M-TI-01 Manual General Sistema de Seguridad de La Informacion

MANUAL DE LA POLTICA DE SEGURIDAD PARA LAS TECNOLOGAS DE LA
INFORMACIN Y LAS COMUNICACIONES - TICS
Bogot D.C., diciembre 2014
MANUAL DE LA POLTICA DE SEGURIDAD

PARA LAS TECNOLOGAS DE LA
INFORMACIN Y LAS COMUNICACIONES TICS
Cdigo: M-TI-01
Versin 05
Proceso asociado: Tecnologa de Informacin y Comunicaciones
TABLA DE CONTENIDO
1.
2.
3.
4.
OBJETIVO ------------------------------------------------------------------------------------------------ 4
ALCANCE ------------------------------------------------------------------------------------------------ 4
TRMINOS Y DEFINICIONES -------------------------------------------------------------------------- 4
POLTICAS, PROCEDIMIENTOS Y CONTROLES --------------------------------------------------- 11
4.1. Polticas de seguridad de la informacin ---------------------------------------------------------- 11
4.1.1.
Polticas generales de seguridad de la informacin. --------------------------------------- 11
4.1.2.
Poltica de clasificacin de la informacin. ------------------------------------------------- 13
4.1.3.
Polticas de seguridad para los recursos humanos. --------------------------------------- 14
4.1.4.
Polticas especficas para usuarios del DAPRE. ------------------------------------------- 14
4.1.5.
Polticas especficas para funcionarios y contratistas del rea de Informacin y Sistemas.

16
4.1.6.
Polticas especficas para Webmaster. ----------------------------------------------------- 18
4.1.7.
Poltica de Tercerizacin u Outsourcing. --------------------------------------------------- 18
4.1.8.
Poltica de retencin y archivo de datos. --------------------------------------------------- 19
4.1.9.
Poltica de disposicin de informacin, medios y equipos. -------------------------------- 19
4.1.10.
Poltica de respaldo y restauracin de informacin. --------------------------------------- 20
4.1.11.
Poltica de gestin de activos de informacin. --------------------------------------------- 21
4.1.12.
Poltica de uso de los activos. -------------------------------------------------------------- 22
4.1.13.
Poltica de uso de estaciones cliente. ------------------------------------------------------ 24
4.1.14.
Poltica de uso de Internet.------------------------------------------------------------------ 25
4.1.15.
Poltica de uso de mensajera instantnea y redes sociales. ------------------------------ 26
4.1.16.
Poltica de uso de discos de red o carpetas virtuales. ------------------------------------- 26
4.1.17.
Poltica de uso de impresoras y del servicio de Impresin. -------------------------------- 27
4.1.18.
Poltica de uso de puntos de red de datos (red de rea local LAN). -------------------- 28
4.1.19.
Polticas de seguridad del centro de datos y centros de cableado. ----------------------- 28
4.1.20.
Polticas de seguridad de los Equipos ------------------------------------------------------ 30
4.1.21.
Poltica de escritorio y pantalla limpia.------------------------------------------------------ 31
4.1.22.
Poltica de uso de correo electrnico. ------------------------------------------------------ 32
Principios gua ------------------------------------------------------------------------------------------------- 32

2

Cdigo: M-TI-01
Versin 05
Condiciones de uso del servicio ------------------------------------------------------------------------ 32

4.1.23. Poltica de control de acceso. --------------------------------------------------------------- 33
4.1.24.
Poltica de establecimiento, uso y proteccin de claves de acceso. ---------------------- 34
4.1.25.
Poltica de adquisicin, desarrollo y mantenimiento de sistemas de informacin. -------- 35
4.2.
5.
6.
7.
8.
Procedimientos que apoyan la Poltica de Seguridad--------------------------------------------- 36
4.2.1.
Procedimiento de control de documentos -------------------------------------------------- 37
4.2.2.
Procedimiento de control de registros ------------------------------------------------------ 37
4.2.3.
Procedimiento de auditora interna --------------------------------------------------------- 37
4.2.4.
Procedimiento de accin correctiva -------------------------------------------------------- 38
4.2.5.
Procedimiento de accin preventiva -------------------------------------------------------- 38
4.2.6.
Procedimiento de revisin del Manual de Poltica de Seguridad -------------------------- 38
4.3.
Gestin de los Incidentes de la Seguridad de la Informacin ------------------------------------- 39
4.4.
Proceso Disciplinario ------------------------------------------------------------------------------- 39
4.5.
Gestin de la Continuidad del Negocio ------------------------------------------------------------ 41
4.6.
Cumplimiento --------------------------------------------------------------------------------------- 42
4.7.
Controles -------------------------------------------------------------------------------------------- 42
4.8.
Declaracin de aplicabilidad ----------------------------------------------------------------------- 42
MARCO LEGAL ----------------------------------------------------------------------------------------- 43

