Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Anexo C - Politicas de seguridad
Mario Ernesto Flores Torres
Compartir
Vista previa del material en texto
LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 0 2017 POLITICAS DE SEGURIDAD Versión 1.0 LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 1 CONTROL DE VERSIONES Código Versión Fecha Descripción de Cambios Elaborado por Aprobó MP-PSI-01 1.0 29/03/2017 Primera Versión Ing. Heiner Suarez Ing. Hawin Tapiero Ing. Heiner Suarez Ing. Hawin Tapiero LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 2 Tabla de contenido 1. OBJETIVO ................................................................................................................. 3 2. ALCANCE .................................................................................................................. 3 3. GLOSARIO ................................................................................................................ 4 4. ASPECTO REGLAMENTARIO .................................................................................. 6 4.1. REGULACIÓN EXTERNA ................................................................................... 6 4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES ............................................. 6 4.2.1. Políticas de Seguridad de la Información ................................................. 6 4.2.2. Políticas Específicas de Seguridad de la Información ............................. 8 4.2.3. Acuerdos de Niveles de Servicio – ANS Internos .................................. 34 5. REPRESENTACIÓN GRÁFICA DEL PROCESO ..................................................... 35 6. DESCRIPCIÓN DE PROCEDIMIENTOS .................................................................. 36 6.1. PLANEACIÓN ................................................................................................... 36 6.1.1. Políticas Generales ................................................................................... 36 6.1.2. Plan de Sensibilización y Capacitación .................................................. 37 6.2. INSPECCIÓN, ANÁLISIS, MEJORAMIENTO Y SERVICIOS DE SGSI ............ 38 6.2.1. Monitoreo .................................................................................................. 38 6.2.2. Detección y Análisis de Vulnerabilidades............................................... 43 6.2.3. Gestión de Incidentes .............................................................................. 46 6.2.4. Gestión de Usuarios ................................................................................. 51 6.3. GOBERNABILIDAD DEL SISTEMA DE GESTIÓN DE LA INFORMACIÓN – SGSI 54 6.3.1. Cumplimiento ............................................................................................ 54 7. VIGENCIA, CONSULTAS Y APROBACIONES ....................................................... 56 LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 3 INTRODUCCIÓN Las entidades del sector asegurador tienen en cuenta la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la organización, razón por la cual es necesario que se establezca un marco en el cual se asegure que la información es protegida de una manera adecuada independientemente de la forma en la que ésta sea manejada, procesada, transportada o almacenada. Este documento describe las políticas y normas de seguridad de la información definidas por las entidades del sector asegurador. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables, la norma ISO 27001:2013 y las recomendaciones del estándar ISO 27002:2013. Las políticas incluidas en este manual se constituyen como parte fundamental del sistema de gestión de seguridad de la información de las entidades del sector asegurador y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos. La seguridad de la información es una prioridad para las entidades y por tanto es responsabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas. 1. OBJETIVO Formalizar el procedimiento de Gestión de Seguridad de la Información, que hace parte del proceso de Gestión de Riesgos y Control. Definir y reglamentar los procedimientos requeridos para la operación del Sistema de Gestión de la Seguridad de la Información - SGSI, con el fin de asegurar que se ejecuten las actividades requeridas para proteger la información de las amenazas que recaigan sobre ella. Generar una cultura para disminuir el riesgo de información que le permita a la Entidad mantener el monitoreo, control y medición de las amenazas y vulnerabilidades, y aplicar procedimientos que salvaguarden la confidencialidad, integridad, disponibilidad y privacidad de la información. 2. ALCANCE Este manual reglamenta el proceso, desde la definición de políticas y la planeación, hasta el mejoramiento del proceso, pasando por la implementación de los planes, la ejecución y monitoreo continuo, extractando lecciones y aplicando nuevas y mejores prácticas. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 4 3. GLOSARIO Activo de Información: Es un dato o elemento que tiene valor para la Entidad. Amenaza: Hecho que puede producir un daño provocado por un evento. ASI: Analista de Seguridad de la Información. Auditoria. Practica de buen gobierno que permite identificar el nivel de cumplimiento y adherencia dentro de la organización a las normas, principios o buenas prácticas de la disciplina que se está analizando. Confidencialidad: Seguridad de que la información es accesible solamente por quienes están autorizados para ello. Disponibilidad: Seguridad de que los usuarios autorizados tienen acceso a la información y a los activos asociados cuando los requieren. Dispositivo de almacenamiento de información: Cualquier elemento fijo o removible que haga parte de un equipo o que pueda ser conectado a los equipos de procesamiento o transmisión de información, en el que resida o pueda residir información, entre los más conocidos están: memorias USB, dispositivos de reproducción de multimedia, unidades de CD-DVD fijas o removibles, Tape Back-ups, unidades de disco USB, unidades de ZIP Driver, cámaras fotográficas, dispositivos móviles. Doble Participación. Principio por el cual un empleado no puede concentrar varias funciones dentro de un mismo proceso para llevar a cabo, de forma unilateral, labores de modificación y/o aprobaciones. Dueño de la Información: Un individuo o unidad organizacional que tiene responsabilidad por clasificar y tomar decisiones de control con respecto al uso de su información. Evento: Suceso repentino que puede generar alguna afectación o alarma en un sistema de información. Incidente: Hecho o evento que puede afectar un activo de información. Integridad: Protección de la exactitud, del estado completo de la información y de los métodos de procesamiento. Logs: Registro oficial de eventos durante un periodo de tiempo en particular. Identifica información sobre quién, qué, cuándo, dónde y por qué un evento ocurre en cualquier sistema de información. Norma: Conjunto de reglas requeridas para implantar las políticas. Las normas hacen mención específica de tecnologías, metodologías, procedimientos de aplicación y otros factores involucrados y son de obligatorio cumplimiento. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 5 Nivel de Sensibilidad: Es un indicador del valor o importancia que tiene la información para la organización, dependiendo de la clasificación asignada a cada uno de las características de integridad, disponibilidady privacidad de dicha información. Procedimientos: Pasos operacionales específicos que los individuos deben tomar para lograr las metas definidas en las políticas. Riesgo: Probabilidad de ocurrencia de un evento de seguridad. Seguridad física: La protección de los equipos de procesamiento de la información de daños físicos, destrucción o robo; Protege las facilidades asignadas para el procesamiento de la información de daño, destrucción o ingreso desautorizados; y al personal de las situaciones potencialmente dañosas. Seguridad de la Información: Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y afinidad. Segregación de Funciones. Principio por el cual se reglamentan las funciones de uno o más funcionarios para la implementación del principio de la doble participación. Igualmente dichas funciones no deben ser contradictorias entre sí o sobreponer responsabilidades entre los actores de un procedimiento. Sistema de Gestión de la Seguridad de la Información (SGSI): Parte del sistema de gestión global basada en un enfoque hacia los riesgos globales de un negocio, cuyo fin es garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. El Sistema de Gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos, recursos. Usuarios: Un individuo que tiene autoridad limitada y específica del dueño de información para ver, modificar, adicionar, divulgar o eliminar información. Vulnerabilidad: Debilidad de un sistema que compromete la integridad, disponibilidad o la confidencialidad del mismo. VPN: Tecnología de red, que permite una extensión segura de la red local sobre una red pública o no controlada. