SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ETITC

Transcripción

1 PÁGINA: 1 de 90 ETITC

2 TABLA DE CONTENIDO PÁGINA: 2 de INTRODUCCIÓN OBJETIVO ALCANCE TÉRMINOS Y DEFINICIONES POLÍTICA GENERAL DE SEGURIDAD DE LA COMPROMISO DE LA DIRECCIÓN SANCIONES POLÍTICA DE ADMINISTRACIÓN DEL RIESGO POLÍTICAS DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA Política de Estructura Organizacional de Seguridad de la Información Política para Uso de Dispositivos Móviles Política para uso de Conexiones Remotas POLÍTICAS DE SEGURIDAD DE LOS RECURSOS HUMANOS Política Antes de Asumir el Empleo Política Durante la Ejecución del Empleo Política de Terminación y Cambio de Empleo POLÍTICAS DE GESTIÓN DE ACTIVOS DE Política de Responsabilidad por los Activos Política de Clasificación y Etiquetado de la Información Política de Manejo de Medios

3 PÁGINA: 3 de POLÍTICA DE CONTROL DE ACCESO Política de Acceso a Redes y Recursos de Red Política de Administración de Acceso de Usuarios Política de Responsabilidades de Acceso de los Usuarios Política de Uso de Altos Privilegios y Utilitarios de Administración Política de Control de Acceso a Sistemas y Aplicaciones POLÍTICAS DE CRIPTOGRAFÍA Política de Controles Criptográficos POLÍTICAS DE SEGURIDAD FISICA Y DEL ENTORNO Política de Áreas Seguras Política de Seguridad para los Equipos Institucionales Política de Escritorio Limpio y Pantalla Limpia POLÍTICAS DE SEGURIDAD DE LAS OPERACIONES Política de Asignación de Responsabilidades Operativas Política de Protección contra Códigos Maliciosos Política de Copias de Respaldo de la Información Política de Registro de Eventos y Monitoreo de los Recursos Tecnológicos y los Sistemas de Información Política de Control de Software Operacional Política de Gestión de la Vulnerabilidad Técnica POLÍTICAS DE SEGURIDAD DE LAS COMUNICACIONES Política de Gestión de la Seguridad de las Redes Política de Uso del Correo Electrónico Institucional

4 PÁGINA: 4 de Política de Uso Adecuado de Internet Política de Transferencia de Información POLÍTICAS DE ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE Política de Requisitos de Seguridad de los Sistemas de Información Política de Seguridad en los Procesos de Desarrollo y Soporte de los Sistemas de Información Política de Protección de los Datos de Prueba POLÍTICAS DE RELACIONES CON LOS PROVEEDORES Política de Seguridad de la Información en las Relaciones con los Proveedores Política de Gestión de la Prestación de Servicios de Proveedores POLÍTICAS DE GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA Política de Gestión de Incidentes y Mejoras en la Seguridad de la Información POLÍTICAS DE ASPECTOS DE SEGURIDAD DE LA DE LA GESTIÓN DE CONTINUIDAD DE NEGOCIO Política de Continuidad de Seguridad de la Información Política de Redundancias POLÍTICAS DE CUMPLIMIENTO Política de Cumplimiento de Requisitos Legales y Contractuales Política de Privacidad y Protección de Datos Personales CONTROL DE CAMBIOS... 90

5 1. INTRODUCCIÓN PÁGINA: 5 de 90 La Escuela Tecnológica (ETITC) considera la información que gestiona, recolecta y custodia, como un elemento indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la Institución, razón por la cual es necesario que la misma, establezca un marco, en el cual, se asegure que la información es protegida de manera adecuada, independientemente, de la forma en la que ésta sea manipulada, procesada, transportada o almacenada. Por tal motivo, el presente manual describe las políticas de seguridad de la información definidas por la ETITC. Para la elaboración del mismo, se toma como base el Anexo A, incluido en la norma ISO 27001:2013, recomendaciones de la ISO 27002:2013 y los lineamientos de la estrategia de Gobierno en Línea (GEL), en especial las guías suministradas. Las políticas de seguridad de la información incluidas en este manual constituyen una parte fundamental del Sistema de Gestión de Seguridad de la Información (SGSI) y el Modelo de Seguridad y Privacidad de la Información (MSPI) de Gobierno en Línea (GEL) y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos. La preservación de la confidencialidad, integridad y disponibilidad de la información para la ETITC, constituye una prioridad y por tanto, es responsabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.

6 PÁGINA: 6 de OBJETIVO Establecer las políticas de seguridad de la información para la ETITC, con el fin de cumplir con los requisitos de seguridad, definidos en un SGSI y el MSPI, de GEL, que ayudarán, mediante su implementación, a preservar la confidencialidad, integridad y disponibilidad de la información en la Escuela.

7 PÁGINA: 7 de ALCANCE Todas las políticas de seguridad de la información, contenidas en este manual, serán aplicadas a los procesos estratégicos, misionales, de apoyo y de evaluación de la ETITC, por tal motivo, deberán ser conocidas y cumplidas por todos los servidores públicos, estudiantes, proveedores y partes interesadas, que accedan a los sistemas de información, repositorios e instalaciones físicas de la ETITC.