REQUISITOS TCNICOS ------------------------------------------------------------------------------ 43
DOCUMENTOS ASOCIADOS-------------------------------------------------------------------------- 44
RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------------ 44

Cdigo: M-TI-01
Versin 05
1. OBJETIVO
Presentar en forma clara y coherente los elementos que conforman la poltica de seguridad que deben conocer y
cumplir todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algn tipo de
relacin con el Departamento Administrativo de la Presidencia de la Repblica.
2. ALCANCE
Las Polticas de Seguridad de la Informacin son aplicables para todos los aspectos administrativos y de control
que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan
algn tipo de relacin con el Departamento Administrativo de la Presidencia de la Repblica - DAPRE, para el
adecuado cumplimiento de sus funciones y para conseguir un adecuado nivel de proteccin de las caractersticas
de calidad y seguridad de la informacin, aportando con su participacin en la toma de medidas preventivas y
correctivas, siendo un punto clave para el logro del objetivo y la finalidad de dicho manual. Los usuarios tienen la
obligacin de dar cumplimiento a las presentes polticas emitidas y aprobadas por la Direccin General.
3. TRMINOS Y DEFINICIONES
Accin correctiva: Medida de tipo reactivo orientada a eliminar la causa de una no conformidad asociada a la
implementacin y operacin del SGSI con el fin de prevenir su repeticin.
Accin preventiva: Medida de tipo pro-activo orientada a prevenir potenciales no conformidades asociadas a la
implementacin y operacin del SGSI.
Aceptacin del Riesgo: Decisin de aceptar un riesgo.
Activo: Segn [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organizacin. Tambin se entiende
por cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la
organizacin.
Es todo activo que contiene informacin, la cual posee un valor y es necesaria para realizar los procesos
misionales y operativos del DAPRE. Se pueden clasificar de la siguiente manera:
-
Datos: Son todos aquellos elementos bsicos de la informacin (en cualquier formato) que se generan,
recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word listado de
personal.docx
Aplicaciones: Es todo el software que se utiliza para la gestin de la informacin. Ejemplo: SIGEPRE.
Personal: Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y en general,
todos aquellos que tengan acceso de una manera u otra a los activos de informacin del DAPRE.
Ejemplo: Pedro Prez.
4

Cdigo: M-TI-01
Versin 05
Servicios: Son tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra,
como los externos, aquellos que la organizacin suministra a clientes y usuarios.
Ejemplo: Publicacin de hojas de vida, solicitud de vacaciones.
Tecnologa: Son todos los equipos utilizados para gestionar la informacin y las comunicaciones
Ejemplo: equipo de cmputo, telfonos, impresoras.
Instalaciones: Son todos los lugares en los que se alojan los sistemas de informacin. Ejemplo: Oficina
Pagadura.
Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de informacin y que
no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire acondicionado, destructora de
papel.
Administracin de riesgos: Gestin de riesgos, es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a travs de una secuencia de actividades humanas que incluyen evaluacin de riesgo, estrategias
de desarrollo para manejarlo y mitigacin del riesgo utilizando recursos gerenciales. Las estrategias incluyen
transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas
las consecuencias de un riesgo particular.
Administracin de incidentes de seguridad: Un sistema de seguimiento de incidentes (denominado en ingls
como issue tracking system, trouble ticket system o incident ticket system) es un paquete de software que
administra y mantiene listas de incidentes, conforme son requeridos por una institucin. Los sistemas de este tipo
son comnmente usados en la central de llamadas de servicio al cliente de una organizacin para crear, actualizar
y resolver incidentes reportados por usuarios, o inclusive incidentes reportados por otros funcionarios, contratistas,
colaboradores de la entidad o de terceras partes. Un sistema de seguimiento de incidencias tambin contiene una
base de conocimiento que contiene informacin de cada cliente, soluciones a problemas comunes y otros datos
relacionados. Un sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores
(bugtracker) y, en algunas ocasiones, una entidad de software puede tener ambos, y algunos bugtrackers pueden
ser usados como un sistema de seguimiento de incidentes, y viceversa.
Alcance: mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las
dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin.
Alerta: Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin
que puede evolucionar hasta convertirse en desastre.
Amenaza: Segn [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el cual puede causar el
dao a un sistema o la organizacin.
Anlisis de riesgos: Segn [ISO/lEC Gua 73:2002): Uso sistemtico de la informacin para identificar fuentes y
estimar el riesgo.
Auditabilidad: Los activos de informacin deben tener controles que permitan su revisin. Permitir la
reconstruccin, revisin y anlisis de la secuencia de eventos.

