adecuados para la protección de datos personales, con el fin de evitar posibles
adulteraciones, pérdidas, consultas, usos o accesos no autorizados.
POLITICA
La Auditoría General de la República implementa una política de Tratamiento de la
información, en un lenguaje claro y sencillo, que ha sido puesta en conocimiento de los
Titulares y que incluye:
Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del
Responsable del tratamiento de los datos personales.
El tratamiento al cual son sometidos los datos y la finalidad del mismo, en caso que
el aviso de privacidad no informe específicamente el tipo de tratamiento realizado
por la Auditoría General de la República.
Derechos que asisten a los Titulares de la información.
El área o persona responsable de la atención de las consultas, peticiones y
reclamos ante la cual el Titular de la información puede ejercer sus derechos.
Procedimiento por medio del cual los titulares de la información puedan ejercer los
derechos a conocer, actualizar, rectificar, suprimir información y revocar la
autorización.
La Auditoría General de la República informa a los titulares de los datos acerca de los
mecanismos establecidos para la autorización del tratamiento de los datos personales los
cuales incluyen: medios técnicos, orales o por medio de conductas inequívocas que
Políticas de seguridad de la información Pág. 21 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
permitan determinar el otorgamiento de la autorización por parte del Titular. Los
Responsables del tratamiento de datos de la Auditoría General de la República conservan
el registro de la autorización de tratamiento de datos personales.
Los funcionarios, contratistas o terceros de la Auditoria General de la República sólo
recopilan la cantidad mínima de datos personales requerida para cumplir con los
propósitos de la Entidad o los requerimientos de los interesados. Dicho recaudo sólo se
realiza una vez que se obtiene la respectiva autorización por parte del Titular de los datos.
El Responsable de las bases de datos de la Auditoria General de la República adopta las
medidas necesarias para garantizar la seguridad de los datos de carácter personal y así
evitar su destrucción, alteración, pérdida o tratamiento no autorizado. Estas medidas
incluyen los mecanismos de seguridad físicos y lógicos más adecuados, de acuerdo con
el desarrollo tecnológico, de tal forma se garantiza la protección de la información
almacenada y el secreto profesional.
Las bases de datos que contienen datos personales, son administradas de tal modo que
se garantiza el respeto a derechos fundamentales como la intimidad, el buen nombre, y
en especial, el Habeas Data de los Titulares de los datos.
Ningún funcionario o contratista de la Auditoría General de la República debe retirar o
transmitir información que contenga datos personales sin la debida autorización expresa
del Responsable; y en caso de que se facilite información a terceros, se garantiza el buen
uso y se cuenta con el debido consentimiento para el tratamiento de los datos conforme a
su finalidad por parte el Titular de los datos. Los mecanismos de transferencia se realizan
a través de las políticas y procedimientos de seguridad y privacidad descritas las políticas
de seguridad de la información de la Auditoria General de la República.
Los responsables y encargados del tratamiento de los datos personales sólo pueden
recolectar, almacenar, usar o circular dichos datos durante el tiempo establecido para
cumplir las finalidades que se justificaron en el tratamiento. Por lo tanto, una vez se cumpla
con los objetivos y las finalidades del tratamiento, el Responsable y el Encargado deben
suprimir los datos personales que tengan en su posesión de una forma segura.
Los funcionarios, contratistas y terceros de la Auditoría General de la República no pueden
realizar el tratamiento de datos personales de niños, niñas y adolescentes, excepto
cuando se trate de datos públicos o se cuente con la autorización legal para su tratamiento.
En este caso, La Auditoría General de la República debe respetar los intereses y los
Políticas de seguridad de la información Pág. 22 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
derechos fundamentales, conforme a una autorización previa del representante legal de
cualquiera de ellos.
En el caso de que no sea posible poner a disposición del Titular de la información las
políticas de tratamiento, los responsables del tratamiento de datos informan por medio de
un Aviso de Privacidad al Titular sobre la existencia de las políticas y la forma en la cual
puede acceder a las mismas, en el momento en el que se vaya a realizar la recolección
de datos personales.