8 PÁGINA: 8 de TÉRMINOS Y DEFINICIONES Acuerdo de Confidencialidad: Es un documento, en los que los servidores públicos de la ETITC, manifiestan su voluntad de mantener la confidencialidad de la información del Instituto, comprometiéndose a no divulgar, usar o explotar la información confidencial a la que tengan acceso en virtud de la labor que desarrollan dentro de la misma. Activo de información: Cualquier componente (humano, tecnológico, software, documental o de infraestructura) que soporta uno o más procesos de negocios de la ETITC y, en consecuencia, debe ser protegido. Análisis de riesgos de seguridad de la información: Proceso sistemático de identificación de fuentes, estimación de impactos, probabilidades y comparación de dichas variables contra criterios de evaluación para determinar las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información. Autenticación: Es el procedimiento de comprobación de la identidad de un usuario o recurso tecnológico al tratar de acceder a un recurso de procesamiento o sistema de información. Capacity Planning: Es el proceso para determinar la capacidad de los recursos de la plataforma tecnológica que necesita la ETITC para satisfacer las necesidades de procesamiento de dichos recursos de forma eficiente y con un rendimiento adecuado. Centro de cómputo: Es una zona específica para el almacenamiento de múltiples computadores para un fin específico, los cuales se encuentran conectados entre sí a través de una red de datos. El centro de cómputo debe cumplir ciertos estándares con el fin de garantizar los controles de acceso físico, los materiales de paredes, pisos y techos, el suministro de alimentación eléctrica y las condiciones medio-ambientales adecuadas. Cifrado: Es la transformación de los datos mediante el uso de la criptografía para producir datos ininteligibles (cifrados) y asegurar su confidencialidad. El cifrado es una técnica muy útil para prevenir la fuga de información, el monitoreo no autorizado e incluso el acceso no autorizado a los repositorios de información. Confidencialidad: Es la garantía de que la información no está disponible o divulgada a personas, entidades o procesos no autorizados. Control: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye policías, procedimientos, guías, estructuras organizacionales y buenas prácticas, que pueden ser de carácter administrativo, tecnológico, físico o legal. Criptografía: Es la disciplina que agrupa a los principios, medios y métodos para la transformación de datos con el fin de ocultar el contenido de su información, establecer su autenticidad, prevenir su modificación no detectada, prevenir su repudio, y/o prevenir su uso no autorizado.

9 PÁGINA: 9 de 90 Custodio de la información: Son los líderes de las áreas definidas para la ETITC. Derechos de Autor: Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creación de una obra literaria, artística o científica, tanto publicada o que todavía no se haya publicado. Directriz: Es una norma o una instrucción que se tiene en cuenta para realizar una tarea. También se trata de aquello que fija cómo se producirá algo. Las directrices, por lo tanto, sientan las bases para el desarrollo de una actividad o de un proyecto. Disponibilidad: Es la garantía de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando lo requieren. Equipo de cómputo: Dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información. GEL: Gobierno en Línea. Hacking ético: Es el conjunto de actividades para ingresar a las redes de datos y voz de la institución con el objeto de lograr un alto grado de penetración en los sistemas, de forma controlada, sin ninguna intensión maliciosa, ni delictiva y sin generar daños en los sistemas o redes, con el propósito de mostrar el nivel efectivo de riesgo a lo cual está expuesta la información, y proponer eventuales acciones correctivas para mejorar el nivel de seguridad. Incidente de Seguridad: Es un evento adverso, confirmado o bajo sospecha, que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o el origen (interno o externo). Integridad: Es la protección de la exactitud y estado completo de los activos. Inventario de activos de información: es una lista ordenada y documentada de los activos de información pertenecientes al Instituto. Licencia de software: Es un contrato en donde se especifican todas las normas y cláusulas que rigen el uso de un determinado producto de software, teniendo en cuenta aspectos como: alcances de uso, instalación, reproducción y copia de estos productos. Perfiles de usuario: Son grupos que concentran varios usuarios con similares necesidades de información y autorizaciones idénticas sobre los recursos tecnológicos o los sistemas de información, a los cuales se les concede acceso de acuerdo con las funciones realizadas. Las modificaciones sobre un perfil de usuario afectan a todos los usuarios cobijados dentro de él.

10 PÁGINA: 10 de 90 Propietario de la información: Son los líderes de procesos de la ETITC. Propiedad intelectual: Es el reconocimiento de un derecho particular en favor de un autor u otros titulares de derechos, sobre las obras del intelecto humano. Este reconocimiento es aplicable a cualquier propiedad que se considere de naturaleza intelectual y merecedora de protección, incluyendo las invenciones científicas y tecnológicas, las producciones literarias o artísticas, las marcas y los identificadores, los dibujos y modelos industriales y las indicaciones geográficas. Recursos tecnológicos: Son aquellos componentes de hardware y software tales como: servidores (de aplicaciones y de servicios de red), estaciones de trabajo, equipos portátiles, dispositivos de comunicaciones y de seguridad, servicios de red de datos y bases de datos, entre otros, los cuales tienen como finalidad apoyar las tareas administrativas necesarias para el buen funcionamiento y la optimización del trabajo al interior de la ETITC. Registros de Auditoría: Son archivos donde son registrados los eventos que se han identificado en los sistemas de información, recursos tecnológicos y redes de datos del instituto. Dichos eventos pueden ser, entre otros, identificación de usuarios, eventos y acciones ejecutadas, terminales o ubicaciones, intentos de acceso exitosos y fallidos, cambios a la configuración, uso de utilidades y fallas de los sistemas. SGSI: Sistema de Gestión de Seguridad de la Información. Sistema de información: Es un conjunto organizado de datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información que, a su vez, requiere la interacción de uno o más activos de información para efectuar sus tareas. Un sistema de información es todo componente de software ya sea de origen interno, es decir desarrollado por la ETITC o de origen externo, ya sea adquirido por el Instituto como un producto estándar de mercado o desarrollado para las necesidades de éste. Software malicioso: Es una variedad de software o programas de códigos hostiles e intrusivos que tienen como objeto infiltrarse o dañar los recursos tecnológicos, sistemas operativos, redes de datos o sistemas de información. Terceros: Todas las personas, jurídicas o naturales, como proveedores, contratistas o consultores, que provean servicios o productos a la ETITC. Vulnerabilidades: Son las debilidades, hoyos de seguridad o falencias inherentes a los activos de información que pueden ser explotadas por factores externos y no controlables por el Instituto (amenazas), las cuales se constituyen en fuentes de riesgo.