Cdigo: M-TI-01
Versin 05
Auditor: Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha
realizado en un rea particular.
Auditoria: Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan
emitir un juicio informado sobre el estado y efectividad del SGSI de una organizacin.
Autenticacin: Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema.
Autenticidad: Los activos de informacin solo pueden estar disponibles verificando la identidad de un sujeto o
recurso, Propiedad que garantiza que la identidad de un sujeto o recurso es la que declara, Se aplica a entidades
tales como usuarios, procesos, sistemas de informacin.
Base de datos de gestin de configuraciones (CMDB, Configuration Management Database): Es una base de
datos que contiene toda la informacin pertinente acerca de los componentes del sistema de informacin utilizado
en una organizacin de servicios de TI y las relaciones entre esos componentes. Una CMDB ofrece una vista
organizada de los datos y una forma de examinar los datos desde cualquier perspectiva que desee. En este
contexto, los componentes de un sistema de informacin se conocen como elementos de configuracin (CI). Un CI
puede ser cualquier elemento imaginable de TI, incluyendo software, hardware, documentacin y personal, as
como cualquier combinacin de ellos. Los procesos de gestin de la configuracin tratan de especificar, controlar y
realizar seguimiento de elementos de configuracin y los cambios introducidos en ellos de manera integral y
sistemtica.
B57799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue
publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de
la informacin no es certificable- y la parte segunda especifica el sistema de gestin de seguridad de la
informacin -es certificable-o La parte primera es el origen de ISO 17799 e ISO 27002 Y la parte segunda de ISO
27001. Como tal el estndar, ha sido derogado ya, por la aparicin de estos ltimos.
Caractersticas de la Informacin: las principales caractersticas son la confidencialidad, la disponibilidad y la
integridad.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la
auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del
auditor y su carga de trabajo, Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para
facilitar su desarrollo.
CobiT - Control Objectives for Information and related Technology: Publicados y mantenidos por ISACA. Su
misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de
Informacin rectores, actualizados, internacionales y generalmente aceptados para ser empleados por gerentes de
empresas y auditores.
Compromiso de la Direccin: Alineamiento firme de la Direccin de la organizacin con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.
Computo forense: El cmputo forense, tambin llamado informtica forense, computacin forense, anlisis
forense digital o exanimacin forense digital es la aplicacin de tcnicas cientficas y analticas especializadas a
6

Cdigo: M-TI-01
Versin 05
infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro
de un proceso legal.
Confiabilidad: Se puede definir como la capacidad de un producto de realizar su funcin de la manera prevista, De
otra forma, la confiabilidad se puede definir tambin como la probabilidad en que un producto realizar su funcin
prevista sin incidentes por un perodo de tiempo especificado y bajo condiciones indicadas.
Confidencialidad: Acceso a la informacin por parte nicamente de quienes estn autorizados, Segn [ISO/lEC
13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos,
entidades, o procesos no autorizados.
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener
los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido, (Nota: Control es tambin
utilizado como sinnimo de salvaguarda).
Control correctivo: Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca
prdidas. Supone que la amenaza ya se ha materializado pero que se corrige.
Control detectivo: Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la
amenaza ya se ha materializado, pero por s mismo no la corrige.
Control disuasorio: Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de
avisos disuasorios.
Control preventivo: Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una
amenaza llegue siquiera a materializarse.
Declaracin de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organizacin tras el resultado de los procesos de evaluacin y tratamiento de riesgos- adems de la justificacin tanto de su
seleccin como de la exclusin de controles incluidos en el anexo A de la norma.
Denegacin de servicios: Accin iniciada por una persona u otra causa que incapacite el hardware o el software,
o ambos y despus niegue el servicio.
Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios
habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera
significativa.
Directiva: Segn [ISO/lEC 13335-1: 2004): una descripcin que clarifica qu debera ser hecho y cmo, con el
propsito de alcanzar los objetivos establecidos en las polticas.
Disponibilidad: Segn [ISO/lEC 13335-1: 2004): caracterstica o propiedad de permanecer accesible y disponible
para su uso cuando lo requiera una entidad autorizada.
Evaluacin de riesgos: Segn [ISO/lEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio
de riesgo dado con el objeto de determinar la importancia del riesgo.
7