RESPONSABILIDADES
Los funcionarios, contratistas y terceros que tengan acceso a datos personales
tratados y administrados por La Auditoría General de la República, deben cumplir
con la política de protección de datos personales, haciendo uso de los controles y
medidas establecidas para la protección de la información conforme a su nivel de
clasificación.
El Responsable de las bases de datos que contengan información personal, debe
asegurar que antes de realizar cualquier tratamiento de los datos se cuenta con las
autorizaciones de los Titulares y los mecanismos de control para la protección de
la información.
Los funcionarios, contratistas y terceros deben evitar el acceso a los datos
personales para los cuales no se encuentren autorizados y en caso de que
observen violación o fallas de los mecanismos de control de seguridad y privacidad,
estos hechos deberán ser reportados a la Oficina de Planeación para determinar
las acciones de tratamiento del evento de seguridad.
En caso de que se requiera realizar transferencia de datos personales, se deberá
efectuar de acuerdo con el Procedimiento de Recepción y/o Transferencia de
Información de la Auditoría General de la República y los requisitos que defina la
Superintendencia de Industria y Comerció a través de la delegatura de protección
de datos personales.
Se debe realizar la actualización periódica de las listas de acceso de las personas
y funcionarios autorizados para efectuar cualquier tipo de tratamiento frente a los
datos personales. Así mismo se identificarán, de acuerdo con los niveles de
clasificación, los mecanismos apropiados para garantizar la seguridad de los datos
Políticas de seguridad de la información Pág. 23 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no
autorizado.
Una vez culmine el lapso de tiempo del tratamiento de los datos personales, el
Responsable de los mismos, deberá velar porque sean eliminados de forma
segura, para evitar su recuperación
4.10 POLÍTICA DE USO DE SERVICIOS DE CORREO ELECTRÓNICO
OBJETIVO
Definir las pautas generales para asegurar una adecuada protección de la información de
la Auditoria General de la República cuando se usa el servicio de correo electrónico por
parte de los usuarios autorizados.
POLITICA
El servicio de correo electrónico institucional debe ser utilizado exclusivamente para las
tareas propias de la función desarrollada por la Auditoria General de la República. El uso
del servicio de correo electrónico para actividades diferentes a las necesarias para el
cumplimiento de las funciones encargadas al funcionario, contratista o tercero requieren
autorización del responsable del proceso en el que trabaja la persona.
El uso del servicio de correo electrónico de la Auditoría General de la República para fines
personales no está autorizado.
Para la creación de la cuenta de correo electrónico se sigue el procedimiento de gestión
de cuentas de usuarios.
El servicio de correo electrónico oficial de la Auditoria General de la República es el
aprobado por la Oficina de Planeación. Los funcionarios, contratistas y terceros reconocen
y aceptan que los incidentes de seguridad de la información generados por el uso de
servicios de correo electrónico no autorizados serán de su entera responsabilidad.
Los correos electrónicos deben contener una nota de confidencialidad ubicada al final del
texto, después de la firma del mismo, este mecanismo es una medida preventiva de
divulgación no autorizada de contenidos de correo electrónico. La nota de confidencialidad
debe seguir el estándar definido por la Entidad.
Políticas de seguridad de la información Pág. 24 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Los siguientes usos del servicio de correo electrónico se consideran usos no autorizados
y pueden constituir un incidente de seguridad de la información que se gestionan de
acuerdo con los procedimientos adoptados por entidad:
Envío de correos masivos sin autorización oficial.
Envío, reenvío o intercambio de mensajes no deseados o considerados SPAM
Envío o intercambio de mensajes con contenido que atente contra la integridad de
las personas o instituciones, cualquier contenido que represente riesgo para la
seguridad de la información de la Entidad o esté prohibido por la leyes, regulaciones
o normas a las cuales está sujeta la entidad.