11 PÁGINA: 11 de POLÍTICA GENERAL DE SEGURIDAD DE LA La Escuela Tecnológica (ETITC), es un establecimiento público de Educación Superior, de carácter académico, de Orden Nacional, con personería jurídica, autonomía administrativa y patrimonio independiente, adscrito al Ministerio de Educación Nacional. Adicional, consciente de la importancia que la seguridad de la información tiene para el desarrollo y buen funcionamiento de sus procesos internos, ha decidido implementar un Sistema de Gestión de Seguridad de la Información (SGSI), basado en la norma internacional ISO de 2013 y un Modelo de Seguridad y Privacidad de la Información (MSPI), de Gobierno en Línea (GEL), suscribiendo la presente política. La ETITC establece, define y revisa unos objetivos, dentro del SGSI y el MSPI de GEL, encaminados a mejorar su seguridad, entendiéndola como la preservación de la confidencialidad, integridad y disponibilidad de la información, así como de los sistemas que la soportan, incrementando los niveles de confianza en los servidores públicos, estudiantes, acudientes y otras partes interesadas, todo lo anterior, es fortalecido mediante el cumplimiento de todos los requisitos legales, reglamentarios y contractuales, que le sean de aplicación. El diseño, implantación y mantenimiento del SGSI y el MSPI de GEL, se apoyará en los resultados de un proceso continuo de análisis y valoración del riesgo, del que se derivan las actuaciones a desarrollar, en materia de seguridad, dentro del alcance del SGSI y el MSPI de GEL, aprobado por la Alta Dirección de la ETITC, guardando una estrecha relación con la declaración de aplicabilidad vigente. La Alta Dirección de la ETITC establecerá los criterios de evaluación del riesgo, de manera que todos aquellos escenarios, que impiden un nivel de riesgo aceptable, sean tratados adecuadamente y mitigados, adicional, la Alta Dirección desarrollará, implantará y mantendrá actualizado un Plan de Continuidad del Negocio, acorde a las necesidades de la Escuela y dimensionado a los riesgos que le afectan. La Alta Dirección de la ETITC se compromete a la implantación, mantenimiento y mejora del SGSI y el MSPI de GEL, dotándolos de aquellos medios y recursos que sean necesarios e instando a todos los servidores públicos, proveedores y partes interesadas, para que asuman este compromiso. Para ello, la ETITC implantará las medidas requeridas para la formación y concienciación de los servidores públicos, proveedores y partes interesadas, en temas de seguridad de la información. A su vez, cuando exista una violación de las políticas de seguridad de la información, aprobadas por la Alta Dirección, la ETITC se reserva el derecho de aplicar las medidas disciplinarias, acordes a los compromisos laborales de los servidores públicos, proveedores y partes interesadas, dentro del marco legal aplicable y dimensionadas al impacto que tengan sobre la Escuela.

12 PÁGINA: 12 de 90 La responsabilidad general de la seguridad de la información en la ETITC, recaerá sobre la Alta Dirección y el Profesional de Seguridad de la Información contratado. Por otro lado, todos los servidores públicos, proveedores y partes interesadas, tendrán la obligación de reportar los incidentes, en materia de seguridad, haciendo uso de las directrices establecidas por la ETITC. Todo lo definido en la Política General de Seguridad de la Información se concretará y desarrollará, mediante las buenas prácticas de GEL, normativas internacionales y procedimientos incluidos en el Sistema de Gestión de Calidad de la Institución, las cuales se integrarán, en la medida de lo posible, con otros sistemas de gestión de la Escuela, compartiendo aquellos recursos en pro de la optimización y buscando la mejora continua de la eficacia y eficiencia de la gestión de los procesos institucionales. La presente Política General de Seguridad de la Información, será aplicada por todos los servidores públicos, proveedores y partes interesadas del SGSI, MSPI de GEL y recursos que se encuentran incluidos en el alcance del SGSI y el MSPI de GEL. Adicional, es socializada al interior de la ETITC y comunicada a las partes interesadas.

13 PÁGINA: 13 de COMPROMISO DE LA DIRECCIÓN La Alta Dirección de la ETITC aprueba el Manual de Políticas de Seguridad de la Información, como muestra de su compromiso y apoyo hacia la gestión de seguridad de la información que se lleva a cabo en la Institución, mediante el SGSI y el MSPI de GEL. La Alta Dirección de la ETITC demuestran su compromiso de apoyo a través de: 1- La revisión y aprobación del Manual de Políticas de Seguridad de la Información para la Institución. 2- La promoción activa de una cultura de seguridad de la información en los servidores públicos, estudiantes, proveedores y partes interesadas, que tengan acceso a los sistemas de información, repositorios e instalaciones físicas de la ETITC. 3- Facilitar la divulgación de este manual a todos los servidores públicos, estudiantes, proveedores y partes interesadas de la Escuela. 4- El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información, contenidas en el manual. 5- La verificación del cumplimiento de las políticas aquí mencionadas.

14 7. SANCIONES PÁGINA: 14 de 90 Las Políticas de Seguridad de la Información contenidas en este manual, pretenden generar un compromiso, en todo el recurso humano de la Institución, que permita garantizar la preservación de la confidencialidad, integridad y disponibilidad de la información institucional, lográndose de esta manera, altos estándares de cultura, en temas de seguridad informática y de la información. Por tal motivo, las violaciones de las Políticas de Seguridad de la Información, serán objeto de análisis y sanción, aplicando de esta manera, medidas correctivas, mediante la Secretaría General, la cual implementará el GCD-PC-01 Procedimiento Responsabilidad Disciplinaria, tomando como base el Código Disciplinario Único (Ley 734 de 2002, Artículo 48, Numeral 43), para de esta manera, impartir las respectivas correcciones, ante la violación presentada.