Cdigo: M-TI-01
Versin 05
Evento: Segn [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica
una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardas, o una situacin
anterior desconocida que podra ser relevante para la seguridad.
Evidencia objetiva: Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada
en observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de
un proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la
informacin.
Gestin de claves: Controles referidos a la gestin de claves criptogrficas.
Gestin de riesgos: Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los
riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos.
Segn [ISO/lEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al
riesgo.
Gusanos: Es un programa de computador que tiene la capacidad de duplicarse a s mismo. A diferencia del virus,
no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Siempre
daan la red (aunque sea simplemente consumiendo ancho de banda).
Impacto: Resultado de un incidente de seguridad de la informacin.
Incidente: Segn [ISO/lEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin
inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio
y amenazar la seguridad de la informacin.
Informacin: La informacin constituye un importante activo, esencial para las actividades de una organizacin y,
en consecuencia, necesita una proteccin adecuada. La informacin puede existir de muchas maneras. Puede
estar impresa o escrita en papel, puede estar almacenada electrnicamente, ser transmitida por correo o por
medios electrnicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.
Ingeniera Social: En el campo de la seguridad informtica, es la prctica de obtener informacin confidencial a
travs de la manipulacin de usuarios legtimos ganando su confianza muchas veces. Es una tcnica que pueden
utilizar investigadores privados, criminales, delincuentes computacionales (conocidos como cracker) para obtener
informacin, acceso o privilegios en sistemas de informacin que les permiten realizar algn acto que perjudique o
exponga a la persona o entidad a riesgos o abusos.
Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn
[ISOIIEC 13335-1: 2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos.
Inventario de activos: Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios,
personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y
necesiten por tanto ser protegidos de potenciales riesgos.
IPS: Sistema de prevencin de intrusos. Es un dispositivo que ejerce el control de acceso en una red informtica
para proteger a los sistemas computacionales de ataques y abusos.
8

Cdigo: M-TI-01
Versin 05
ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de
organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares.
ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO
transcribiendo la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de
Julio de 2007. No es certificable.
ISO 19011: "Guidelines for quality and/or environmental management systems auditing". Gua de utilidad para el
desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo
la segunda parte de BS 7799. Es certificable. Primera publicacin en 20005.
ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799).
No es certificable. Cambio oficial de nomenclatura de ISO 17799:20005 a ISO 27002:20005 el 1 de Julio de 2007.
ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
ISO/lEC TR 13335-3: "Information technology. Guidelines for the management of IT Security .Techniques for the
management of IT Security." Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo.
ISO/lEC TR 18044: "Information technology. Security techniques. Information security incident management". Gua
de utilidad para la gestin de incidentes de seguridad de la informacin.
ITIL IT Infrastructure Library: Un marco de gestin de los servicios de tecnologas de la informacin.
Keyloggers: Aplicaciones que registran el teclado efectuado por un usuario.
Legalidad: El principio de legalidad o Primaca de la ley es un principio fundamental del Derecho pblico conforme
al cual todo ejercicio del poder pblico debera estar sometido a la voluntad de la ley de su jurisdiccin y no a la
voluntad de las personas (ej. el Estado sometido a la constitucin o al Imperio de la ley). Por esta razn se dice
que el principio de legalidad establece la seguridad jurdica, Seguridad de Informacin, Seguridad informtica y
garanta de la informacin.
No conformidad: Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn
aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la
confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor.
No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en
evidencias objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad,
integridad o disponibilidad de informacin sensible, o representa un riesgo inaceptable.
No repudio: Los activos de informacin deben tener la capacidad para probar que una accin o un evento han
tenido lugar, de modo que tal evento o accin no pueda ser negado posteriormente.