Creación, almacenamiento o intercambio de mensajes que violen las leyes de
material protegido por la ley de derechos de autor, normas sobre seguridad de la
información y protección de datos personales.
Crear, enviar, alterar, borrar mensajes suplantando la identidad de un usuario.
Abrir, usar o revisar indebidamente la cuenta de correo electrónico de otro usuario,
sin contar con la autorización formal del titular de la cuenta.
RESPONSABILIDADES
Todos los usuarios del servicio de correo electrónico deben cumplir las políticas de
seguridad de la información de la Auditoria General de la República
La Oficina de Planeación es la responsable de la gestión del servicio de correo
institucional
Los responsables de áreas o procesos deben tramitar la solicitud de asignación de
cuenta de correo electrónico para sus funcionarios o contratistas ante la oficina de
planeación.
Al finalizar su relación laboral todo funcionario, contratista o tercero que preste sus
servicios a la Entidad, debe realizar la devolución de la cuenta de usuario de correo
electrónico al responsable del proceso para el cual laboraba.
La Auditoría General de la República puede supervisar el uso del servicio de correo
electrónico para verificar que se está usando para el cumplimiento de las funciones
misionales de la Entidad. En los procesos de verificación de uso apropiado del
servicio de correo electrónico se respetarán los derechos a la privacidad e intimidad
del titular de la cuenta de correo electrónico.
Políticas de seguridad de la información Pág. 25 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
El acceso al servicio de correo electrónico debe ser autorizado por el responsable
del proceso al que pertenece el funcionario, contratista o tercero que presta sus
servicios a la Entidad.
En los casos en los que se requiera envío o recepción de información pública
clasificada con carácter reservado, el usuario del servicio de correo electrónico
debe solicitar el servicio de cifrado de datos a la Oficina de Planeación.
La clave de acceso al servicio de correo electrónico no debe ser divulgada a
ninguna persona, exhibirse en público y para su gestión se debe seguir los controles
de protección de contraseñas definidos por la Oficina de Planeación de la Entidad.
4.11 POLÍTICA DE USO DE SERVICIO DE ACCESO A INTERNET
OBJETIVO
Definir las pautas generales para asegurar una adecuada protección de la información de
la Auditoria General de la República cuando se hace uso del servicio de Internet por parte
de los usuarios autorizados.
POLITICA
El servicio de acceso a Internet debe utilizarse exclusivamente para las tareas propias de
la función desarrollada en la Auditoria General de la República, los usos diferentes a los
necesarios para el cumplimiento de las funciones de la Entidad son de entera
responsabilidad del usuario al que se le asigna la cuenta de acceso al servicio.
El acceso al servicio podrá ser asignado a las personas que tengan algún tipo de
vinculación con la Auditoria General de la República, ya sea como funcionario, contratista
o tercero. El acceso al servicio es solicitado por funcionarios de nivel directivo de la
Auditoria General de la República
Los servicios a los que un determinado usuario pueda acceder desde Internet dependerán
del rol que desempeña el usuario en la Entidad y para los cuales este formal y
expresamente autorizado.
Políticas de seguridad de la información Pág. 26 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Los siguientes usos del servicio de acceso a Internet se consideran usos no autorizados
y pueden constituir un incidente de seguridad de la información que se gestionan de
acuerdo con los procedimientos adoptados por la Entidad
No está autorizado el envío o descarga de información de sometida a derechos de
autor cuando no se tienen esos derechos (música, videos, obras literarias,
pictóricas, imágenes)
No está autorizado el envío, descarga o visualización de información con
contenidos que no forman parte de las actividades propias asignadas al usuario
No está autorizado el uso del servicio de acceso a Internet para actividades
comerciales personales.