15 PÁGINA: 15 de POLÍTICA DE ADMINISTRACIÓN DEL RIESGO. Objetivo: Garantizar el compromiso de implementar la metodología de gestión de riesgos de la ETITC, para de esta manera analizar y valorar los riesgos identificados en cada uno de los procesos de la Institución, manteniendo de manera controlada los niveles de riesgos, que en caso de materialización afectan la preservación de la confidencialidad, integridad y disponibilidad de la información. Alcance: La Política de Administración del Riesgo será aplicada por el equipo de trabajo que integre el proceso de Gestión de Seguridad de la Información, así como, por todos los líderes de procesos de la ETITC, adicional, por los servidores públicos que sean designados por la Alta Dirección de la Institución. Directrices: Para el cumplimiento de la Política de Administración del Riesgo se debe garantizar la elaboración y aprobación de la Metodología de Gestión del Riesgo de la ETITC Los niveles de aceptación del riesgo u opciones de tratamiento, definidos y aprobados por la Alta Dirección de la Escuela, son los siguientes: Zona de Riesgo Baja (B) Moderada (M) Alta (A) Niveles de Aceptación del Riesgo u Opciones de Tratamiento Asumir el Riesgo Asumir el Riesgo, Reducir el Riesgo. Reducir el Riesgo, Evitar, Compartir o Transferir. Los niveles para calificar la probabilidad, aprobados por la Alta Dirección de la ETITC, son los siguientes: DESCRIPTOR DESCRIPCIÓN FRECUENCIA Improbable El evento puede ocurrir en Al menos una vez en los últimos algún momento. 5 años. Posible El evento podría ocurrir en Al menos una vez en los últimos algún momento. 2 años. Probable El evento probablemente Al menos una vez en el último ocurrirá en la mayoría de las año. circunstancias.

16 PÁGINA: 16 de 90 Los niveles para calificar el impacto, aprobados por la Alta Dirección de la ETITC, son los siguientes: Leve Moderado NIVELES IMPACTO CUANTITATIVO Impacto que afecte la ejecución presupuestal en un valor 1%. Pérdida de cobertura en la prestación de los servicios de la Escuela 5%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la Escuela en un valor 1%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor 1%del presupuesto general de la Escuela. Impacto que afecte la ejecución presupuestal en un valor 5%. Pérdida de cobertura en la prestación de los servicios de la Escuela 10%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la Escuela en un valor 5%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor 5% del presupuesto general de la Escuela. IMPACTO CUALITATIVO Interrupción de las operaciones de la Escuela por algunas horas. Reclamaciones o quejas de los usuarios que implican investigaciones internas disciplinarias. Imagen institucional afectada localmente por retrasos en la prestación del servicio a los usuarios o ciudadanos. Interrupción de las operaciones de la Escuela por un (1) día. Reclamaciones o quejas de los usuarios que podrían implicar una denuncia ante los entes reguladores o una demanda de largo alcance para la Escuela. Inoportunidad en la información ocasionando retrasos en la atención a los usuarios. Reproceso de actividades y aumento de carga operativa. Imagen institucional afectada en el orden nacional o regional por retrasos en la prestación del servicio a los usuarios o ciudadanos. Investigaciones penales, fiscales o disciplinarias.

17 Catastrófico NIVELES IMPACTO CUANTITATIVO Impacto que afecte la ejecución presupuestal en un valor 50%. Pérdida de cobertura en la prestación de los servicios de la Escuela 50%. Pago de indemnizaciones a terceros por acciones legales que pueden afectar el presupuesto total de la Escuela en un valor 50%. Pago de sanciones económicas por incumplimiento en la normatividad aplicable ante un ente regulador, las cuales afectan en un valor 50% del presupuesto general de la Escuela. CÓDIGO: GSI-MA-01 PÁGINA: 17 de 90 IMPACTO CUALITATIVO Interrupción de las operaciones de la Escuela por más de cinco (5) días. Intervención por parte de un ente de control u otro ente regulador. Pérdida de Información crítica para la Escuela que no se puede recuperar. Incumplimiento en las metas y objetivos institucionales afectando de forma grave la ejecución presupuestal. Imagen institucional afectada en el orden nacional o regional por actos o hechos de corrupción comprobados. Responsabilidades de áreas, organizaciones y personal de la ETITC Gestión Seguridad de la Información: - El proceso Gestión Seguridad de la Información debe elaborar el documento Metodología de Gestión del Riesgo. - El proceso Gestión Seguridad de la Información debe implementar la Metodología de Gestión del Riesgo, con el objetivo de analizar y valorar los riesgos que pueden afectar la preservación de la confidencialidad, integridad y disponibilidad de la información. - El proceso Gestión Seguridad de la Información debe hacer seguimiento al Plan de Tratamiento de Riesgos, aprobado por cada líder de proceso. - El proceso Gestión Seguridad de la Información debe socializar ante el Comité de Seguridad de la Información o el que haga sus veces, el seguimiento realizado al Plan de Tratamiento de Riesgos. - El proceso Gestión Seguridad de la Información debe revisar los niveles de riesgos, como mínimo, una vez al año. - El proceso Gestión Seguridad de la Información debe evaluar la eficacia, eficiencia y efectividad de los controles aplicados, para mitigar los riesgos analizados y valorados.