Cdigo: M-TI-01
Versin 05
PDCA Plan-Do-Check-Act: Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar
(mantener y mejorar el SGSI).
Phishing: Tipo de delito encuadrado dentro del mbito de las estafas, que se comete mediante el uso de un tipo
de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede
ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria).
Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la continuacin de las
principales funciones de la Entidad en el caso de un evento imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestin que define las acciones para
reducir, prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los
controles necesarios para proteger la misma.
Poltica de seguridad: Documento que establece el compromiso de la Direccin y el enfoque de la organizacin
en la gestin de la seguridad de la informacin. Segn [ISO/lEC 27002:20005): intencin y direccin general
expresada formalmente por la Direccin.
Poltica d escritorio despejado: La poltica de la empresa que indica a los funcionarios, contratista y dems
colaboradores del DAPRE deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal
uso al finalizar el da.
Proteccin a la duplicidad: La proteccin de copia, tambin conocida como prevencin de copia, es una medida
tcnica diseada para prevenir la duplicacin de informacin. La proteccin de copia es a menudo tema de
discusin y se piensa que en ocasiones puede violar los derechos de copia de los usuarios, por ejemplo, el
derecho a hacer copias de seguridad de una videocinta que el usuario ha comprado de manera legal, el instalar un
software de computadora en varias computadoras, o el subir la msica a reproductores de audio digital para
facilitar el acceso y escucharla.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o
dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus
consecuencias.
Riesgo Residual: Segn [ISOIIEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo.
Salvaguarda: Vase: Control.
Segregacin de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para reducir el riesgo
de un mal uso de los sistemas e informaciones deliberado o por negligencia.
Seguridad de la informacin: Segn [ISO/lEC 27002:20005]: Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio,
trazabilidad y fiabilidad pueden ser tambin consideradas.
Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel
aceptable.
10

Cdigo: M-TI-01
Versin 05
SGSI Sistema de Gestin de la Seguridad de la Informacin: Segn [ISO/lEC 27001: 20005]: la parle de un
sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa,
mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de
organizacin, polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.)
Servicios de tratamiento de informacin: Segn [ISO/lEC 27002:20005]: cualquier sistema, servicio o
infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.
Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al
receptor. La accin de enviar dichos mensajes se denomina spamming. La va ms usada es el correo electrnico.
Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad
docente o de control, aunque tambin puede ser utilizado con fines maliciosos.
Spoofing: Falsificacin de la identidad origen en una sesin: la identidad es por una direccin IP o Mac Address.
Tratamiento de riesgos: Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para
modificar el riesgo.
Trazabilidad: Propiedad que garantiza que las acciones de una entidad se puede rastrear nicamente hasta dicha
entidad.
Troyano: Aplicacin que aparenta tener un uso legtimo pero que tiene funciones ocultas diseadas para
sobrepasar los sistemas de seguridad.
Usuario: en el presente documento se emplea para referirse a directivos, funcionarios, contratistas, terceros y
otros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas o aplicativos informticos
disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.
Valoracin de riesgos: Segn [ISO/lEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos.
Virus: tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o conocimiento del
usuario.
Vulnerabilidad: Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que
una amenaza afecte a un activo. Segn [ISOIlEC 13335-1:2004]: debilidad de un activo o conjunto de activos que
puede ser explotado por una amenaza.
4. POLTICAS, PROCEDIMIENTOS Y CONTROLES

4.1. Polticas de seguridad de la informacin
4.1.1. Polticas generales de seguridad de la informacin.
11

Cdigo: M-TI-01
Versin 05
Las Polticas de Seguridad de la Informacin, surgen como una herramienta institucional para concienciar a cada
uno de los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algn tipo de relacin
con el DAPRE sobre la importancia y sensibilidad de la informacin y servicios crticos, de tal forma que le permitan
desarrollar adecuadamente sus labores y cumplir con su propsito misional.
Objetivo:
Definir las pautas de propsito general para asegurar una adecuada proteccin de la informacin del DAPRE.
Brindar apoyo y orientacin a la direccin con respecto a la seguridad de la informacin, de acuerdo con los
requisitos del negocio y los reglamentos y las leyes pertinentes.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Se debe verificar que se definan, implementen, revisen y actualicen las polticas de seguridad de la
informacin.
Disear, programar y realizar los programas de auditora del sistema de gestin de seguridad de la
informacin, los cuales estarn a cargo de control interno.
Todo aplicativo informtico o software debe ser comprado o aprobado por el rea de Informacin y Sistemas
en concordancia con la poltica de adquisicin de bienes de la entidad de acuerdo con lo definido en el proceso
C-BS-07 Adquisicin de Bienes y Servicios.
El DAPRE debe contar con un firewall o dispositivo de seguridad perimetral para la conexin a Internet o
cuando sea inevitable para la conexin a otras redes en outsourcing o de terceros.
La conexin remota a la red de rea local del DAPRE debe realizarse a travs de una conexin VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada, a excepcin de los casos que
autorice el rea de Informacin y Sistemas.
Los jefes de rea o dependencia deben asegurarse que todos los procedimientos de seguridad de la
informacin dentro de su rea de responsabilidad, se realizan correctamente para lograr el cumplimiento de las
polticas y estndares de seguridad de la informacin del DAPRE.
El DAPRE en caso de tener un servicio de transferencia de archivos deber realizarlo empleando protocolos
seguros. Cuando el origen sea el DAPRE hacia entidades externas, el DAPRE establecer los controles
necesarios para preservar la seguridad de la informacin; cuando el origen de la transferencia sea una
entidad externa, se acordarn las polticas y controles de seguridad de la informacin con esa entidad; en todo
caso se deben revisar y proponer controles en concordancia con las polticas de seguridad de la informacin
del DAPRE; los resultados de la revisin de requerimientos de seguridad se documentarn y preservarn para
futuras referencias o para demostrar el cumplimiento con las polticas y con los controles de seguridad del
DAPRE.
12