No está autorizado el acceso a sitios de música, juegos, vídeos, u otros sitios de
entretenimientos on-line;
No está autorizado el acceso a sitios Web considerados como ilegales por la
normatividad colombiana, incluidos aquellos incluidos en la ley de delitos
informáticos y aquellos prohibidos por la Ley de Infancia y Adolescencia.
Todas las conductas definidas como delito informático en la ley 1273 de 2009 están
prohibidas y no se debe hacer uso del servicio de acceso a Internet de la Entidad
para fines no lícitos,
Está prohibido el uso del servicio de acceso a Internet de la Entidad para realizar o
propiciarla propaganda de productos o propaganda política.
No está autorizado el acceso a material pornográfico o a sitios Web de contenido
para adultos relacionados con desnudismo, erotismo o pornografía, salvo en los
casos que estén expresa y formalmente autorizados con apego a funciones
explícitamente definidas para el funcionario, caso particular de investigaciones en
procesos disciplinarios o administrativos, en dichos casos se debe gestionar los
mecanismos de acceso seguro en canales protegidos configurados por los
responsables de administración de tecnología durante el tiempo requerido para el
cumplimiento de la asignación.
No está autorizado el acceso a sitios Web de carácter discriminatorio, racista, o
material potencialmente ofensivo, prejuicios, menosprecio o acoso explícito.
RESPONSABILIDADES
Políticas de seguridad de la información Pág. 27 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Los funcionarios responsables de los procesos de la Entidad son los autorizados
para solicitar la creación, modificación o cancelación de las cuentas de acceso al
servicio de Internet
Todos los funcionarios y contratistas que, en el desarrollo de sus tareas habituales
u ocasionales, utilicen el servicio de acceso a Internet de la Entidad son
responsables del cumplimiento y seguimiento de las políticas de seguridad de la
información de la Auditoria General de la República.
Los responsables de la administración de las redes de acceso a Internet de la
Enidad, deben de implementar los controles necesarios para evitar la circulación
de información o contenidos desde Internet hacia la red de la Entidad que puedan
constituirse en riesgos para la seguridad de la Información.
Los responsables de la administración de las redes de acceso a Internet de la
Entidad deben implementar los controles de seguridad de la información que
reduzcan los riesgos de pérdida de confidencialidad, integridad y disponibilidad de
la información de la Entidad.
Todo usuario es responsable de informar de contenidos o acceso a servicios que
no le estén autorizados o no correspondan a sus funciones dentro de la Auditoria
General de la República.
Todo usuario es responsable tanto del contenido de las comunicaciones como de
cualquier otra información que se envíe desde la red de la Auditoria General de la
República o descargue desde Internet empleando la cuenta de acceso a Internet
que se le ha suministrado.
La Auditoría General de la República puede supervisar el acceso del servicio de
Internet para certificar que se está usando para el cumplimiento de las funciones
institucionales, en los procesos verificación del uso apropiado del servicio de
acceso a Internet se respetan los derechos a la intimidad y privacidad del titular de
la cuenta de acceso a Internet.
Cuando un funcionario o contratista al que le haya sido autorizado el uso de una cuenta servicio de Internet o de acceso a la red local de la Entidad finalice su vinculación con la Entidad, deberá seguir los procedimientos definidos por la Entidad para entregar su cuenta de usuario y accesos a servicios informáticos provistos por la Entidad.
Políticas de seguridad de la información Pág. 28 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
4.12 POLÍTICA DE USO ACEPTABLE DE ACTIVOS DE INFORMACIÓN
OBJETIVO
Definir las pautas para realizar un uso seguro y aceptable de los activos de información
de la Auditoria General de la República
POLITICA
Todo funcionario, contratista, tercero, proceso o sistema de información que realice
actividades para Auditoria General de la República debe tener acceso únicamente a la
información necesaria para el desempeño de las actividades que le han sido autorizadas,
de conformidad con el principio de “necesidad de conocer para para realizar la actividad”.
