MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

Transcripción

1 MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012 Página 1 de 17

2 TABLA DE CONTENIDO INTRODUCCIÓN OBJETIVO ALCANCE DEFINICIONES POLÍTICAS Título de la política General: Política General de Seguridad de la Información Titulo de la política: Gestión de Seguridad de la Información GSI Titulo de la política: Organización para la seguridad en información Título de la política: Propiedad de la información Título de la política: Gestión de Riesgos Título de la política: Gestión de activos de información Título de la política: Responsabilidad frente a la seguridad Título de la política: Seguridad con el personal Título de la política: Seguridad física Título de política: Administración de redes y computadores Título de política: Control de acceso Título de política: Uso y protección de los recursos Título de política: Adquisición, desarrollo y mantenimiento de software Título de política: Gestión de Incidentes Título de la política: Continuidad del Negocio Título de la política: Cumplimiento de Normatividad Legal Título de la política: Manejo de Correo Electrónico Título de la política: Manejo de Internet Página 2 de 17

3 INTRODUCCIÓN Este documento recopila las Políticas de Seguridad de los Activos de Información definidas por el Ministerio de Minas y Energía y por tanto es el núcleo principal para la protección de la información en el Ministerio. Las políticas expresadas en este documento son la base para la implantación de normas y procedimientos, y así garantizar la seguridad de la información en el Ministerio de Minas y Energía en los servicios administrados por el Grupo de Tecnologías de Información y Comunicación en el marco del Sistema de Gestión de Seguridad de la Información. La implantación de nuevas herramientas de hardware y software, de sistemas de información y de otros recursos de información deben cumplir con las políticas definidas en este documento, con el objeto de proteger la información.. Página 3 de 17

4 1. OBJETIVO El Grupo de Tecnologías de Información y Comunicación del Ministerio de Minas y Energía, basa la administración de Seguridad de los Activos de Información en las políticas contenidas en este documento y por lo tanto, el mismo se constituye en la normativa que regula toda la administración de la Seguridad de los Activos de Información. Con su divulgación se busca que toda comunidad de servidores públicos, contratistas, y directivos conozcan ese marco normativo para que de forma individual y colectiva, brinden su apoyo para la administración, utilización y disponibilidad de información con niveles adecuados de seguridad. Este documento permite establecer las políticas sobre las cuales se debe direccionar el desarrollo de la seguridad de información del Ministerio de Minas y Energía y los principios de actuación de todo el personal que tenga acceso o responsabilidades sobre la información en ésta entidad. Página 4 de 17

5 2. ALCANCE Una política de seguridad es una regla de definición general, independiente de los ambientes tecnológicos, que representa los objetivos sobre los que se sustenta el Modelo de Seguridad de los Activos de Información. Debe cumplir con una directriz de la entidad en general, debe revisarse y está sujeta a modificaciones ante cambios estructurales. Para la definición de estas políticas se ha buscado cubrir todos los aspectos administrativos y de control que deben acatar tanto el Grupo de Tecnologías de Información y Comunicación, responsable del aspecto tecnológico de Seguridad de los Activos de Información como el resto de personal que labore para el Ministerio de Minas y Energía, contratistas y entidades que utilizan los servicios provistos por el Ministerio, con el fin de lograr un adecuado nivel de confidencialidad, integridad, disponibilidad y auditabilidad en la infraestructura de información. El Ministerio de Minas y Energía debe dotar al Grupo de Tecnologías de Información y Comunicación, encargado de la Seguridad de los Activos de Información, de los recursos humanos y técnicos necesarios para llevar a cabo la completa difusión y entendimiento de las políticas de Seguridad de los Activos de Información, por parte de toda la entidad. Éste documento aplica a todos los servidores públicos, contratistas y entidades con acceso a información del Ministerio de Minas y Energía de los servicios prestados por el Grupo de Tecnologías de Información y Comunicación. Página 5 de 17