Cdigo: M-TI-01
Versin 05
El comit de seguridad informtica y de sistemas del DAPRE definir de acuerdo a la clasificacin de la

informacin, que datos deben ser cifrados y dar las directrices necesarias para la implementacin de los
respectivos controles (dispositivos a emplear, mecanismos de administracin de claves, polticas de uso de
sistemas de cifrado de datos).
4.1.2. Poltica de clasificacin de la informacin.

Objetivo:
Asegurar que la informacin recibe el nivel de proteccin apropiado de acuerdo al tipo de clasificacin establecido
por la ley y el DAPRE.
Aplicabilidad:
Estas polticas se aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina y Jefes de rea, de acuerdo al documento G-GD-02 Gua para la clasificacin de la
informacin de acuerdo a sus niveles de seguridad.
Directrices:
Se considera informacin toda forma de comunicacin o representacin de conocimiento o datos digitales, escritos
en cualquier medio, ya sea magntico, papel, visual u otro que genere el DAPRE como por ejemplo:
Formularios / comprobantes propios o de terceros.
Informacin en los sistemas, equipos informticos, medios magnticos/electrnicos o medios fsicos como
papel.
Otros soportes magnticos/electrnicos removibles, mviles o fijos.
Informacin transmitida va oral o por cualquier otro medio de comunicacin.
Los usuarios responsables de la informacin del DAPRE, deben identificar los riesgos a los que est expuesta la
informacin de sus reas, teniendo en cuenta que la informacin pueda ser copiada, divulgada, modificada o
destruida fsica o digitalmente por personal interno o externo.
Un activo de informacin es un elemento definible e identificable que almacena registros, datos o informacin en
cualquier tipo de medio y que es reconocida como Valiosa para el DAPRE; Independiente del tipo de activo, se
deben considerar las siguientes caractersticas.
1) El activo de informacin es reconocido como valioso para el DAPRE.
2) No es fcilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o la
combinacin de los anteriores.
3) Forma parte de la identidad de la organizacin y sin el cual el DAPRE puede estar en algn nivel de
riesgo. (La determinacin del nivel y tipo de riesgo se estima sobre la base del modelo MECI del DAPRE).
4) Los niveles de clasificacin de la informacin que se ha establecido son: INFORMACIN PBLICA
RESERVADA, INFORMACIN PBLICA CLASIFICADA (PRIVADA Y SEMI-PRIVADA) e INFORMACIN
PBLICA.
Los aspectos detallados de la poltica de clasificacin de la informacin se encuentran en el documento G-GD-02
Gua para la clasificacin de la informacin de acuerdo con sus niveles de seguridad
13

Cdigo: M-TI-01
Versin 05
4.1.3. Polticas de seguridad para los recursos humanos.

Objetivo:
Asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan sus responsabilidades y
las funciones de sus roles y usuarios, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado
de la informacin y de las instalaciones.
Aplicabilidad:
Directrices:
Se debe asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan sus
responsabilidades en relacin con las polticas de seguridad de la informacin del DAPRE y acten de manera
consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado de la
informacin o los equipos empleados para el tratamiento de la informacin
4.1.4. Polticas especficas para usuarios del DAPRE.

Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de los
usuarios de la entidad.
Aplicabilidad:
Directrices:
El DAPRE suministra una cuota de almacenamiento de la informacin en un servidor de archivos con los
permisos necesarios para que cada usuario guarde la informacin que crea importante y sobre ella se
garantizar la disponibilidad en caso de un dao en el equipo asignado, esta informacin ser guardada
durante un mximo de 2 aos; es de aclarar que el usuario final deber copiar la informacin necesaria en la
carpeta destinada para este fin (Mi Arbolito) la cual tiene un acceso directo en el escritorio del PC.
El DAPRE instalar copia de los programas que han sido adquiridos legalmente en los equipos asignados en
las cantidades requeridas para suplir las necesidades. El uso de programas sin su respectiva licencia y
autorizacin del DAPRE (imgenes, vdeos, software o msica), obtenidos a partir de otras fuentes (internet,
dispositivos de almacenamiento externo), puede implicar amenazas legales y de seguridad de la informacin
para la entidad, por lo que sta prctica no est autorizada.
Todo el software usado en la plataforma tecnolgica del DAPRE debe tener su respectiva licencia y acorde
con los derechos de autor.
14

Cdigo: M-TI-01
Versin 05
El DAPRE no se hace responsable por las copias no autorizadas de programas instalados o ejecutados en los
equipos asignados a sus funcionarios o contratistas.
El uso de dispositivos de almacenamiento externo (dispositivos mviles, DVD, CD, memorias USB, agendas
electrnicas, celulares, etc.) pueden ocasionalmente generar riesgos para la entidad al ser conectados a los
computadores, ya que son susceptibles de transmisin de virus informticos o pueden ser utilizados para la
extraccin de informacin no autorizada. Para utilizar dispositivos de almacenamiento externo se debe obtener
aprobacin formal e individual del rea de Informacin y Sistemas del DAPRE.
Los programas instalados en los equipos, son de propiedad del DAPRE, la copia no autorizada de programas
o de su documentacin, implica una violacin a la poltica general del DAPRE. Aquellos funcionarios,
contratistas o dems colaboradores que utilicen copias no autorizadas de programas o su respectiva
documentacin, quedarn sujetos a las acciones disciplinarias establecidas por el DAPRE o las sanciones que
especifique la ley.
El DAPRE se reserva el derecho de proteger su buen nombre y sus inversiones en hardware y software,
fomentando controles internos para prevenir el uso o la realizacin de copias no autorizadas de los programas
de propiedad de la entidad. Estos controles pueden incluir valoraciones peridicas del uso de los programas,
auditoras anunciadas y no anunciadas.
Los recursos tecnolgicos y de software asignados a los funcionarios del DAPRE son responsabilidad de cada
funcionario.
Los usuarios son los responsables de la informacin que administran en sus equipos personales y deben
abstenerse de almacenar en ellos informacin no institucional, de acuerdo con la gua de clasificacin de la
informacin.
Los usuarios solo tendrn acceso a los datos y recursos autorizados por el DAPRE, y sern responsables
disciplinaria y legalmente de la divulgacin no autorizada de esta informacin.
Es responsabilidad de cada usuario proteger la informacin que est contenida en documentos, formatos,
listados, etc., los cuales son el resultado de los procesos informticos; adicionalmente se deben proteger los
datos de entrada de estos procesos.
Los dispositivos electrnicos (computadores, impresoras, fotocopiadoras, escner, etc.) solo deben utilizarse
para los fines autorizados por la entidad.
Cualquier evento o posible incidente que afecte la seguridad de la informacin, debe ser reportado
inmediatamente a la mesa de ayuda (PUC Punto nico de Contacto) del rea de Informacin y Sistemas del
DAPRE o al CSIRT.
Los jefes de las diferentes reas del DAPRE, en conjunto con el Comit de Seguridad Informtica y de
Sistemas propiciarn actividades para concienciar al personal sobre las precauciones necesarias que deben
realizar los usuarios finales, para evitar revelar informacin confidencial cuando se hace una llamada
telefnica, que pueda ser interceptada mediante acceso fsico a la lnea o al auricular o ser escuchada por
15

Cdigo: M-TI-01
Versin 05
personas que se encuentren cerca. Lo anterior debe aplicar tambin cuando el funcionario, contratista o
colaborador se encuentre en sitios pblicos como restaurantes, transporte pblico, ascensores, etc.
Los datos de los sistemas de informacin y aplicaciones no deben intercambiarse utilizando archivos
compartidos en los computadores, discos virtuales, CD, DVD, medios removibles; deben usarse los mismos
servicios del sistema de informacin, los cuales estn controlados y auditados.
4.1.5. Polticas especficas para funcionarios y contratistas del rea de Informacin y