Todo acceso a la información debe cumplir con los requisitos legales, normativos,
reglamentarios, procedimentales o de cualquier otra índole que haya definido el
responsable de la información.
Todo acceso a la información debe ser autorizado formalmente por el área responsable
de la información. Para la autorización de acceso a la información se debe contemplar un
análisis previo de la justificación de la necesidad de uso de la misma y las actividades a
realizar con el acceso a la información.
Todo acceso a la información debe considerar el nivel de clasificación legal según el
procedimiento de clasificación de la información de la Entidad
Todas las actividades de administración, operación y uso de la información y de sus
activos asociados deben estar orientadas a garantizar la prestación de los servicios
necesarios para el cumplimiento de la misión de la Entidad, los usos diferentes deben ser
formalmente autorizados, tal y como lo establece la ley 734 de 2002, por la cual se expide
el Código Disciplinario Único. “Artículo 34, Deberes. Numeral 4: Utilizar los bienes y
recursos asignados para el desempeño de su empleo, cargo o función, las facultades que
le sean atribuidas, o la información reservada a que tenga acceso por razón de su función,
en forma exclusiva para los fines a que están afectos.”
Todos los funcionarios y contratistas de la Auditoria General de la República deben
reportar sin demoras injustificadas a los responsables de sus áreas, a los responsables
de los procesos o a la oficina de Planeación cualquier evento que pueda afectar la
integridad, disponibilidad o confidencialidad de cualquier activo de información de la
Entidad.
La oficina de Planeación debe generar y conservar un registro detallado de todos los
eventos de seguridad que sucedan sobre los diferentes activos de información su cargo.
Políticas de seguridad de la información Pág. 29 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Todos los funcionarios y contratistas de la Entidad deben aplicar el procedimiento
institucional de gestión de riesgos para identificar y tratar los riesgos que puedan afectar
a sus activos de información. Cada responsable de proceso o área debe coordinar la
aplicación del procedimiento institucional de gestión de riesgos sobre los activos a su
cargo.
Las modificaciones a los activos de la Entidad, deben cumplir con los procedimientos para
la gestión del cambio definidos por el sistema de gestión de calidad de la Entidad
Todos los funcionarios de la Auditoria General de la República deben aplicar los controles
de seguridad de la Información definidos el sistema de gestión de Calidad para reducir los
riesgos que afectan a la seguridad de la información.
Todos los funcionarios de la Entidad se comprometen a cumplir las leyes, normas,
políticas, directrices y procedimientos a los que está sometida la Entidad para la protección
de la información a su cargo.
Las siguientes actividades sobre los activos de información de la Auditoria General de la
República se consideran usos no autorizados y pueden constituir un incidente de
seguridad de la información que se gestionan de acuerdo con los procedimientos
adoptados por la Auditoria General de la República:
Modificación de la información sin contar con la autorización formal para dichas
modificaciones
Divulgación no autorizada de información
Impedir el acceso a la información sin justificación real
Modificación o Eliminación de los controles de seguridad que protejan la
información
Cualquier acción sobre la información considerada como ilegal o no autorizada por
las leyes, regulaciones, normas o procedimientos a los que está sometida la
Entidad
Utilizar la información de la Entidad para fines personales o diferentes a los
requeridos para el cumplimiento de las funciones asignadas o el cumplimiento de
las funciones de la Entidad.
RESPONSABILIDADES
Los administradores de equipos informáticos Entidad deben:
Políticas de seguridad de la información Pág. 30 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Mantener y aplicar los procedimientos de operación de los equipos o servicios
informáticos definidos por el sistema de gestión de seguridad de la Información.
Aplicar y mantener los acuerdos de confidencialidad sobre la información a su cargo
Mantener actualizado el registro de riesgos que afecte a los activos bajo su
responsabilidad.
Reportar lo cambios que sucedan sobre los activos a su cargo ante los
responsables de áreas o procesos
Aplicar los procedimientos que defina el sistema de gestión de calidad de la Entidad
para el acceso de terceros a los componentes a su cargo en situaciones como
mantenimiento o garantía.