18 PÁGINA: 18 de 90 - El proceso Gestión Seguridad de la Información debe informar a los líderes de procesos y a la Alta Dirección, sobre la materialización de los riesgos (cuando aplique) Alta Dirección de la ETITC: - La Alta Dirección de la ETITC debe revisar y aprobar la Metodología de Gestión del Riesgo. - La Alta Dirección de la ETITC debe implementar la Metodología de Gestión del Riesgo, con el objetivo de analizar y valorar los riesgos que pueden afectar la preservación de la confidencialidad, integridad y disponibilidad de la información. - La Alta Dirección de la ETITC debe aprobar los niveles de aceptación del riesgo. - La Alta Dirección de la ETITC debe aprobar los niveles para calificar la probabilidad de materialización del riesgo, con su respectiva descripción y frecuencia. - La Alta Dirección de la ETITC debe aprobar los niveles para calificar el impacto que tendría la materialización del riesgo, con su respectiva descripción y frecuencia. Líderes de Procesos / Servidores Públicos: - Los líderes de procesos y/o los servidores públicos designados por la Alta Dirección, deben implementar la Metodología de Gestión del Riesgo, con el objetivo de analizar y valorar los riesgos que pueden afectar la preservación de la confidencialidad, integridad y disponibilidad de la información. - Los líderes de procesos y/o los servidores públicos designados por la Alta Dirección, deben gestionar las acciones para mitigar los riesgos analizados y valorados. - Los líderes de procesos y/o los servidores públicos designados por la Alta Dirección deben informar al área de seguridad de la información y a la Alta Dirección, la materialización de los riesgos (cuando aplique)

19 PÁGINA: 19 de POLÍTICAS DE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA Política de Estructura Organizacional de Seguridad de la Información. Objetivo: Garantizar la conformación de un Comité de Seguridad de la Información, definiendo roles y responsabilidades, que consideren actividades de administración, operación y gestión de la seguridad de la información. Alcance: La Política de Estructura Organizacional de Seguridad de la Información será aplicada por la Alta Dirección, Comité de Seguridad de la Información, además por el Profesional de Seguridad de la Información y la Oficina de Control Interno de la ETITC. Directrices: La asignación de recurso humano para apoyar las actividades de gestión de la seguridad de la información, constituye un elemento indispensable para lograr el cumplimiento de requisitos, metas y entregables, contemplados en el SGSI y el MSPI de GEL. La definición y aprobación de roles y responsabilidades dentro de la Institución, permite estructurar el modelo organizacional interno que, a su vez, gestionará el cumplimiento de las tareas aprobadas. Por otro lado, cada rol asumirá un grupo de responsabilidades que permiten identificar las funciones de cada área, organización o personal comprometido con el rol. La definición de roles y responsabilidades son propios de cada organismo o institución. Cada entidad posee necesidades diferentes, una estructura organizacional diferente, procesos diferentes, condiciones tecnológicas diferentes. No obstante, se recomienda revisar la Guía 7 Roles y Responsabilidades de GEL, donde se brindan una serie de recomendaciones que podrán ayudar a desarrollar esta actividad con éxito. Por otro lado, el compromiso de la Alta Dirección, en apoyar las actividades de seguridad programadas, es fundamental para que toda la estructura organizacional definida funcione efectivamente y alcance las expectativas trazadas. Para ello, se hace necesario la elaboración, revisión y aprobación de la carta de compromiso de la Alta Dirección. Una de las actividades más significativas dentro de la estructura organizacional interna, para la gestión de la seguridad de la información, son las actividades dirigidas a crear una cultura de

20 PÁGINA: 20 de 90 seguridad elevada en los servidores públicos, estudiantes, proveedores y partes interesadas, que tienen acceso a los sistemas de información, repositorios y áreas físicas de la ETITC. Para lograr un eficiente resultado en esta tarea, se requiere del total apoyo de la Alta Dirección. La estructura organizacional definida por roles y responsabilidades en la Institución, permitirá gestionar con mayor rapidez y asertividad los incidentes de violación de seguridad detectados. En estos casos se debe hacer uso del Procedimiento de Contacto con las Autoridades. Por otro lado, para fortalecer la organización interna de seguridad de la información en la ETITC, se requiere la elaboración de una propuesta para la conformación del Comité de Seguridad de la Información de la Institución. Para ello nos podemos apoyar en la Guía 7 Roles y Responsabilidades de GEL. Responsabilidades de áreas, organizaciones y personal de la ETITC Alta Dirección: - La Alta Dirección de la ETITC debe aprobar los roles y responsabilidades relacionados con la seguridad de la información en niveles directivo y operativo. - La Alta Dirección de la ETITC debe aprobar la conformación de un Comité de Seguridad de la Información al interior de la Institución. - La Alta Dirección debe elaborar y aprobar la carta de compromiso donde manifieste su total apoyo a las actividades relacionadas con la seguridad de la información. - La Alta Dirección debe definir y establecer el Procedimiento de Contacto con las Autoridades en caso de ser requerido, así como los responsables para establecer dicho contacto. - La Alta Dirección debe revisar y aprobar las Políticas de Seguridad de la Información contenidas en este manual. - La Alta Dirección debe promover activamente una cultura de seguridad de la información en la Institución. - La Alta Dirección debe facilitar la divulgación de las Políticas de Seguridad de la Información a todos los servidores públicos, estudiantes, proveedores y partes interesadas de la Escuela. - La Alta Dirección de la ETITC debe asignar los recursos, la infraestructura física y el personal necesario para la gestión de la seguridad de la información de la Institución.