6 3. DEFINICIONES Información: Datos relacionados que tienen significado para la organización 1. Además, es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la organización y, en consecuencia, necesita una protección adecuada 2. Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información. Confidencialidad: Aseguramiento de que la información es accesible sólo para quienes están autorizados. Integridad: Salvaguardia de la exactitud y completitud de la información y sus métodos de procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando lo requieran. 1 Adaptado y traducido de Principles of Information Warfare. Hutchinson W, Warren M. Journal of Information Warfare, Tomado de NTC ISO/IEC 17799:2005 Página 6 de 17

7 4. POLÍTICAS 4.1 Título de la política General: Política General de Seguridad de la Información El Ministerio de Minas y Energía reconoce la información como un activo estratégico para el cumplimiento de su misión y por lo tanto se compromete a su cuidado y manejo apropiado, a fin de identificar y mitigar los riesgos de la información institucional, disponiendo herramientas y recursos requeridos para ello. 4.2 Titulo de la política: Sistema de Gestión de Seguridad de la Información SGSI. El Ministerio de Minas y Energía estableció como mecanismo de mejora continua para la protección de la información, la Gestión de Seguridad de la Información basado en la norma ISO con el fin de definir el marco general sobre el cual se realiza la gestión para la protección de la información del Ministerio. En este sentido, se tiene: 1. El Grupo de Tecnologías de Información y Comunicación es responsable de implantar, mantener, operar y actualizar las políticas de seguridad de la información para el Ministerio. 2. La asignación de los recursos necesarios que permitan tratar los riesgos de la organización de acuerdo a los niveles aceptables establecidos. 3. Hacer seguimiento y tomar las acciones tanto preventivas como correctivas necesarias para mantener la protección de la información en el Ministerio. Página 7 de 17

8 4.3 Titulo de la política: Organización para la seguridad en información El Ministerio de Minas y Energía Grupo de Tecnologías de Información y Comunicación debe garantizar que las responsabilidades para la gestión de la seguridad de los activos de información estén claramente asignadas en todos los niveles organizacionales. Para el desarrollo de las actividades se deben establecer y hacer cumplir los lineamientos de la entidad en la materia, así como revisar las incidencias y acciones a tomar en el Ministerio de Minas y Energía. La alta dirección debe soportar al Coordinador del Grupo de Tecnologías de Información y Comunicación y su equipo de trabajo en la implementación de las diferentes iniciativas de seguridad de la información. 4.4 Título de la política: Propiedad de la información El Ministerio de Minas y Energía establece la propiedad sobre los activos de información que está relacionada con su actividad. Los activos de información que son propiedad del Ministerio de Minas y Energía, es entregada para su uso, operación o custodia a los servidores públicos, contratistas o terceros, de acuerdo a la función específica y necesidades del trabajo a realizar de acuerdo a lo establecido en el Ministerio, sin que esto altere en ningún momento la propiedad de los mismos que seguirá estando a nombre del Ministerio. El Ministerio para su marco de gestión podrá establecer o designar a servidores públicos de la entidad como propietarios de un activo de información, esto se realiza únicamente, con el fin de asignar las responsabilidades operativas y de Página 8 de 17

9 custodia sobre los diferentes activos, sin perjuicio a perder la propiedad de la información como entidad. 4.5 Título de la política: Gestión de Riesgos El Ministerio de Minas y Energía deberá realizar todas las acciones tendientes a minimizar los riesgos de la entidad, especialmente los relacionados con la información de la organización. En este sentido, establece un marco gestión de riesgos tomando como base la metodología establecida. Así mismo, en este marco, el Ministerio se compromete a seguir un proceso continuo de revisión de los riesgos de seguridad en el marco de la Gestión de Seguridad de la Información con el fin de evaluar los activos de información identificados y sus medios de procesamiento que se encuentran gestionando la prestación de los servicios del Grupo con el fin de llevar los riesgos que afectan a la organización a los niveles esperados establecidos. Este proceso incluye como mínimo etapas de: Identificación de vulnerabilidades y amenazas sobre los activos de información. Identificación de Riesgos, Evaluación de Riesgos Monitoreo Planes de Acción / Tratamiento Criterios de Aceptación de riesgos 4.6 Título de la política: Gestión de activos de información Toda la información de los procesos del Ministerio de Minas y Energía, así como los activos donde ésta se almacena y se procesa deben ser: Inventariados Asignados a un responsable, Página 9 de 17