Mantener de registros del desempeño de los equipos o servicios a su cargo.
Mantener de registros que muestren las actividades realizadas por los
administradores o los operadores de los equipos o servicios a su cargo.
Mantener de los registros de las fallas sobre los equipos o servicios a su cargo
Mantener registros de los usuarios a los cuales se les ha otorgado acceso a cada
activo, servicio o componente.
Realizar una revisión periódica de los privilegios de acceso otorgados a los usuarios
de los servicios o componentes a su cargo.
Coordinar la aplicación de los procedimientos definidos en el sistema de gestión de
Calidad para la asignación de cuentas de usuario y contraseñas de acceso a
servicios y componentes
En coordinación con los responsables de los procesos y áreas de la Auditoria
General de la República aplicar las medidas de mitigación que se definan en el
sistema de gestión de Calidad para contrarrestar las vulnerabilidades que se
identifiquen sobre los componentes o servicios de tecnología.
Mantener y aplicar de los procedimientos de respaldo de la información.
Mantener, Mejorar y probar periódicamente los procedimientos de contingencia,
recuperación ante desastres y continuidad en la prestación de servicios de
tecnología.
Políticas de seguridad de la información Pág. 31 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Implementar, mantener y mejorar de los controles de protección física lógica o
procedimental que defina el sistema de gestión de Calidad para la protección de
los activos de información, componentes o servicios a su cargo.
Implementar, preservar y garantizar la seguridad de la información referente a la
configuración de los diversos componentes o servicios de información y tecnología
de la Entidad que estén a su cargo
Las actividades de administración y operación de equipos y servicios de tecnología
de la Entidad deben estar orientadas a garantizar los servicios necesarios para el
cumplimiento de la misión de la entidad.
5 DEFINICIONES
Activo: en relación con la seguridad de la información, se refiere a cualquier
información o elemento relacionado con el tratamiento de la misma (sistemas,
soportes, edificios, personas, etc.) que tenga valor para la organización.
Amenaza: causa potencial de un incidente no deseado, que pueda provocar
daños a un sistema o a la organización.
Amenaza informática: la aparición de una situación potencial o actual donde un
agente tiene la capacidad de generar una agresión cibernética contra la
población, el territorio y la organización política del Estado (Auditoría General de
la República de Defensa de Colombia).
Análisis de riesgos: proceso para comprender la naturaleza del riesgo y
determinar su nivel de riesgo.
Autenticación: provisión de una garantía de que una característica afirmada por
una entidad es correcta.
Autenticidad: Propiedad de que una entidad es lo que afirma ser. (ISO
27000.es, 2012).
Ciberseguridad: capacidad del Estado para minimizar el nivel de riesgo al que
están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza
cibernética.
Políticas de seguridad de la información Pág. 32 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Ciberespacio: ámbito o espacio hipotético o imaginario de quienes se
encuentran inmersos en la civilización electrónica, la informática y la cibernética.
(CONPES 3701).
Confidencialidad: propiedad de la información de no ponerse a disposición o
ser revelada a individuos, entidades o procesos no autorizados.
Clave (Llave) Criptográfica Una clave, palabra clave o clave criptográfica es
una pieza de información que controla la operación de un algoritmo de
criptografía. Habitualmente, esta información es una secuencia de números o
letras mediante la cual, en criptografía, se especifica la transformación del texto
plano en texto cifrado, o viceversa.
Control: las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. Control también es utilizado
como sinónimo de salvaguarda o contramedida, es una medida que modifica el
riesgo.
Custodio de activo de información: identifica a un individuo, un cargo, proceso
o grupo de trabajo designado por la entidad, que tiene la responsabilidad de
administrar y hacer efectivo los controles que el propietario del activo haya
definido, con base en los controles de seguridad disponibles en la entidad.