21 PÁGINA: 21 de 90 Comité de Seguridad de la Información: - El Comité de Seguridad de la Información debe revisar, periódicamente, las Políticas de Seguridad de la Información contenidas en el manual, la Metodología para el Análisis de Riesgos de Seguridad y el Procedimiento para la Clasificación y Etiquetado de la Información, según lo considere pertinente. - El Comité de Seguridad de la Información debe analizar los incidentes de seguridad que le son escalados y activar el Procedimiento de Contacto con las Autoridades, cuando lo estime necesario. - El Comité de Seguridad de la Información debe verificar el cumplimiento de las políticas de seguridad de la información aquí mencionadas. Profesional de Seguridad de la Información: - El Profesional de Seguridad de la Información debe liderar la generación de lineamientos para gestionar la seguridad de la información de la ETITC y el establecimiento de controles técnicos, físicos y administrativos, derivados del análisis de riesgos de seguridad realizado. - El Profesional de Seguridad de la Información debe validar y monitorear, de manera periódica, la implantación de los controles de seguridad establecidos. - El Profesional de Seguridad de la Información debe definir los roles y responsabilidades de la ETITC, así como socializarlos ante el Comité de Seguridad de la Información de la Escuela, para su aprobación. - El Profesional de Seguridad de la Información debe proponer la conformación de un Comité de Seguridad de la Información, mediante una propuesta de resolución que deberá presentar ante la Alta Dirección de la ETITC. Oficina de Control Interno: - La Oficina de Control Interno debe planear y ejecutar las auditorías internas al SGSI y al MSPI de la ETITC, a fin de determinar si las políticas, procedimientos y controles establecidos están conformes con los requerimientos institucionales, de seguridad y regulaciones aplicables. - La Oficina de Control Interno debe ejecutar revisiones totales o parciales de los procesos o áreas que hacen parte del alcance del SGSI y el MSPI, con el fin de verificar la eficacia de las acciones correctivas cuando sean identificadas no conformidades. - La Oficina de Control Interno debe informar a las áreas responsables los hallazgos de las auditorías.

22 PÁGINA: 22 de Política para Uso de Dispositivos Móviles. Objetivo: Proveer las condiciones para el manejo de los dispositivos móviles institucionales y personales (teléfonos inteligentes y tablets, entre otros), que hagan uso de los servicios de la ETITC, garantizando con esto, que los servidores públicos, estudiantes, proveedores y partes interesadas utilicen responsablemente los servicios y equipos proporcionados por la Institución. Alcance: La Política para Uso de Dispositivos Móviles será aplicada por el área de Informática y Comunicaciones, adicional todos los servidores públicos, estudiantes, proveedores y partes interesadas que utilicen dispositivos móviles para accesar los servicios ofrecidos por la ETITC. Directrices: Para el cumplimiento de la Política para Uso de Dispositivos Móviles se hace necesario que el área de Informática y Comunicaciones garantice el inventario de dispositivos móviles de la ETITC y adicional, identifique al propietario de cada dispositivo. Responsabilidades de áreas, organizaciones y personal de la ETITC Informática y Comunicaciones: - El área de Informática y Comunicaciones debe investigar y aprobar las opciones de protección de los dispositivos móviles institucionales y personales, que hagan uso de los servicios provistos por la Institución. - El área de Informática y Comunicaciones debe establecer las configuraciones aceptables, para los dispositivos móviles institucionales o personales, que hagan uso de los servicios provistos por la ETITC. - El área de Informática y Comunicaciones debe establecer un método de bloqueo (por ejemplo, contraseñas, biométricos, patrones, reconocimiento de voz) para los dispositivos móviles institucionales, que serán entregados a los usuarios. Se debe configurar estos dispositivos para que pasado un tiempo de inactividad pasen automáticamente a modo de suspensión y, en consecuencia, se active el bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado. - El área de Informática y Comunicaciones debe activar la opción de cifrado de la memoria de almacenamiento de los dispositivos móviles institucionales, haciendo imposible la copia o extracción de datos, si no se conoce el método de desbloqueo.

23 PÁGINA: 23 de 90 - El área de Informática y Comunicaciones debe configurar la opción de borrado remoto de información, en los dispositivos móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no autorizada de información en caso de pérdida o hurto. - El área de Informática y Comunicaciones debe contar con una solución de copias de seguridad para la información contenida en los dispositivos móviles institucionales de la ETITC; dichas copias deben acogerse a la Política de Copias de Respaldo de la Información. - El área de Informática y Comunicaciones debe instalar un software de antivirus, tanto en los dispositivos móviles institucionales, como en los personales que hagan uso de los servicios provistos por el Instituto. - El área de Informática y Comunicaciones debe activar los códigos de seguridad de la tarjeta SIM para los dispositivos móviles institucionales, antes de asignarlos a los usuarios y almacenar estos códigos en un lugar seguro. Servidores públicos, Estudiantes, Proveedores y Partes Interesadas: - Los servidores públicos, estudiantes, proveedores y partes interesadas deben evitar usar los dispositivos móviles institucionales, en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos. - Los servidores públicos, estudiantes, proveedores y partes interesadas no deben modificar las configuraciones de seguridad de los dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos al momento de su entrega. - Los servidores públicos, estudiantes, proveedores y partes interesadas deben evitar la instalación de programas, desde fuentes desconocidas; se deben instalar aplicaciones únicamente desde los repositorios oficiales de los dispositivos móviles institucionales. - Los servidores públicos, estudiantes, proveedores y partes interesadas deben, cada vez que el sistema de sus dispositivos móviles institucionales notifique de una actualización disponible, aceptar y aplicar la nueva versión. - Los servidores públicos, estudiantes, proveedores y partes interesadas deben evitar hacer uso de redes inalámbricas de uso público, así como deben desactivar las redes inalámbricas como WIFI, Bluetooth, o infrarrojos en los dispositivos móviles institucionales asignados. - Los servidores públicos, estudiantes, proveedores y partes interesadas deben evitar conectar los dispositivos móviles institucionales asignados, por puerto USB, a cualquier computador público, de hoteles o cafés internet, entre otros. - Los servidores públicos, estudiantes, proveedores y partes interesadas no deben almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.