10 Protegidos y clasificados. De acuerdo con la clasificación se deben establecer los niveles de protección orientados a determinar a quién se le permite el manejo de la información, el nivel de acceso a la misma y los procedimientos para su manipulación. La clasificación debe revisarse periódicamente y cuando se presenten cambios en la información o en la estructura que puedan afectarla. Se designa la responsabilidad a cada funcionario del Ministerio de la protección de la información que se encuentra a su cargo o aquella sobre la cual tiene acceso de acuerdo a las funciones propias definidas en el objetivo de la misma, de tal forma que se mantengan los niveles de protección a lo largo del ciclo de vida de la información en el ámbito del Ministerio. 4.7 Título de la política: Responsabilidad frente a la seguridad La seguridad de información es una obligación y responsabilidad de todos y cada uno de los servidores públicos del Ministerio en su día a día. El Ministerio establece para todos los involucrados, los roles y responsabilidades frente a la protección de la información. Los usuarios y custodios de los activos de información del Ministerio de Minas y Energía son responsables por el uso apropiado, protección y privacidad de estos activos. Los sistemas de información del Ministerio generarán y mantendrán un apropiado registro de logs de auditoría para identificar usuarios, y documentar los eventos relacionados con eventos de seguridad. 4.8 Título de la política: Seguridad con el personal Desde el planteamiento de la vinculación del personal para apoyar actividades del Grupo de Tecnologías de Información y Comunicación, se deben tener controles y medidas administrativas que permitan verificar no sólo la idoneidad del personal a Página 10 de 17

11 contratar en un cargo específico, sino también: su identidad, ética profesional y conducta. Los términos y condiciones de empleo deben incluir y establecer el rol y la responsabilidad del servidor público por la seguridad de información del Ministerio y el ejercicio de su cargo, así como aceptación del marco normativo y legal definido en el Ministerio y aclarar que estos elementos van más allá de la finalización de la relación laboral, asimismo, se debe garantizar el entendimiento de dichos términos por el servidor público mediante la firma de un acuerdo de confidencialidad, el cual se hace extensivo a aquellos contratistas y terceros que tengan acceso a la información del Ministerio de Minas y Energía. Se deben establecer mecanismos de divulgación y capacitación en seguridad de la información y de los diferentes procedimientos frente a la protección de la información. Los servidores públicos deben cooperar en los esfuerzos por proteger la información y son responsables de actualizarse en la materia, así como consultar con el encargado de la seguridad de la información en la entidad en caso de duda o desconocimiento de un procedimiento formal, ya que esto no lo exonerará del proceso disciplinario correspondiente a violaciones de las directrices o normas de seguridad. 4.9 Título de la política: Seguridad física Se deberá dar tratamiento a amenazas tales como acceso no autorizado, robo, pérdida, daño, entre otros (riesgos físicos y ambientales) que puedan afectar los activos de información, medios de procesamientos y comunicaciones así como las instalaciones donde que se encuentran ubicados. Deben establecerse y mantenerse áreas seguras para la gestión, almacenamiento y procesamiento de información y sus medios de procesamiento ubicadas en el Ministerio especialmente aquellos espacios físicos que ocupa el Grupo de Tecnologías de Información y Comunicación. Página 11 de 17