Datos abiertos: son datos primarios o sin procesar. Los cuales son puestos a
disposición de cualquier ciudadano. Con el fin de que terceros puedan
reutilizarlos y crear servicios derivados de los mismos.
Datos biométricos: parámetros físicos únicos de cada persona que
comprueban su identidad y se evidencian cuando la persona o una parte de ella
interacciona con el sistema (ej. huella digital o voz).
Dato personal: Es cualquier pieza de información vinculada a una o varias
personas determinadas o determinables o que puedan asociarse con una
persona natural o jurídica. Los datos personales pueden ser públicos,
semiprivados o privados. Ley 1266/2008
Datos personales sensibles: se entiende por datos sensibles aquellos que
afectan la intimidad del Titular o cuyo uso indebido puede generar su
discriminación, tales como aquellos que revelen el origen racial o étnico, la
orientación política, las convicciones religiosas o filosóficas, la pertenencia a
Políticas de seguridad de la información Pág. 33 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
sindicatos, organizaciones sociales, de derechos humanos o que promueva
intereses de cualquier partido político o que garanticen los derechos y garantías
de partidos políticos de oposición así como los datos relativos a la salud, a la
vida sexual y los datos biométricos.
Dato privado: es el dato que por su naturaleza íntima o reservada sólo es
relevante para el titular.
Dato público: es el dato calificado como tal según los mandatos de la ley o de
la Constitución Política y todos aquellos que no sean semiprivados o privados,
de conformidad con presente ley. Son públicos, entre otros, los datos contenidos
en documentos públicos, sentencias judiciales debidamente ejecutoriadas que
no estén sometidos a reserva y los relativos al estado civil de las personas.
Dato semiprivado: es semiprivado el dato que no tiene naturaleza íntima,
reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo
a su titular sino a cierto sector o grupo de personas o a la sociedad en general,
como el dato financiero y crediticio de actividad comercial o de servicios.
Disco duro: disco de metal cubierto con una superficie de grabación ferro
magnético. Haciendo una analogía con los discos musicales, los lados planos de
la placa son la superficie de grabación, el brazo acústico es el brazo de acceso
y la púa (aguja) es la cabeza lectora/grabadora. Los discos magnéticos pueden
ser grabados, borrados y re-grabados como una cinta de audio.
Disponibilidad: propiedad de la información de estar accesible y utilizable
cuando lo requiera una entidad autorizada.
Documento en construcción. Son documentos que no cumplen las
condiciones de ser documentos públicos si es información preliminar y no
definitiva, propia del proceso deliberatorio de un sujeto obligado en su calidad de
tal. De acuerdo con la Sentencia C-274-13 de 5 de marzo de 2014, un sujeto
obligado puede mantener la reserva sobre información preliminar, dependiendo
de que esta reserva obedezca a (i) un fin constitucionalmente legítimo (ii) la
medida resulte ser razonable, proporcionada y necesaria.
Evento de seguridad de la información: ocurrencia identificada de estado en
un sistema de información, servicio o red que indica una posible brecha de
seguridad, falla de un control o una condición no identificada que puede ser
relevante para la seguridad de la información.
Políticas de seguridad de la información Pág. 34 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Gestión de claves: son controles que realizan mediante la gestión de claves
criptográficas.
Gestión de incidentes de seguridad de la información: procesos para
detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de
seguridad de la información.
Gestión de riesgos: actividades coordinadas para dirigir controlar una
organización con respecto al riesgo. Se compone de la evaluación y el
tratamiento de riesgos.
Habeas data: derecho a acceder a la información personal que se encuentre en
archivos o bases de datos; implica la posibilidad de ser informado acerca de los
datos registrados sobre sí mismo y la facultad de corregirlos.
Información. Se refiere a un conjunto organizado de datos contenido en
cualquier documento que los sujetos obligados generen, obtengan, adquieran,
transformen o controlen Ley 1712/2014
Información pública, Es toda información que un sujeto obligado genere,
obtenga, adquiera, o controle en su calidad de tal, Ley 1712/2014.