24 PÁGINA: 24 de Política para uso de Conexiones Remotas. Objetivo: Garantizar que los métodos de conexión remota, dentro de la LAN de la ETITC y desde fuera de ella, sean los idóneos, garantizando con esto los niveles óptimos de seguridad durante la ejecución de las actividades remotas. Alcance: La Política para Uso de Conexiones Remotas será aplicada por el área de Informática y Comunicaciones, oficina de Control Interno, Profesional de Seguridad de la Información y todos los servidores públicos, proveedores y partes interesadas, que utilicen el servicio de conexiones remotas para darle cumplimiento a alguna de sus funciones. Directrices: Se deben revisar los métodos de conexión remota existentes, con el objetivo de definir cuál de ellos son los más convenientes a utilizar en la LAN de la ETITC. Responsabilidades de áreas, organizaciones y personal de la ETITC Informática y Comunicaciones / Profesional de Seguridad de la Información: - El área de Informática y Comunicaciones, de conjunto con el Profesional de Seguridad de la Información de la ETITC, deben analizar y aprobar los métodos de conexión remota a la plataforma tecnológica de la Institución. Informática y Comunicaciones: - El área de Informática y Comunicaciones debe implantar los métodos y controles de seguridad para establecer conexiones remotas, hacia la plataforma tecnológica de la ETITC. - El área de Informática y Comunicaciones debe restringir las conexiones remotas a los recursos de la plataforma tecnológica; únicamente se deben permitir estos accesos a personal autorizado y por periodos de tiempo establecidos, de acuerdo con las labores desempeñadas. - El área de Informática y Comunicaciones debe verificar la efectividad de los controles aplicados sobre las conexiones remotas, a los recursos de la plataforma tecnológica de la ETITC, de manera permanente.

25 Oficina de Control Interno: PÁGINA: 25 de 90 - La Oficina de Control Interno debe, dentro de su autonomía, realizar auditorías sobre los controles implantados, para las conexiones remotas, a la plataforma tecnológica de la ETITC. Servidores públicos, Proveedores y Partes Interesadas: - Todos los servidores públicos, proveedores y partes interesadas que realicen conexiones remotas, hacia la LAN de la ETITC, deben contar con las aprobaciones requeridas para establecer dicha conexión a los dispositivos de la plataforma tecnológica y deben acatar las condiciones de uso establecidas para dichas conexiones remotas. - Todos los servidores públicos, proveedores y partes interesadas que realicen conexiones remotas, hacia la LAN de la ETITC, deben establecer dichas conexiones en computadores previamente identificados y, bajo ninguna circunstancia, en computadores públicos, de hoteles o cafés internet, entre otros.

26 PÁGINA: 26 de POLÍTICAS DE SEGURIDAD DE LOS RECURSOS HUMANOS Política Antes de Asumir el Empleo. Objetivo: Garantizar que los Acuerdos y/o Cláusulas de Confidencialidad y Aceptación de Políticas de Seguridad de la Información, sean incluidos en los contratos o cualquier otra forma de vinculación laboral, de servidores públicos, proveedores y partes interesadas, que tengan acceso a las instalaciones físicas y sistemas de información de la ETITC. Alcance: La Política Antes de Asumir el Empleo será aplicada por las áreas de Talento Humano, Contratación, adicional, los Supervisores de Contratos o Líderes de Áreas y todos los servidores públicos, proveedores y partes interesadas, que tengan acceso a las instalaciones físicas y sistemas de información de la ETITC. Directrices: Es importante tener en cuenta que el área de Contratación de la ETITC trabaja formatos de contratación variados. La estructura de dichos formatos depende, en su medida, del contenido del documento Estudios Previos, que elaboran los supervisores de contrato o líderes de áreas. Por tal motivo los Acuerdos y/o Cláusulas de Confidencialidad y Aceptación de Políticas de Seguridad de la Información deben ser incluidos en el documento de Estudios Previos. Responsabilidades de áreas, organizaciones y personal de la ETITC Talento Humano: - El área de Talento Humano debe realizar las verificaciones necesarias, para confirmar la veracidad de la información suministrada por el candidato, aspirante a una posición laboral en la ETITC, antes de su vinculación definitiva. Supervisores de Contratos o Líderes de Áreas: - Todos los Supervisores de Contrato o Líderes de Áreas deben incluir en el documento Estudios Previos, los Acuerdos y/o Cláusulas de Confidencialidad y de Aceptación de Políticas de Seguridad de la Información. - Cada Supervisor de Contrato o Líder de Área debe verificar la existencia de Acuerdos y/o Cláusulas de Confidencialidad y de Aceptación de Políticas de Seguridad de la Información, en los contratos o vinculaciones laborales del personal que trabaja para la ETITC, antes de otorgar acceso a los sistemas de información del Instituto.