12 Estas áreas deben contar con protecciones físicas y ambientales acordes con los activos que protegen, incluyendo perímetros de seguridad, controles de acceso físicos, controles especiales en áreas de mayor sensibilidad, seguridad de los equipos, seguridad en el suministro eléctrico y cableado, condiciones ambientales de operación y sistemas de contención, detección y extinción de incendios adecuados, que preserven el medio ambiente. Esta seguridad debe conservarse en los momentos de mantenimiento, cuando la información o los equipos que la contienen salen de la entidad o cuando se eliminan o dan de baja Título de política: Administración de redes y computadores Deben documentarse los procedimientos y responsabilidades de administración y seguridad pertinentes a uno de los ambientes tecnológicos que soportan el servicio de prestado por el Grupo de Tecnologías de Información y Comunicación, garantizando un adecuado control de cambios y el seguimiento a los estándares de seguridad definidos y a los incidentes de seguridad que se presenten. Se debe contar con una visión de riesgo, identificar y definir que las funciones de mayor riesgo para los activos de información sean segregadas de manera adecuada y garantizar que la planificación y aprobación de los sistemas de información sean adecuadas y consideren las necesidades futuras. Se deben considerar protecciones contra software malicioso y se debe garantizar que el mantenimiento, la administración de la red, el cuidado de los medios de almacenamiento y la seguridad en el intercambio de información sean adecuados esto en el marco de la evaluación de riesgos. Página 12 de 17

13 4.11 Título de política: Control de acceso Deben establecerse, mantenerse y actualizarse medidas de control de acceso a nivel de red, instalaciones, sistemas operativos, bases de datos y aplicaciones, los controles deben estar soportados por una cultura de seguridad en la entidad y limitar el acceso de los usuarios hacia los activos de información al mínimo requerido (Principio de Mínimo privilegio) para la realización de su trabajo, de acuerdo con el tratamiento correspondiente al nivel de clasificación de cada activo. Además, deben permitir identificar de manera inequívoca cada usuario y hacer seguimiento de las actividades que éste realiza. Para el acceso a los servicios de información el jefe de cada dependencia deberá realizar la solicitud al Coordinador del Grupo de Tecnologías de Información y Comunicación, especificando los datos exactos de la persona y a que servicios debe darse acceso Título de política: Uso y protección de los recursos Los usuarios de la información y de los servicios brindados por el Ministerio de Minas y Energía, son responsables de un adecuado y racional uso de las herramientas y servicios que apoyan las funciones a ser desarrolladas en el Ministerio. Es decir, los elementos brindados no deberán ser usados para propósitos diferentes para los cuales fue definido o que no tengan un enfoque al establecido del usuario con el Ministerio. Ningún usuario deberá compartir las claves o permitir acceso no autorizado a las cuentas otorgadas para utilizar los servicios brindados por el Grupo de Tecnologías de Información y Comunicación y así mismo es responsable por el manejo adecuado de la información y las acciones que por mal uso se deriven de esos accesos. Por lo tanto, el usuario deberá establecer las medidas de Página 13 de 17

14 protección adecuadas sobre esto y reportar cualquier anomalía identificada a las personas que administran los servicios de acuerdo con los procedimientos establecidos. Se establecen las cuentas de acceso como un elemento intransferible y de carácter individual, el usuario asume la responsabilidad sobre el uso y mal uso que se de sobre los sistemas de información por no mantener un adecuado control sobre estos elementos Título de política: Adquisición, desarrollo y mantenimiento de software El Grupo de Tecnologías de Información y Comunicación responsable de estas actividades en el Ministerio, debe incorporar en sus procesos de desarrollo la formalización de una metodología que apoye los procesos de software de tal forma que se haga un adecuado análisis e implementación de los requerimientos de seguridad del software, ya sea interno o adquirido, que es utilizada para soportar sus actividades. Se deben establecer controles para cifrar la información que sea considerada confidencial (De acuerdo a lo establecido como niveles de clasificación de la información) y evitar la posibilidad de repudio de una acción por parte de un usuario del sistema. Igualmente, se deben asegurar los archivos del sistema y mantener un control adecuado de los cambios que puedan presentarse Título de política: Gestión de Incidentes El Grupo de Tecnologías de Información y Comunicación del Ministerio de Minas y Energía debe asegurar que se realiza una adecuada evaluación del impacto en el negocio de los incidentes de seguridad relevantes. Para esto se deben establecer Página 14 de 17