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 6 4. ASPECTO REGLAMENTARIO 4.1. REGULACIÓN EXTERNA Ley 1581 de 2012 Protección de Datos Personales Ley 1328 de 2009 Régimen de Protección al Consumidor Financiero 4.2. POLÍTICAS, PROCEDIMIENTOS Y CONTROLES 4.2.1. Políticas de Seguridad de la Información a. Declaración de la Política La política de seguridad de la información de las entidades del sector asegurador tiene como objetivo garantizar la protección de los activos de información involucrados en la ejecución de los procesos que desarrolla la Organización en el ejercicio de su actividad, mediante un equipo calificado y comprometido con la seguridad de la información, garantizando la continuidad en las operaciones y procesos que soportan los objetivos del negocio y la mejora continua. b. Objetivos de la Política Fortalecer la gestión de seguridad de la información a través de la implementación y sostenimiento de un Sistema de Gestión de Seguridad de la Información - SGSI. Optimizar los procesos, estableciendo mecanismos que garanticen el mejoramiento continuo. Promover programas de formación y sensibilización de los funcionarios de la Entidad, en torno a la seguridad de la información y a la continuidad del negocio Crear y mantener una cultura organizacional en seguridad de la información. c. Alcance de la Política La Política de Seguridad de la Información aplica para todos los niveles de la Entidad: usuarios (que incluye funcionarios, accionistas, clientes), terceros (que incluye proveedores y contratistas), entes de control y entidades relacionadas que acceden, ya sea interna o externamente a cualquier activo de información independiente de su ubicación. Adicionalmente la presente Política aplica a toda la información creada, procesada o LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 7 utilizada a nivel corporativo, sin importar el medio, formato, presentación o lugar en el cual se encuentre. d. Principios de Seguridad Confidencialidad: La información solo podrá ser accedida, modificada y/o eliminada por quienes estén autorizados para ello. Disponibilidad: La información deberá estar accesible siempre que se requiera. Integridad: La información deberá preservar su veracidad y fidelidad a la fuente, independientemente del lugar y de la forma de almacenamiento y transmisión. e. Cumplimiento La Política de Seguridad de la Información y Continuidad del Negocio, la normatividad interna, procesos, procedimientos, estándares, controles y directrices derivados de aquella, son de obligatorio cumplimiento por los funcionarios, miembros, afiliados, clientes, proveedores, titulares de información, entes de control, autoridades administrativas o judiciales y, en general, toda persona natural o jurídica que acceda a cualquier activo de información. Su incumplimiento acarreará las acciones a que hubiere lugar. f. Aplicabilidad La gestión de la continuidad estará enfocada a controlar los riesgos actuales y potenciales de la información de acuerdo con el impacto sobre las operaciones y los objetivos de negocio de la Entidad, bajo el marco de la norma de Seguridad Internacional ISO 27001, y las recomendaciones de estamentos de control y vigilancia. g. Compromiso de la Dirección La Alta Dirección de la Organización, declara estar comprometida con la información, como uno de sus activos más importantes, por lo tanto, manifiesta su total compromiso con el establecimiento, implementación y gestión de un Sistema de Seguridad de la Información que incluye el diseño e implementación de un plan de continuidad y recuperación ante desastres. La Alta Dirección demostrará su compromiso a través de: La revisión y aprobación de la política contenida en este documento. La divulgación de esta política a todos los funcionarios de la Compañía, El aseguramiento de los recursos adecuados para implementar y mantener la política de Seguridad de la Información. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 8 4.2.2. Políticas Específicas de Seguridad de la Información A continuación se desarrollan políticas específicas asociadas directamente a los dominios, objetivos de control y controles del Anexo A de la Norma ISO 27001:2013 y relacionadas directamente con la Política General, que especifican la conducta aceptada por la Entidad en el manejo de su información y las acciones que deben ser tomadas para lograr los objetivos de la presente política. A.5. POLÍTICA DE SEGURIDAD A.5.1. Directrices de la Dirección en seguridad de la información Objetivo: La dirección debe brindar apoyo y orientación para la seguridad de la información de acuerdo con los requisitos del negocio de los seguros y con las leyes y reglamentos pertinentes. A.5.1.1. Conjunto de políticas para la seguridad de la información. Control: se debe definir en conjunto de las políticas de seguridad de la información de acuerdo a las necesidades identificadas en el análisis de riesgos, aprobada por la dirección, publicada y comunicada a los empleados y partes externas pertinentes. A.5.1.2. Revisión de las políticas para la seguridad de la información. Control: se debe verificar que se definan, implementen, revisen y actualicen las políticas de seguridad de la información. Diseñar, programar y realizar los programas de auditoría del sistema de gestión de seguridad de la información, los cuales estarán a cargo del área de Seguridad de la Información. A.6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN A.6.1. Organización interna Objetivo: establecer un marco de referencia de gestión para iniciar y controlar la implementación y la operaciónde la seguridad de la información dentro de la organización. A.6.1.1. Asignación de responsabilidades para la seguridad de la información. Control: se debe mantener una organización de seguridad, donde los roles y responsabilidades estén definidas y asignadas a los participantes en el modelo de seguridad establecido por la Entidad. Cada activo de información de la Entidad debe tener un dueño que debe ser responsable de su seguridad. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 9 La información que la Entidad utilice para el desarrollo de sus objetivos de negocio debe tener asignado un dueño, quién la utiliza en su área y es el responsable por su correcto uso. Así, él toma las decisiones que son requeridas para la protección de su información y determina quiénes son los usuarios y sus privilegios de uso. Los dueños de la información son los responsables de asegurar que la información del negocio cuente con las políticas para la protección y preservación de la confidencialidad, integridad, disponibilidad y privacidad de la información. El uso de la información de la Entidad por personal de terceros, socios, entidades relacionadas, ya sea local o remotamente, debe ser formalizado por medio de acuerdos que hagan obligatorio el cumplimiento del presente Manual. En el contrato de servicios se debe incluir un documento que detalle sus compromisos en el cuidado de la información de la Entidad y las penas a que estarían sujetos en caso de incumplirlos. El cumplimiento de los niveles de servicio en seguridad de la información de terceros, debe ser verificado periódicamente. Cada relación con un tercero debe tener un representante de alto nivel dentro de la misma, que vele por el correcto uso y la protección de la información del negocio. Éste será responsable por la actividad de dichos funcionarios durante la vigencia del contrato. A.6.1.2. Segregación de tareas. Control: los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional de la información de la Entidad, o el uso indebido de los activos de la organización. A.6.1.3. Contacto con las autoridades. Control: se deben mantener los contactos apropiados con las autoridades pertinentes, que pueden apoyar a solucionar conflictos en cuanto a la seguridad de la información de la Entidad. A.6.1.4. Contacto con grupos de interés especial. Control: para la entidad siempre debe ser conveniente mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad. A.6.1.5. Seguridad de la información en la gestión de proyectos. Control: durante la planeación y ejecución de los proyectos de la Entidad, además de las áreas interesadas, debe participar el área de Seguridad de la Información como generador de recomendaciones en la evaluación de los riesgos inherentes con dichos proyectos. A.6.2. Dispositivos para movilidad y teletrabajo. Objetivo: garantizar la seguridad del teletrabajo y el uso de dispositivos móviles. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 10 A.6.2.1. Política de uso de dispositivos para movilidad. Control: el uso de dispositivos móviles, tales como PDAs, smartphones, celulares u otros dispositivos electrónicos sobre los que se puedan realizar intercambios de información con cualquier recurso de la Entidad, debe estar autorizado de forma explícita por la dependencia respectiva, en conjunto con la Gerencia de Seguridad de la Información y podrá llevarse a cabo sólo en dispositivos provistos por la organización para tal fin. A.6.2.2. Teletrabajo. Control: se debe proteger la información a la que se tiene acceso, que es procesada o almacenada en lugares en los que se realiza teletrabajo. Esta información debe estar encriptada y tener todos los softwares necesarios para protegerla de los ataques. A.7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. A.7.1. Antes de la contratación. Objetivo: asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran. A.7.1.1. Investigación de antecedentes. Control: los nuevos empleados que ingresen a la Entidad, deben pasar por un proceso de investigación de antecedentes, con el fin de mitigar los riesgos en el uso de la información. A.7.1.2. Términos y condiciones de contratación. Control: los contratos de los empleados deben incluir cláusulas que especifiquen las responsabilidades y los cuidados que deben tener con la información de la Entidad. A.7.2. Durante la contratación. Objetivo: asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad de la información y las cumplan. A.7.2.1. Responsabilidades de gestión. Control: la Entidad debe proveer los mecanismos necesarios para asegurar que sus empleados cumplan con sus responsabilidades en Seguridad de la Información desde su ingreso hasta su retiro. A.7.2.2. Concienciación, educación y capacitación en seguridad de la información. Control: la Entidad debe establecer un programa permanente de creación de cultura en seguridad de la información para los empleados y terceros, capacitándolos constantemente en actualizaciones regulares sobre las políticas y procedimientos pertinentes para su cargo. A.7.2.3. Proceso disciplinario. Control: las Políticas de Seguridad de la Información con sus respectivas normas, estándares, procedimientos y demás documentos que se generen y soporten el Sistema de LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 11 Gestión de Seguridad de la Información son de obligatorio cumplimiento. La ejecución de acciones que atenten contra la confidencialidad, disponibilidad, integridad y privacidad de la información resultará en una acción disciplinaria que puede llegar hasta la terminación del contrato de trabajo y al posible establecimiento de un proceso judicial bajo las leyes nacionales o internacionales que apliquen. A.7.3. Cese o cambio de puesto de trabajo. Objetivo: proteger los intereses de la organización como parte del proceso de cambio o terminación del contrato. A.7.3.1. Cese o cambio de puesto de trabajo. Control: se debe informar a los empleados o contratistas, las responsabilidades y los deberes de seguridad de la información que permanecen validos después de la terminación o cambio de contrato, los cuales deben cumplir. A.8. GESTIÓN DE ACTIVOS. A.8.1. Responsabilidad sobre los activos. Objetivo: identificar los activos organizacionales y definir las responsabilidades de protección apropiadas. A.8.1.1. Inventario de activos. Control: la Entidad debe mantener un inventario de recursos o activos de información. Los dueños de la información deben clasificar la información basados en su valor, sensibilidad, riesgo de pérdida o compromiso y/o requerimientos legales de retención. A.8.1.2. Propiedad de los activos. Control: el área responsable del proceso debe realizar el debido control y mantenimiento al inventario de activos de tecnología e información, para establecer responsabilidad sobre la tenencia de los mismos y la información sobre estos, incluido el control al licenciamiento de software. A.8.1.3. Uso aceptable de los activos. Control: independientemente del medio en donde se encuentre cada activo de información, éstos deben ser clasificados por el dueño de la información, mediante el estándar de clasificación establecido. Estos controles deben ser aplicados y mantenidos durante el ciclo de vida de la información, desde su creación, durante su uso autorizado y hasta su apropiada disposición o destrucción. A.8.1.4. Devolución de activos. Control: todos los empleados y usuarios de partes externas deben devolver todos los activos de la organización que se encuentrena su cargo, al terminar su empleo, contrato o acuerdo. Debe quedar un acta de dicha devolución, firmada por ambas partes. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 12 A.8.2 Clasificación de la información. Objetivo: asegurar que la información recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización. A.8.2.1. Directrices de clasificación. Control: Los dueños de la información deben clasificar los niveles de sensibilidad de la misma, de acuerdo con los siguientes criterios: CRITERIO / NIVEL ALTO MEDIO BAJO PRIVACIDAD El acceso está restringido a pocas personas, existe un conocimiento explícito de las personas que manipulan dicha información. El acceso está restringido a un grupo de personas claramente definido. No son necesarios los controles para la divulgación de este nivel de información. INTEGRIDAD La información no debe cambiar, sin un proceso establecido, identificando quién tiene la responsabilidad de liberar la última versión. Los datos deben estar actualizados en su totalidad. Y se debe identificar quién y cuándo se realizó modificación a la información. De igual forma, los procesos que afectan dicha información deben estar controlados en sus cambios y versiones. Se requiere para su modificación seguir los procedimientos establecidos. La información debe estar actualizada y controlada en sus versiones. No es necesario mantener el control de versiones sobre este tipo de información. DISPONIBILIDAD Es de vital importancia para el negocio mantener el acceso a No es crítico que la información tenga Esta información no se requiere para los LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 13 esta información, que debe tenerse en cuenta para los planes de recuperación del negocio. demoras en su consulta. procesos críticos de negocio. A.8.2.2. Etiquetado y manipulado de la información. Control: se deben aplicar los siguientes criterios para etiquetar la información de la Entidad: CRITERIO / TIPO Y NIVEL PRIVACIDAD INTEGRIDAD DISPONIBILIDAD A M B A M B A M B CONFIDENCIAL X X X INTERNA X X X PUBLICA X X X Toda información que sea utilizada dentro de los procesos desarrollados por la Entidad debe estar catalogada de acuerdo con los siguientes niveles de sensibilidad: Nivel 1. Información Pública: Los datos de este nivel pueden ser entregados al público en general, sin ninguna implicación para la Entidad. Los datos no son vitales. Pérdidas de este tipo de información son de bajo riesgo y no requieren controles especiales. P.ej.: Información de campañas publicitarias y de estados financieros una vez que hayan sido aprobados. La integridad de la información pública debe ser vigilada para no atentar en contra de la imagen y reputación de la Organización. Nivel 2. Información Interna: La información clasificada en este nivel debe estar restringida al acceso externo. Si ésta llegase a ser divulgada, las consecuencias son de riesgo medio. El acceso interno debe ser selectivo. La integridad de la información es importante pero no es vital. Se cataloga dentro de este nivel cualquier tipo de información que tenga por lo menos una de las siguientes características: Información relevante a procesos internos, controles y registros. Manuales organizacionales y de responsabilidades de cargos. Información operativa y técnica de los sistemas de información. Nivel 3. Información Confidencial. Este tipo de información debe ser protegida del acceso externo e interno no autorizado. Si esta información es conocida por personas no LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 14 autorizadas se corre el riesgo de afectar la operación normal de la Entidad, su reputación frente al mercado y la continuidad del negocio. Se cataloga dentro de este nivel cualquier tipo de información que tenga por lo menos una de las siguientes características: Información suministrada por otras entidades relacionadas con sus clientes. Claves de acceso asociados con servicios de consultas y modificación de información de las bases de datos. Código fuente de aplicativos e información técnica sensible. Códigos de identificación y verificación de clientes. Códigos de acceso a correo de voz. Información que solo será comunicada internamente por necesidad entre las áreas, por ejemplo: Información sobre adquisición o desarrollo de sistemas y productos. Estrategias de mercadeo. Extractos financieros de clientes. Información personal de los funcionarios, relacionada con compensación salarial o vida privada (dirección y teléfono de residencia, celular personal). Información relativa a los clientes y negocios de la Entidad. Información que revele situaciones de la Entidad, tales como informes de auditoría, procesos judiciales en curso o información del gremio que pueda ser utilizada para beneficio propio o de terceros. Planes de producto, estrategias de lanzamiento de nuevos productos y/o rentabilidad de los mismos. Información interna comúnmente compartida: manuales, procedimientos, políticas e instrucciones internas relacionadas con el negocio. A.8.2.3. Manipulación de activos. Control: Cada gerente de área debe realizar el proceso de clasificación de información, inventariando la información utilizada por su área, especificando los siguientes puntos: Nombre la información Procesos en los que es utilizada Formato en el que se encuentra Nivel de sensibilidad En los casos en que la misma información esté clasificada por diferentes áreas en niveles de sensibilidad diferentes, la Gerencia de Seguridad de la Información determinará el valor y el nivel de clasificación para dicha información. A.8.3. Manejo de los soportes de almacenamiento. Objetivo: establecer procedimientos eficaces para el manejo de los soportes de almacenamiento, de acuerdo con la clasificación de la información LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 15 A.8.3.1. Gestión de soportes extraíbles. Control: no está permitida la conexión a la red de la Entidad de equipos portátiles, notebooks, computadores, dispositivos móviles