27 Área de Contratación: PÁGINA: 27 de 90 - El área de Contratación de la ETITC debe incluir los Acuerdos y/o Cláusulas de Confidencialidad y de Aceptación de Políticas de Seguridad de la Información, en los contratos o vinculaciones laborales de los servidores públicos o partes interesadas (dichos acuerdos y/o cláusulas deben estar contenidos en el Documento de Estudios Previos) Servidores públicos, Proveedores y Partes Interesadas: - Los servidores públicos, proveedores y partes interesadas deben firmar el Acuerdo y/o Cláusula de Confidencialidad y de Aceptación de Políticas de Seguridad de la Información, antes de que se les otorgue acceso a las Instalaciones y a los sistemas de información del Instituto. - Los servidores públicos, proveedores y partes interesadas deben cumplir con el Acuerdo y/o Cláusula de Confidencialidad y de Aceptación de Políticas de Seguridad de la Información, incluidas en el contrato o forma de vinculación laboral con la ETITC Política Durante la Ejecución del Empleo. Objetivo: Garantizar que todos los servidores públicos, proveedores y partes interesadas, que tengan acceso a las instalaciones físicas y sistemas de información de la ETITC, reciban charlas o capacitaciones en temas de seguridad de la información, así como aplicar un proceso disciplinario que permita brindarle un tratamiento a las violaciones de las políticas de seguridad de la información, acuerdos/cláusulas de confidencialidad y de aceptación de las políticas de seguridad de la información, así como cualquier otro tipo de violación, que ponga en riesgo la preservación de la confidencialidad, integridad y disponibilidad de la información. Alcance: La Política Durante la Ejecución del Empleo será aplicada por la Alta Dirección, Control Interno Disciplinario, así como, el Profesional de Seguridad de la Información y todos los servidores públicos, proveedores y partes interesadas, que tengan acceso a las instalaciones físicas y sistemas de seguridad de la información de la ETITC. Directrices: Es importante la definición y puesta en marcha de un proceso disciplinario, que permita brindarle un tratamiento a las violaciones de las políticas de seguridad de la información, los acuerdos o cláusulas de confidencialidad, acuerdos o cláusulas de aceptación de políticas de seguridad de la

28 PÁGINA: 28 de 90 información o cualquier otro tipo de incidente de seguridad, que ponga en riesgo la preservación de la confidencialidad, integridad y disponibilidad de la información de la ETITC. Es importante la elaboración y puesta en marcha de un programa de capacitación en temas de seguridad de la información. Responsabilidades de áreas, organizaciones y personal de la ETITC Alta Dirección: - La Alta Dirección debe demostrar su compromiso con la seguridad de la información, por medio de la aprobación del Manual de Políticas de Seguridad de la Información, normas y demás lineamientos que desee establecer la Institución. - La Alta Dirección debe promover la importancia de la seguridad de la información entre los servidores públicos, proveedores y partes interesadas que acceden a las instalaciones físicas y sistemas de información de la ETITC, así como motivar el entendimiento, toma de conciencia y el cumplimiento de las políticas, normas, procedimientos y estándares establecidos para la seguridad de la información. - La Alta Dirección debe definir y establecer el proceso disciplinario, para el tratamiento de las violaciones a las políticas de seguridad de la información, acuerdos o cláusulas de confidencialidad y aceptación de las políticas de seguridad de la información, o cualquier otro tipo de incidente de seguridad que ponga en riesgo la preservación de la confidencialidad, integridad y disponibilidad de la información de la ETITC. Profesional de Seguridad de la Información: - El Profesional de Seguridad de la Información debe diseñar y ejecutar de manera permanente, un programa de concienciación en seguridad de la información, con el objetivo de apoyar la protección adecuada de los sistemas de información y áreas físicas de la ETITC. - El Profesional de Seguridad de la Información debe capacitar y entrenar a los servidores públicos, proveedores y partes interesadas que trabajan para la ETITC, en el programa de concienciación en seguridad de la información, para evitar posibles riesgos de seguridad de la misma. - El Profesional de Seguridad de la Información debe controlar la asistencia a las charlas y/o eventos de seguridad de la información que se programen, para todos los servidores públicos, proveedores y partes interesadas que trabajan para la ETITC.

29 PÁGINA: 29 de 90 Control Interno Disciplinario: - La oficina de Control Interno Disciplinario debe aplicar el proceso disciplinario, definido y aprobado por la Alta Dirección, cuando se identifiquen incumplimientos de las políticas de seguridad de la información, acuerdos de confidencialidad y aceptación de las políticas de seguridad de la información, así como cualquier otra violación de seguridad que ponga en riesgo la preservación de la confidencialidad, integridad y disponibilidad de la información de la ETITC. Servidores públicos, Proveedores y Partes Interesadas: - Todos los servidores públicos, proveedores y partes interesadas deben dar cumplimiento a las políticas de seguridad de la información, normas, procedimientos, acuerdos/cláusulas de confidencialidad, acuerdos/cláusulas de aceptación de las políticas de seguridad de la información, así como asistir a las charlas y/o capacitaciones que sean referentes a la seguridad de la información Política de Terminación y Cambio de Empleo. Objetivo: Garantizar que para todos los servidores públicos que se desvinculen, tomen licencia o vacaciones, de la ETITC, sea inhabilitado su acceso en el sistema de control de acceso del Instituto, además, todo servidor público que cambie de posición laboral, obtenga los privilegios adecuados de acceso a los sistemas de información de la Escuela. Alcance: La Política de Terminación y Cambio de Empleo será aplicada por el área de Talento Humano, Informática y Comunicaciones, Audiovisuales y adicional por los Supervisores de Contratos o Líderes de Áreas, servidores públicos que tengan acceso a las instalaciones físicas y sistemas de información de la ETITC. Directrices: Es importante tener en cuenta que el sistema de control de acceso de la ETITC, es el encargado de otorgar, de manera electrónica, a un servidor públicos, estudiante, proveedor y parte interesada, acceso a las instalaciones físicas de la Escuela. Adicional, en caso de que el servidor público, efectúe un cambio de posición laboral, dentro de la ETITC, se debe revisar el manual de funciones para el nuevo cargo y modificar o mantener los privilegios de acceso a los sistemas de información del Instituto, del servidor público en mención.