15 los procedimientos de preparación, detección y análisis, contención / respuesta, erradicación y recuperación. Todos los servidores públicos, contratistas y demás personal interno o externo que tenga un vínculo con el Ministerio y que maneje activos de información, debe reportar como incidente de seguridad cualquier evento que pueda afectar los criterios de confidencialidad, integridad y disponibilidad de los activos o aquellos aspectos que sean sospechosos o derivados del mal uso de los recursos de la entidad, según el procedimiento de manejo de incidentes, a través del sistema Centro de Atención Tecnológica - CAT, ya institucionalizada en el MME para tal fin Título de la política: Continuidad del Negocio El Ministerio de Minas y Energía desarrollará esfuerzos tendientes a garantizar la continuidad de las operaciones para sus procesos con el fin de mantener su misión y brindar los servicios a la entidad. Para esto deberá evaluar el impacto de eventos que afectan los procesos de la entidad que tienen soporte en la infraestructura tecnológica que esta administra, así mismo, deberá desarrollar planes de continuidad para aquellos servicios que son críticos para el Ministerio. Los planes deben considerar medidas tanto técnicas como administrativas y de vínculo con entidades externas, probarse y revisarse de manera periódica Título de la política: Cumplimiento de Normatividad Legal El Ministerio de Minas y Energía se compromete a ejercer su misión manteniendo el cumplimiento de la ley y demás aspectos legales y regulatorios. Página 15 de 17

16 Se debe garantizar que la gestión de la seguridad dé cumplimiento en su misión como prestadora de servicios en el Ministerio a la legislación vigente. Para esto, debe analizar los requisitos legales aplicables a la información que se gestiona, incluyendo los derechos de propiedad intelectual, los tiempos de retención de registros, la privacidad de información, el uso inadecuado de recursos de procesamiento, el uso de criptografía, datos personales, la recolección de evidencia. Para esto deberá apoyarse en la Oficina Asesora Jurídica para definir estos temas. La entidad sólo debe utilizar información o elementos de procesamiento cuando tenga claro que es un elemento autorizado, que se tienen las correspondientes licencias de uso, y que fue adquirido e implementado cumpliendo con todos los procedimientos de la organización Título de la política: Manejo de Correo Electrónico La comunicación por correo electrónico entre el Ministerio de Minas y Energía y sus clientes internos o externos, debe efectuarse mediante el uso del sistema homologado por la entidad (correo electrónico de la entidad). Toda información transmitida por este medio es considerada como propiedad de la entidad. Los servidores públicos y contratistas no podrán enviar correos internos o externos, que puedan perjudicar la imagen de la entidad, así mismo, estos son responsables del contenido de las comunicaciones enviadas y recibidas, por lo cual se debe revisar y validar la información a enviar a través del correo electrónico institucional, con el fin de no cometer errores o imprudencias Título de la política: Manejo de Internet La utilización de los servicios de internet ofrecidos por el Ministerio de Minas y Energía, debe estar limitado a asuntos laborales. El uso y mal empleo de los Página 16 de 17

17 servicios por los servidores públicos y contratistas dará lugar a sanciones disciplinarias. El uso de redes sociales está prohibido dentro de la entidad, teniendo en cuenta que esto genera problemas de seguridad, el Grupo de Tecnologías de Información y Comunicación, debe garantizar que las dependencias responsables de publicar información institucional a través de estos medios lo pueda hacer. Está prohibido el ingreso a páginas que atenten contra la moral y las buenas costumbres, así mismo, no se debe ingresar a páginas de dudosa procedencia. MARTHA LUCIA TORRES GIRALDO Coordinadora Grupo de Tecnologías de Información y Comunicación Página 17 de 17