o cualquier otro dispositivo que se considere removible, de uso personal de los funcionarios, sin la debida autorización del Jefe inmediato y de la Gerencia de Seguridad de la Información. A.8.3.2. Eliminación de soportes. Control: la entidad, establece la siguiente política en materia de respaldo y borrado seguro de la información: Permanentemente se debe efectuar copia de respaldo de toda la información considerada confidencial o sensible y que se encuentre contenida en los equipos de la Entidad. En especial se debe asegurar el respaldo de información cuando termine el vínculo laboral del funcionario o contractual del proveedor responsable de su generación, edición y manejo, así como cuando se vaya a dar de baja un activo tecnológico (por pérdida, daño, devolución, enajenación o donación, entre otros). Se deben adoptar procedimientos para la aplicación de técnicas de borrado seguro de información, mediante herramientas o procesos manuales o automáticos que permitan eliminar toda la información contenida en el equipo o dispositivo asignado a un funcionario o proveedor cuando sea necesario, ya sea por su desvinculación o por la baja del activo tecnológico. Los procedimientos establecidos en esta política, se deben aplicar a todo dispositivo de almacenamiento que contenga información confidencial o sensible para la Entidad, como discos duros, dispositivos removibles, tabletas, equipos móviles, entre otros. Está prohibida la reutilización y/o reasignación de equipos o dispositivos aotros funcionarios o terceros que contenga información sensible de la Entidad sin que la respectiva gerencia de Tecnología haya aplicado previamente los procedimientos de back- up y de borrado seguro de información. A.8.3.3. Soportes físicos en tránsito. Control: durante el transporte fuera de los límites físicos de la organización, los soportes que contengan información deben estar protegidos contra accesos no autorizados, usos indebidos o deterioro. Se etiquetarán las cajas con el nivel confidencialidad de la información que contienen. Se redactara un acta de envío y una de recepción en la que constará claramente el compromiso de confidencialidad adquirido por el transportista y se designarán las personas de la Organización responsables tanto del envío como de la recepción. A.9. CONTROL DE ACCESOS. A.9.1. Requisitos de negocio para el control de accesos. Objetivo: limitar el acceso a información y a instalaciones de procesamiento de información. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 16 A.9.1.1. Política de control de accesos. Control: el uso de la información de la Entidad debe ser controlado para prevenir accesos no autorizados. Los privilegios sobre la información deben ser otorgados y mantenidos de acuerdo con las necesidades de la operación, limitando el acceso sólo a lo que es requerido. A.9.1.2. Control de acceso a las redes y servicios asociados. Control: el acceso a la red de de la Entidad debe ser otorgado solo a usuarios autorizados, previa definición, verificación y control de los perfiles y roles para el acceso en los diferentes sistemas de información, en coordinación con el área de Recursos Humanos, la Gerencia Administrativa y la Gerencia de IT. A.9.2. Gestión de acceso de usuario. Objetivo: garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de información. A.9.2.1. Gestión de altas/bajas en el registro de usuarios. Control: se debe establecer por la Entidad, los procedimientos para cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de información. A.9.2.2. Gestión de los derechos de acceso asignados a usuarios. Control: se deben establecer mecanismos de control de acceso físico y lógico para los usuarios, con el fin de asegurar que los activos de información se mantengan protegidos de una manera consistente con su valor para el negocio y con los riesgos de pérdida de confidencialidad, integridad, disponibilidad y privacidad de la información. A.9.2.3. Gestión de los derechos de acceso con privilegios especiales. Control: la Entidad se reserva el derecho de restringir el acceso a cualquier información en el momento que lo considere conveniente. El personal seleccionado por la Entidad podrá utilizar tecnología de uso restringido como la de monitoreo de red, datos operacionales y eventos en seguridad de la información. Ningún hardware o software no autorizados serán cargados, instalados o activados en los recursos informáticos, sin previa autorización formal de la Gerencia de Seguridad de la Información. A.9.2.4. Gestión de información confidencial de autenticación de usuarios. Control: los usuarios de la Entidad serán requeridos para que se autentiquen ellos mismos, previa obtención del acceso a la información. Dependiendo del valor de la información y del nivel de riesgo, la Entidad definirá medios de autenticación apropiados, que no podrán ser compartidos (como la palabra clave) y deberán estar habilitados solamente para las jornadas de trabajo establecidas por la Entidad. Dichos medios de autenticación contienen información confidencial que no debe ser revelada o almacenada en lugares que puedan ser accedidos por personas no autorizadas. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 17 A.9.2.5. Revisión de los derechos de acceso de los usuarios. Control: en el uso de la información de la Entidad no se debe presumir privacidad, por lo que cuando ésta sea utilizada se deben crear registros de la actividad realizada, que pueden ser revisados periódicamente o en una investigación, con el objetivo de detectar abusos y amenazas. A.9.2.6. Retirada o adaptación de los derechos de acceso. Control: todos los usuarios que acceden la información de la Entidad deben disponer de un medio de identificación y el acceso debe ser controlado a través de una autenticación personal, la cual puede ser modificada cuando se presente un cambio de funciones del empleado o se retire definitivamente de la organización. A.9.3. Responsabilidades del usuario. Objetivo: hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación. A.9.3.1. Uso de información confidencial para la autenticación. Control: cada usuario es responsable por sus acciones mientras usa cualquier recurso de información de la Entidad. Por lo tanto, la identidad de cada usuario que acceda los recursos informáticos debe ser establecida y autenticada de una manera única y no puede ser compartida. A.9.4. Control de acceso a sistemas y aplicaciones. Objetivo: evitar el acceso no autorizado a sistemas y aplicaciones. A.9.4.1. Restricción del acceso a la información. Control: el acceso a la información de la Entidad y a las funciones de los sistemas de las aplicaciones, será restringido de acuerdo con la política de control de acceso, ya que se debe asegurar que los usuarios de la información, únicamente tengan acceso a lo que les concierne. A.9.4.2. Procedimientos seguros de inicio de sesión. Control: se debe concienciar y controlar que los usuarios sigan buenas prácticas de seguridad en la selección, uso y protección de claves o contraseñas, las cuales constituyen un medio de validación de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones, equipos o servicios informáticos de manera segura. Los usuarios son responsables del uso de las claves o contraseñas de acceso que se le asignen para la utilización de los equipos o servicios informáticos de la Entidad. Los usuarios deben tener en cuenta los siguientes aspectos: LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 18 No incluir contraseñas en ningún proceso de registro automatizado, por ejemplo almacenadas en un macro o en una clave de función. El cambio de contraseña solo podrá ser solicitado por el titular de la cuenta o su jefe inmediato. Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no estén en uso. Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin éxito, a un equipo o sistema informático, en forma consecutiva por cinco veces. La clave de acceso será desbloqueada sólo por el responsable de la gestión de usuarios, luego de la solicitud formal por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivación debe ser documentada y comunicada al gestor de usuarios. A.9.4.3. Gestión de contraseñas de usuario. Control: las contraseñas deben ser: Poseer algún grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni tener información personal, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc. Tener mínimo diez caracteres alfanuméricos. Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema. Cambiarse obligatoriamente cada 30 días, o cuando lo establezca el Área de Tecnología y Sistemas de Información. Cada vez que se cambien estas deben ser distintas por lo menos de las últimas tres anteriores. Cambiar la contraseña si ha estado bajo riesgo o se ha detectado anomalía en la cuenta deusuario. No se deben usar caracteres idénticos consecutivos, ni que sean todos numéricos, ni todos alfabéticos. No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse. No ser reveladas a ninguna persona, incluyendo al personal del Área de Tecnología y Sistemas de Información. No regístralas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma segura y el método de almacenamiento este aprobado. A.9.4.4. Uso de herramientas de administración de sistemas. Control: el área de Tecnología de la Entidad, velará porque los recursos de la plataforma tecnológica y los servicios de red sean operados y administrados en condiciones controladas y de seguridad, que permitan un monitoreo posterior de la actividad de los usuarios administradores, poseedores de los más altos privilegios sobre dichas plataformas y servicios. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 19 A.9.4.5. Control de acceso al código fuente de los programas. Control: el área de Tecnología de la Entidad, como responsable de la administración de los sistemas de información, aplicativos y sus códigos fuente, propenderá para que estos sean debidamente protegidos contra accesos no autorizados a través de mecanismos de control de acceso lógico. Así mismo, velará porque los desarrolladores, tanto internos como externos, acojan buenas prácticas de desarrollo en los productos generados para controlar el acceso lógico y evitar accesos no autorizados a los sistemas administrados. A.10. CIFRADO. A.10.1. Controles criptográficos. Objetivo: el objetivo es garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, la autenticidad y/o la integridad de la información. A.10.1.1. Política de uso de los controles criptográficos. Control: la Entidad velará porque la información, clasificada como reservada o restringida, será cifrada al momento de almacenarse y/o transmitirse por cualquier medio, con el propósito de proteger su confidencialidad e integridad. A.10.1.2. Gestión de claves. Control: la Entidad debe proteger los tipos de claves de modificación o destrucción; las claves secretas y las privadas además requieren protección contra su distribución no autorizada. Con este fin deben usarse técnicas criptogramas para asegurar la confiabilidad de la información. Se debe utilizar protección física para cubrir el equipo usado en la generación, almacenamiento y archivo de claves. A.11. SEGURIDAD FÍSICA Y AMBIENTAL. A.11.1. Áreas seguras. Objetivo: el objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información. A.11.1.1. Perímetro de seguridad física. Control: la seguridad física de la Entidad debe basarse en perímetros y áreas seguras, las cuales serán protegidas por medio de controles circundantes apropiados. A.11.1.2. Controles físicos de entrada. Control: todas las entradas a las áreas físicas del negocio deben tener un nivel de seguridad acorde con el valor de la información que se procesa y administra en ellas. La información confidencial o sensitiva debe mantenerse en lugares con acceso restringido cuando no es utilizada. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 20 A.11.1.3. Seguridad de oficinas, despachos y recursos. Control: Los ingresos y egresos de personal a las instalaciones de la Entidad, deben ser registrados; por consiguiente, los funcionarios y personal provisto por terceras partes deben cumplir completamente con los controles físicos implantados. Los funcionarios deben portar el carné que los identifica como tales en un lugar visible mientras se encuentren en las instalaciones de la Entidad; en caso de pérdida del carné o tarjeta de acceso a las instalaciones, deben reportarlo a la mayor brevedad posible. A.11.1.4. Protección contra las amenazas externas y ambientales. Control: la Entidad debe proveer las condiciones físicas y medioambientales necesarias para certificar la protección y correcta operación de los recursos, en especial la plataforma tecnológica ubicada en el centro de cómputo; deben existir sistemas de control ambiental de temperatura y humedad, sistemas de detección y extinción de incendios, sistemas de descarga eléctrica, sistemas de vigilancia y monitoreo y alarmas en caso de detectarse condiciones ambientales inapropiadas. Estos sistemas se deben monitorear de manera permanente. A.11.1.5. El trabajo en áreas seguras. Control: la Entidad proveerá la implantación y velará por la efectividad de los mecanismos de seguridad física y control de acceso que aseguren el perímetro de sus instalaciones. Así mismo, controlará las amenazas físicas externas e internas y las condiciones medioambientales de sus oficinas, para mantener las áreas seguras de cualquier factor de riesgo. A.11.1.6. Áreas de acceso público, carga y descarga. Control: la Entidad debe proporcionar los recursos necesarios para ayudar a proteger, regular y velar por el perfecto estado de los controles físicos implantados en las instalaciones y especialmente debe certificar la efectividad de los mecanismos de seguridad física y control de acceso al centro de cómputo, centros de cableado y demás áreas de procesamiento de información. Aquellos funcionarios o personal provisto por terceras partes para los que aplique, en razón del servicio prestado, deben utilizar prendas distintivas que faciliten su identificación en las áreas de acceso público. A.11.2. Seguridad de los equipos. Objetivo: el objetivo es evitar la pérdida, los daños, el robo o el compromiso de activos y la interrupción a las operaciones de la organización. A.11.2.1. Emplazamiento y protección de equipos. Control: los recursos informáticos de la Entidad deben estar físicamente protegidos contra amenazas de acceso no autorizado y amenazas ambientales para prevenir exposición, daño o pérdida de los activos e interrupción de las actividades. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 21 A.11.2.2. Instalaciones de suministro. Control: la Entidad debe asegurar que las labores de mantenimiento de redes eléctricas, de voz y de datos, sean realizadas por personal idóneo y apropiadamente autorizado e identificado; así mismo, se debe llevar control de la programación de los mantenimientos preventivos. A.11.2.3. Seguridad del cableado. Control: el área de Tecnología de la Entidad, debe certificar que el centro de cómputo y los centros de cableado que están bajo su custodia, se encuentren separados de áreas que tengan líquidos inflamables o que corran riesgo de inundaciones e incendios. A.11.2.4. Mantenimiento de los equipos. Control: los medios y equipos donde se almacena, procesa o comunica la información, deben mantenerse con las medidas de protección físicas y lógicas, que permitan su monitoreo y correcto estado de funcionamiento; para ello se debe realizar los mantenimientos preventivos periódicamente cada seis meses y correctivos cuando se requieran. A.11.2.5. Salida de activos fuera de las dependencias de la empresa. Control: la Entidad debe velar porque la entrada y salida de información, software, estaciones de trabajo, servidores, equipos portátiles y demás recursos tecnológicos corporativos de las instalaciones, cuente con la autorización documentada y aprobada previamente por el responsable de los recursos físicos o en su defecto el área responsable del activo. A.11.2.6. Seguridad de los equipos y activos fuera de las instalaciones. Control: el área responsable de los recursos físicos debe velar porque los equipos que se encuentran sujetos a traslados físicos fuera del instituto, posean pólizas de seguro que cubran los diferentes riesgos que puedan presentar.A.11.2.7. Reutilización o retirada segura de dispositivos de almacenamiento. Control: el área de Tecnología debe efectuar la reutilización o retirada segura de los dispositivos de almacenamiento que tienen información de la Entidad, a través de los mecanismos necesarios en la plataforma tecnológica, ya sea cuando son dados de baja o cambian de usuario. A.11.2.8. Equipo informático de usuario desatendido. Control: el área de Tecnología debe velar porque los equipos informáticos de los usuarios que no trabajan dentro de las instalaciones de la Entidad, tengan sus medios de almacenamiento cifrados, los softwares para protección de la información, que eviten que la información se accedida por personas no autorizadas. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 22 A.11.2.9. Política de puesto de trabajo despejado y bloqueo de pantalla. Control: tanto los funcionarios como el personal provisto por terceras partes deben asegurarse que en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren libres de documentos y medios de almacenamiento, utilizados para el desempeño de sus labores; estos deben contar con las protecciones de seguridad necesarias de acuerdo con su nivel de clasificación. También deben bloquear sus estaciones de trabajo en el momento de abandonar su puesto de trabajo. A.12. SEGURIDAD EN LA OPERATIVA. A.12.1. Responsabilidades y procedimientos de operación. Objetivo: el objetivo es evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información. A.12.1.1. Documentación de procedimientos de operación. Control: la Entidad debe efectuar, a través de sus funcionarios responsables de los procesos, la documentación y actualización de los procedimientos relacionados con la operación y administración de la plataforma tecnológica. A.12.1.2. Gestión de cambios. Control: todo cambio a la infraestructura informática deberá estar controlado y será realizado de acuerdo con los procedimientos de gestión de cambios del Área de Tecnología y Sistemas de Información de la Entidad. A.12.1.3. Gestión de capacidades. Control: el área de Tecnología, a través de sus funcionarios, debe realizar estudios sobre la demanda y proyecciones de crecimiento de los recursos administrados (capacity planning) de manera periódica, con el fin de asegurar el desempeño y capacidad de la plataforma tecnológica. Estos estudios y proyecciones deben considerar aspectos de consumo de recursos de procesadores, memorias, discos, servicios de impresión, anchos de banda, internet y tráfico de las redes de datos, entre otros. A.12.1.3. Separación de entornos de desarrollo, prueba y producción. Control: el área de Tecnología debe proveer los recursos necesarios para la implantación de controles que permitan la separación de ambientes de desarrollo, pruebas y producción, teniendo en cuenta consideraciones como: controles para el intercambio de información entre los ambientes de desarrollo y producción, la inexistencia de compiladores, editores o fuentes en los ambientes de producción y un acceso diferente para cada uno de los ambientes. A.12.2. Protección contra código malicioso. Objetivo: el objetivo es garantizar que la información y las instalaciones de procesamiento de información estén protegidas contra el malware. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 23 A.12.2.1. Controles contra el código malicioso. Control: la Entidad proporcionará los mecanismos necesarios que garanticen la protección de la información y los recursos de la plataforma tecnológica en donde se procesa y almacena, adoptando los controles necesarios para evitar la divulgación, modificación o daño permanente ocasionados por el contagio de software malicioso. Además, proporcionará los mecanismos para generar cultura de seguridad entre sus funcionarios y personal provisto por terceras partes frente a los ataques de software malicioso. A.12.3. Copias de seguridad. Objetivo: alcanzar un grado de protección deseado contra la pérdida de datos. A.12.3.1. Copias de seguridad de la información. Control: la Entidad certificará la generación de copias de respaldo y almacenamiento de su información crítica, proporcionando los recursos necesarios y estableciendo los procedimientos y mecanismos para la realización de estas actividades. Las áreas propietarias de la información, con el apoyo del área de Tecnología, encargada de la generación de copias de respaldo, definirán la estrategia a seguir y los periodos de retención para el respaldo y almacenamiento de la información. Así mismo, la Entidad velará porque los medios magnéticos que contienen la información crítica sean almacenados en una ubicación diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se resguarden las copias de respaldo debe contar con los controles de seguridad física y medioambiental apropiados A.12.4. Registro de actividad y supervisión. Objetivo: registrar los eventos relacionados con la seguridad de la información y generar evidencias. A.12.4.1. Registro y gestión de eventos de actividad. Control: la Entidad realizará monitoreo permanente del uso que dan los funcionarios y el personal provisto por terceras partes a los recursos de la plataforma tecnológica y los sistemas de información. Además, velará por la custodia de los registros de auditoria cumpliendo con los periodos de retención establecidos para dichos registros. El área de Tecnología definirá la realización de monitoreo de los registros de auditoria sobre los aplicativos donde se opera los procesos misionales de la Entidad. El Comité de revisión de logs mensualmente se reunirá a analizar los resultados del monitoreo efectuado. A.12.4.2. Protección de los registros de información. Control: el área de Tecnología debe certificar la integridad y disponibilidad de los registros de auditoria generados en la plataforma tecnológica y los sistemas de información de la Entidad. Estos registros deben ser almacenados y solo deben ser accedidos por personal autorizado. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 24 A.12.4.3. Registros de actividad del administrador y operador del sistema. Control: el área de Control Interno debe revisar periódicamente los registros de auditoria de los administradores y operadores de la plataforma tecnológica y los sistemas de información con el fin de identificar brechas de seguridad y otras actividades propias del monitoreo. A.12.4.4. Sincronización de relojes. Control: el área de Tecnología debe proveer un sistema que sincronice los relojes de todos los sistemas de procesamiento de información pertinentes dentro de la Entidad o de un dominio de seguridad. Este sistema debe ser una fuente de sincronización única de referencia. A.12.5. Control del software en explotación. Objetivo: garantizar la integridad de los sistemas operacionales para la organización. A.12.5.1. Instalación del software en sistemas en producción. Control: la Entidad, a través del área de Tecnología, designará responsables y establecerá procedimientos para controlar la instalación de software operativo, se cerciorará de contar con el soporte de los proveedores de dicho software y asegurará la funcionalidad de los sistemas de información que operan sobre la plataforma tecnológica cuando el software operativo es actualizado. A.12.6. Gestión de la vulnerabilidad técnica. Objetivo: evitar la explotación de vulnerabilidades técnicas. A.12.6.1. Gestión de las vulnerabilidades técnicas. Control: la Entidad, a través del área de Tecnología y la Gerencia de Seguridad de la Información, revisará periódicamente la aparición de vulnerabilidades técnicas sobre los recursos de la plataforma tecnológicapor medio de la realización periódica de pruebas de vulnerabilidades, con el objetivo de realizar la corrección sobre los hallazgos arrojados por dichas pruebas. Estas dos áreas conforman el Comité de vulnerabilidades encargado de revisar, valorar y gestionar las vulnerabilidades técnicas encontradas. A.12.6.1. Restricciones en la instalación de software. Control: La instalación de software en los computadores suministrados por la Entidad, es una función exclusiva del área de Tecnología y Seguridad de la Información. Se mantendrá una lista actualizada del software autorizado para instalar en los computadores. Periódicamente, el área de Tecnología y Seguridad de la Información efectuará la revisión de los programas utilizados en cada dependencia. La descarga, instalación o uso de aplicativos o programas informáticos no autorizados será considera como una violación a las Políticas de Seguridad de la Información de la Entidad. A.12.7. Consideraciones de las auditorías de los sistemas de información. Objetivo: minimizar el impacto de actividades de auditoría en los sistemas operacionales. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 25 A.12.7.1. Controles de auditoría de los sistemas de información. Control: el área de Auditoría debe realizar monitoreo periódicamente para evaluar la conformidad con las políticas de la organización, para evaluar el nivel de implementación de los sistemas de información, para evaluar el estado de mantenimiento y la capacidad de mejoramiento de los sistemas de información. A.13. SEGURIDAD EN LAS TELECOMUNICACIONES. A.13.1. Gestión de la seguridad en las redes. Objetivo: evitar el acceso físico no autorizado, los daños e interferencias a la información de la organización y las instalaciones de procesamiento de la información. A.13.1.1. Controles de red Control: La Entidad establecerá, a través del área de Tecnología, los mecanismos de control necesarios para proveer la disponibilidad de las redes de datos y de los servicios que dependen de ellas y minimizar los riesgos de seguridad de la información transportada por medio de las redes de datos. De igual manera, propenderá por el aseguramiento de las redes de datos, el control del tráfico en dichas redes y la protección de la información reservada y restringida de la Entidad. A.13.1.2. Mecanismos de seguridad asociados a servicios en red Control: el área de Tecnología debe identificar los mecanismos de seguridad y los niveles de servicio de red requeridos e incluirlos en los acuerdos de servicios de red, cuando estos se contraten externamente. A.13.1.3. Segregación de redes Control: el área de Tecnología debe mantener las redes de datos segmentadas por dominios, grupos de servicios, grupos de usuarios, ubicación geográfica o cualquier otra tipificación que se considere conveniente para la Entidad. A.13.2. Intercambio de información con partes externas. Objetivo: mantener la seguridad de la información que transfiere una organización internamente o con entidades externas. A.13.2.1. Políticas y procedimientos de intercambio de información Control: la Entidad asegurará la protección de la información en el momento de ser transferida o intercambiada con otras entidades u otro destino externo y establecerá los procedimientos y controles necesarios para el intercambio de información; así mismo, se establecerán Acuerdos de Confidencialidad y/o de Intercambio de Información con las terceras partes con quienes se realice dicho intercambio. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 26 La Entidad propenderá por el uso de tecnologías informáticas y de telecomunicaciones para llevar a cabo el intercambio de información; sin embargo, establecerá directrices para el intercambio de información en medio físico. A.13.2.2. Acuerdos de intercambio Control: el área Legal, en acompañamiento con el área de Seguridad de la Información, debe definir los modelos de Acuerdos de Confidencialidad y/o de Intercambio de Información entre la Entidad y terceras partes incluyendo los compromisos adquiridos y las penalidades civiles o penales por el incumplimiento de dichos acuerdos. Entre los aspectos a considerar se debe incluir la prohibición de divulgar la información entregada por la Entidad a los terceros con quienes se establecen estos acuerdos y la destrucción de dicha información una vez cumpla su cometido. A.13.2.3. Mensajería electrónica Control: la Entidad, entendiendo la importancia del correo electrónico como herramienta para facilitar la comunicación entre funcionarios y terceras partes, proporcionará un servicio idóneo y seguro para la ejecución de las actividades que requieran el uso del correo electrónico, respetando siempre los principios de confidencialidad, integridad, disponibilidad y autenticidad de quienes realizan las comunicaciones a través de este medio. A.13.2.4. Acuerdos de confidencialidad y secreto Control: el área Legal debe establecer en los contratos que se establezcan con terceras partes, los Acuerdos de Confidencialidad o Acuerdos de intercambio dejando explícitas las responsabilidades y obligaciones legales asignadas a dichos terceros por la divulgación no autorizada de información de beneficiarios de la Entidad que les ha sido entregada en razón del cumplimiento de los objetivos misionales. A.14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN. A.14.1. Requisitos de seguridad de los sistemas de información. Objetivo: garantizar que la seguridad de la información sea una parte integral de los sistemas de información en todo el ciclo de vida, incluyendo los requisitos para aquellos que proporcionan servicios en redes públicas. A.14.1.1. Análisis y especificación de los requisitos de seguridad. Control: los requerimientos de seguridad de la información deben ser identificados previos al diseño de los sistemas de tecnología de la información. Durante el desarrollo, estos requerimientos deben ser incluidos dentro de los sistemas y si una modificación es requerida, ésta debe cumplir estrictamente con los requerimientos de seguridad de la información que han sido previamente establecidos. El nivel de Seguridad de la Información de un sistema no puede verse disminuido, por lo que la información y los sistemas en producción no serán utilizados para desarrollo, prueba o mantenimiento de aplicaciones. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 27 A.14.1.2. Seguridad de las comunicaciones en servicios accesibles por redes públicas. Control: el área de Tecnología debe asegurar que los sistemas de información o aplicativos informáticos que pasan a través de redes públicas, incluyen controles de seguridad y cumplen con las políticas de seguridad de la información, con el fin de proteger la información de la Entidad de posibles ataques. A.14.1.3. Protección de las transacciones por redes telemáticas. Control: los desarrolladores de las aplicaciones, deben certificar la transmisión de información relacionada con pagos o transacciones en línea a los operadores encargados, por medio de canales seguros. A.14.2. Seguridad en los procesos de desarrollo y soporte. Objetivo: garantizar que la seguridad de la información se diseñe e implemente dentro del ciclo de vida de desarrollo de los sistemas de información. A.14.2.1. Política de desarrollo seguro de software Control: la Entidad velará porque el desarrollo interno o externo de los sistemas de información cumpla con los requerimientos de seguridad esperados, con las buenas prácticas para desarrollo seguro de aplicativos, así como con metodologías para la realización de pruebas de aceptación y seguridad al software desarrollado. Además, se asegurará que todo software desarrollado o adquirido, interna o externamente cuenta con el nivel de soporte requeridopor la Entidad. A.14.2.2. Procedimientos de control de cambios en los sistemas. Control: el área de Tecnología debe contar con sistemas de control de versiones para administrar los cambios de los sistemas de información de la Entidad. La realización de un cambio tecnológico que no considere los requerimientos de seguridad de la Información hace que la Entidad esté expuesta a riesgos. Por lo tanto, cada cambio tecnológico debe asegurar el cumplimiento de la Política de Seguridad de la Información y sus respectivas normas, y en caso de exponer a la Entidad a un riesgo en seguridad de la información, éste debe ser identificado, evaluado, documentado, asumido y controlado por el respectivo dueño de la información. A.14.2.3. Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo. Control: el área de Tecnología, debe realizar pruebas de todos los sistemas, cuando se presente un cambio de sistema operativo en los equipos de cómputo de la Entidad, con el fin de revisar los posibles impactos en las operaciones o en la seguridad de la información de la organización. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 28 A.14.2.4. Restricciones a los cambios en los paquetes de software. Control: la realización de un cambio tecnológico en un paquete de software entregado por un tercero, que no considere los requerimientos de seguridad de la Información hace que la Entidad esté expuesta a riesgos. Por lo tanto, cada cambio tecnológico debe asegurar el cumplimiento de la Política de Seguridad de la Información y sus respectivas normas, y en caso de exponer a la Entidad a un riesgo en seguridad de la información, éste debe ser identificado, evaluado, documentado, asumido y controlado por el respectivo dueño de la información. A.14.2.5. Uso de principios de ingeniería en protección de sistemas. Control: la Entidad establecerá mecanismos de control en la labor de implementación en el sistema de información, con el objetivo de asegurar que la información a la que tengan acceso o servicios que sean provistos por las mismas, cumplan con las políticas, normas y procedimientos de seguridad de la información. A.14.2.6. Seguridad en entornos de desarrollo. Control: la Entidad establecerá y protegerá adecuadamente los entornos para las labores de desarrollo e integración de sistemas que abarcan todo el ciclo de vida de desarrollo del sistema. A.14.2.7. Externalización del desarrollo de software. Control: el área de Tecnología debe establecer el procedimiento y los controles de acceso a los ambientes de desarrollo de los sistemas de información; así mismo, debe asegurarse que los desarrolladores internos o externos, posean acceso limitado y controlado a los datos y archivos que se encuentren en los ambientes de producción. A.14.2.8. Pruebas de funcionalidad durante el desarrollo de los sistemas. Control: los desarrolladores de los sistemas de información deben considerar las buenas prácticas y lineamientos de desarrollo seguro durante el ciclo de vida de los mismos, pasando desde el diseño hasta la puesta en marcha. A.14.2.9. Pruebas de aceptación. Control: el área de Tecnología debe generar metodologías para la realización de pruebas al software desarrollado, que contengan pautas para la selección de escenarios, niveles, tipos, datos de pruebas y sugerencias de documentación. A.14.3. Datos de prueba. Objetivo: garantizar la protección de los datos que se utilizan para procesos de pruebas. A.14.3.1. Protección de los datos utilizados en prueba Control: el área de Tecnología de la Entidad protegerá los datos de prueba que se entregarán a los desarrolladores, asegurando que no revelan información confidencial de los ambientes de producción. Tecnología debe certificar que la información a ser entregada LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 29 a los desarrolladores para sus pruebas será enmascarada y no revelará información confidencial de los ambientes de producción. A.15. SUMINISTRADORES. A.15.1. Seguridad de la información en las relaciones con suministradores. Objetivo: garantizar la protección de los activos de la organización que son accesibles a proveedores. A.15.1.1. Política de seguridad de la información para suministradores. Control: la Entidad establecerá mecanismos de control en sus relaciones con terceras partes, con el objetivo de asegurar que la información a la que tengan acceso o servicios que sean provistos por las mismas, cumplan con las políticas, normas y procedimientos de seguridad de la información. Los funcionarios responsables de la realización y/o firma de contratos o convenios con terceras partes se asegurarán de la divulgación de las políticas, normas y procedimientos de seguridad de la información a dichas partes. A.15.1.2. Tratamiento del riesgo dentro de acuerdos de suministradores. Control: el área de Tecnología, el área Legal y el área de Seguridad de la Información deben generar un modelo base para los Acuerdos de Niveles de Servicio y requisitos de Seguridad de la Información, con los que deben cumplir terceras partes o proveedores de servicios; dicho modelo, debe ser divulgado a todas las áreas que adquieran o supervisen recursos y/o servicios tecnológicos. A.15.1.3. Cadena de suministro en tecnologías de la información y comunicaciones. Control: el área de Tecnología, el área Legal y el área de Seguridad de la Información, deben elaborar modelos de Acuerdos de Confidencialidad y Acuerdos de Intercambio de Información con terceras partes. De dichos acuerdos deberá derivarse una responsabilidad tanto civil como penal para la tercera parte contratada. A.15.2. Gestión de la prestación del servicio por suministradores. Objetivo: mantener el nivel en la prestación de servicios conforme a los acuerdos con el proveedor en materia de seguridad de información. A.15.2.1. Supervisión y revisión de los servicios prestados por terceros. Control: el área de Seguridad de la Información, debe identificar y monitorear los riesgos relacionados con terceras partes o los servicios provistos por ellas, haciendo extensiva esta actividad a la cadena de suministro de los servicios de tecnología o comunicaciones provistos. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 30 A.15.2.2. Gestión de cambios en los servicios prestados por terceros. Control: los supervisores de contratos con terceros, con el apoyo del área de Seguridad de la Información, deben administrar los cambios en el suministro de servicios por parte de los proveedores, manteniendo los niveles de cumplimiento de servicio y seguridad establecidos con ellos y monitoreando la aparición de nuevos riesgos. A.16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN. A.16.1. Gestión de incidentes de seguridad de la información y mejoras. Objetivo: garantizar una administración de incidentes de seguridad de la información coherente y eficaz en base a un enfoque de comunicación de los eventos y las debilidades de seguridad. A.16.1.1. Responsabilidades y procedimientos. Control: la Entidad promoverá entre los funcionarios y personal provisto por terceras partes el reporte de incidentes relacionados con la seguridad de la información y sus medios de procesamiento, incluyendo cualquier tipo de medio de almacenamiento de información, como la plataforma tecnológica, los sistemas de información, los medios físicos de almacenamiento y las personas. De igual manera, asignará responsables para el tratamiento de los incidentes de seguridad de la información, quienes tendrán la responsabilidad de investigar y solucionar los incidentes reportados, tomando las medidas necesarias para evitar su reincidencia y escalando los incidentes de acuerdo con su criticidad. La Alta Dirección o a quien delegue, son los únicos autorizadospara reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas. A.16.1.2. Notificación de los eventos de seguridad de la información. Control: los propietarios de los activos de información deben informar lo antes posible al área de Seguridad de la Información, los incidentes de seguridad que identifiquen o que reconozcan su posibilidad de materialización. A.16.1.3. Notificación de puntos débiles de la seguridad. Control: en caso de conocer la pérdida o divulgación no autorizada de información clasificada como uso interno, reservada o restringida, los funcionarios deben notificarlo al área de Seguridad de la Información para que se registre y se le dé el trámite necesario. A.16.1.4. Valoración de eventos de seguridad de la información y toma de decisiones. Control: el Comité de Seguridad de la Información debe analizar los incidentes de seguridad que le son escalados y activar el procedimiento de contacto con las autoridades, cuando lo estime necesario. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 31 A.16.1.5. Respuesta a los incidentes de seguridad. Control: el área de Seguridad de la Información debe designar personal calificado, para investigar adecuadamente los incidentes de seguridad reportados, identificando las causas, realizando una investigación exhaustiva, proporcionando las soluciones y finalmente previniendo su re-ocurrencia. A.16.1.6. Aprendizaje de los incidentes de seguridad de la información. Control: el área de Seguridad de la Información debe, con el apoyo del área de Tecnología y la Secretaría General, crear bases de conocimiento para los incidentes de seguridad presentados con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta para los incidentes futuros, partiendo de dichas bases de conocimiento. A.16.1.7. Recopilación de evidencias. Control: el área de Seguridad de la Información debe evaluar todos los incidentes de seguridad de acuerdo a sus circunstancias particulares, reuniendo las evidencias necesarias y escalar al Comité de Seguridad de la Información aquellos en los que se considere pertinente. A.17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO. A.17.1. Continuidad de la seguridad de la información. Objetivo: mantener la seguridad de la información integrada en los sistemas de gestión de continuidad del negocio de la organización. A.17.1.1. Planificación de la continuidad de la seguridad de la información. Control: la Entidad debe desarrollar, documentar, implementar y probar periódicamente procedimientos para asegurar una recuperación razonable y a tiempo de la información crítica de la Entidad, sin disminuir los niveles de seguridad establecidos. A.17.1.2. Implantación de la continuidad de la seguridad de la información. Control: la Entidad proporcionará los recursos suficientes para proporcionar una respuesta efectiva de funcionarios y procesos en caso de contingencia o eventos catastróficos que se presenten en el instituto y que afecten la continuidad de su operación. Además, responderá de manera efectiva ante eventos catastróficos según la magnitud y el grado de afectación de los mismos; se restablecerán las operaciones con el menor costo y pérdidas posibles, manteniendo la seguridad de la información durante dichos eventos. La Entidad mantendrá canales de comunicación adecuados hacia funcionarios, proveedores y terceras partes interesadas. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 32 A.17.1.3. Verificación, revisión y evaluación de la continuidad de la seguridad de la información. Control: el comité de simulacros, junto con el área de Seguridad de la Información, debe asegurar la realización de pruebas periódicas del plan de recuperación ante desastres y/o continuidad de negocio, verificando la seguridad de la información durante su realización y la documentación de dichas pruebas. A.17.2. Redundancias. Objetivo: garantizar la disponibilidad de las instalaciones de procesamiento de información. A.17.2.1. Disponibilidad de instalaciones para el procesamiento de la información. Control: la Entidad propenderá por la existencia de una plataforma tecnológica redundante que satisfaga los requerimientos de disponibilidad aceptables. El área de Tecnología y el área de Seguridad de la Información, deben analizar y establecer los requerimientos de redundancia para los sistemas de información críticos para la Entidad y la plataforma tecnológica que los apoya, también deben evaluar y probar soluciones de redundancia tecnológica y seleccionar la solución que mejor cumple los requerimientos de la Entidad. El área de Tecnología debe realizar pruebas periódicas sobre dichas soluciones, para asegurar el cumplimiento de los requerimientos de disponibilidad de la Entidad. A.18. CUMPLIMIENTO. A.18.1. Cumplimiento de los requisitos legales y contractuales. Objetivo: evitar incumplimientos a requisitos relacionados con la seguridad de la información de cualquier tipo especialmente a las obligaciones legales, estatutarias, normativas o contractuales. A.18.1.1. Identificación de la legislación aplicable. Control: el área de tecnología debe identificar y velar porque el software instalado en los recursos de la plataforma tecnología cumpla con los requerimientos legales y de licenciamiento aplicables. A.18.1.2. Derechos de propiedad intelectual (DPI). Control: para todo el personal de la entidad es importante tener presente que deben cumplir con las leyes de derechos de autor y acuerdo de licenciamiento de software. Es ilegal duplicar software o su documentación sin la autorización del propietario de derechos de autor y su reproducción no autorizada es una violación de la ley. A.18.1.3. Protección de los registros de la organización. Control: el área Legal y el área de Seguridad de la Información deben identificar, documentar y mantener actualizados los requisitos legales, reglamentarios o contractuales aplicables a la Entidad, que están relacionados con los registros de la organización, para protegerlos contra pérdidas, destrucción, falsificación, accesos y publicación no autorizados. LOGO EMPRESA POLITICAS DE SEGURIDAD Código: MP-PSI-01 Versión: 1.0 33 A.18.1.4. Protección de datos y privacidad de la información personal. Control: en cumplimiento de la de Ley 1581 de 2012, por la cual se dictan disposiciones para la protección de datos personales, la Entidad a través del área de Seguridad de la Información, propenderá por la protección de los datos personales de sus beneficiarios, proveedores y demás terceros de los cuales reciba y administre información. A.18.1.5. Regulación de los controles criptográficos. Control: el área de Tecnología debe implantar los controles criptográficos necesarios para proteger la información personal de los beneficiarios, funcionarios, proveedores u otras terceras partes almacenada en bases de datos o cualquier otro repositorio y evitar su divulgación, alteración o eliminación sin la autorización requerida. A.18.2. Revisiones de la seguridad de la información. Objetivo: garantizar que se implementa y opera la seguridad de la información de acuerdo a las políticas y procedimientos organizacionales. A.18.2.1. Revisión independiente de la seguridad de la información. Control: la Entidad debe realizar revisiones periódicamente, para validar si se deben realizar actualizaciones a las políticas de seguridad. Los controles que se establezcan deben ser los que corresponden a la norma de seguridad internacional ISO 27001 y otras fuentes como COBIT, ITIL, BASILEA II, entre otros. A.18.2.2. Cumplimiento de las políticas y normas de seguridad. Control: Los diferentes aspectos contemplados
Compartir