Información pública clasificada. Es aquella información que estando en poder
o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio,
particular y privado o semiprivado de una persona natural o jurídica por lo que
su acceso podrá ser negado o exceptuado, siempre que se trate de las
circunstancias legítimas y necesarias y los derechos particulares o privados
consagrados en el artículo 18 de la ley 1712/2014;
Información pública reservada. Es aquella información que estando en poder
o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso
a la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad
de los requisitos consagrados en el artículo 19 de la ley 1712;
Impacto: el coste para la empresa de un incidente -de la escala que sea-, que
puede o no ser medido en términos estrictamente financieros -p.ej., pérdida de
reputación, implicaciones legales, etc.
Incidente de seguridad de la información: evento único o serie de eventos de
seguridad de la información inesperados o no deseados que poseen una
Políticas de seguridad de la información Pág. 35 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
probabilidad significativa de comprometer las operaciones del negocio y
amenazar la seguridad de la información.
Integridad: la propiedad de salvaguardar la exactitud y complejidad de la
información.
Inventario de activos: lista de todos aquellos recursos (físicos, de información,
software, documentos, servicios, personas, intangibles, etc.) dentro del alcance
del SGSI, que tengan valor para la organización y necesiten por tanto ser
protegidos de potenciales riesgos. (ISO 27000.es, 2012)
Llave criptográfica. Ver clave criptográfica.
No repudio: servicio de seguridad que previene que un emisor niegue haber
remitido un mensaje (cuando realmente lo ha emitido) y que un receptor niegue
su recepción (cuando realmente lo ha recibido). (ISO-7498-2).
Parte interesada (Stakeholder): persona u organización que puede afectar a,
ser afectada por o percibirse a sí misma como afectada por una decisión o
actividad.
Plan de continuidad del negocio: plan orientado a permitir la continuidad de
las principales funciones misionales o del negocio en el caso de un evento
imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos: documento que define las acciones para
gestionar los riesgos de seguridad de la información inaceptables e implantar los
controles necesarios para proteger la misma.
Proceso: conjunto de actividades interrelacionadas o interactuantes que
transforman unas entradas en salidas. (ISO 27000.es, 2012)
Propietario de activo de información: identifica a un individuo, un cargo,
proceso o grupo de trabajo designado por la entidad, que tiene la responsabilidad
de definir los controles, el desarrollo, el mantenimiento, el uso y la seguridad de
los activos de información asignados.
Riesgo: posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consideraciones. (ISO Guía 73:2002).
Políticas de seguridad de la información Pág. 36 de 36
TI.120.P01.A02 Versión 1.0 06/10/2017
Responsable del tratamiento: persona natural o jurídica. Pública o privada.
Que por sí misma o en asocio con otros. Decida sobre la base de datos y/o el
Tratamiento de los datos.
Segregación de tareas: reparto de tareas sensibles entre distintos empleados
para reducir el riesgo de un mal uso de los sistemas e informaciones deliberado
o por negligencia.
Seguridad de la información: preservación de la confidencialidad, integridad y
disponibilidad de la información.
Titular de la información: es la persona natural o jurídica a quien se refiere la
información que reposa en un banco de datos y sujeto del derecho de hábeas
data y demás derechos y garantías a que se refiere la presente ley.
Token: Mecanismo equivalente a la firma manuscrita que garantiza la identidad
y responsabilidad del autor de un documento o transacción electrónica, así como
permite comprobar la integridad del mismo, es decir que la información no ha
sido alterada.
Trazabilidad: cualidad que permite que todas las acciones realizadas sobre la
información o un sistema de tratamiento de la información sean asociada de
modo inequívoco a un individuo o entidad.
Vulnerabilidad: debilidad de un activo o control que pueda ser explotado por
una o más amenazas. (ISO 27000.es, 2012).