Sistemas.
Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de los
funcionarios y contratistas de TI de la entidad.
Aplicabilidad:
Estas polticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a
terceros que estn encargados de cualquier sistema de informacin.
Directrices:
El personal del rea de Informacin y Sistemas no debe dar a conocer su clave de usuario a terceros sin
previa autorizacin del Jefe del rea de Informacin y Sistemas.
Los usuarios y claves de los administradores de sistemas y del personal del rea de Informacin y Sistemas
son de uso personal e intransferible.
El personal del rea de Informacin y Sistemas debe emplear obligatoriamente las claves o contraseas con
un alto nivel de complejidad y utilizar los servicios de autenticacin fuerte que posee la entidad de acuerdo al
rol asignado.
Los administradores de los sistemas de informacin deben seguir las polticas de cambio de clave y utilizar
procedimiento de salvaguarda o custodia de las claves o contraseas en un sitio seguro. A este lugar solo debe
tener acceso el Jefe del rea de Informacin y Sistemas o el Asesor para la de Seguridad Informtica.
Los documentos y en general la informacin de procedimientos, seriales, software etc. deben mantenerse
custodiados en todo momento para evitar el acceso a personas no autorizadas.
Para el cambio o retiro de equipos de funcionarios, se deben seguir polticas de saneamiento, es decir llevar
a cabo mejores prcticas para la eliminacin de la informacin de acuerdo al software disponible en la
entidad. Ej: Formateo seguro, destruccin total de documentos o borrado seguro de equipos electrnicos.
Los funcionarios encargados de realizar la instalacin o distribucin de software, slo instalarn productos
con licencia y software autorizado.
16

Cdigo: M-TI-01
Versin 05
Los funcionarios del rea de Informacin y Sistemas no deben otorgar privilegios especiales a los usuarios
sobre las estaciones de trabajo, sin la autorizacin correspondiente del Jefe del rea de Informacin y
Sistemas y el registro en el sistema de la mesa de ayuda (PUC).
Los funcionarios del rea de Informacin y Sistemas se obligan a no revelar a terceras personas, la
informacin a la que tengan acceso en el ejercicio de sus funciones de acuerdo con la gua de clasificacin
de la informacin segn sus niveles de seguridad. En consecuencia, se obligan a mantenerla de manera
confidencial y privada y a protegerla para evitar su divulgacin.
Los funcionarios del rea de Informacin y Sistemas no utilizarn la informacin para fines comerciales o
diferentes al ejercicio de sus funciones.
Toda licencia de software o aplicativo informtico y sus medios, se deben guardar y relacionar de tal forma
que asegure su proteccin y disposicin en un futuro.
Las copias licenciadas y registradas del software adquirido, deben ser nicamente instaladas en los equipos
y servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las polticas del
proveedor y de la entidad.
La copia de programas o documentacin, requiere tener la aprobacin escrita del DAPRE y del proveedor si
ste lo exige.
El personal del rea de Informacin y Sistemas debe velar por que se cumpla con el registro en la bitcora
de acceso al datacenter, de las personas que ingresen y que hayan sido autorizadas previamente por la
jefatura del rea o por quien esta delegue.
Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en los servidores;
no se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado oficialmente por la entidad a
travs del Comit de Seguridad Informtica y de Sistemas establecido en la resolucin 5519 del 1 de
diciembre de 2014 o el Asesor para la de Seguridad Informtica.
Aquellos servicios y actividades que no son esenciales para el normal funcionamiento de los sistemas de
informacin, deben ser aprobados oficialmente por la entidad, a travs del Comit de Seguridad Informtica y
de Sistemas, cuyas funciones se encuentran en la resolucin 5519 del 1 de diciembre de 2014 y deben ser
asegurados mediante controles que permitan la preservacin de la seguridad de la informacin.
El acceso a cualquier servicio, servidor o sistema de informacin debe ser autenticado y autorizado.
Todos los servidores deben ser configurados con el mnimo de servicios necesarios y obligatorios para
desarrollar las funciones designadas.
Las pruebas de laboratorio o piloto deben ser autorizadas por el Comit de Seguridad Informtica y de
Sistemas, para sistemas de informacin, de software tipo freeware o shareware o de sistemas que
necesiten conexin a internet; estas deben ser realizadas sin conexin a la red LAN de la entidad y con una
conexin separada de internet o en su defecto con una direccin IP diferente a las direcciones pblicas de
produccin.
17

Cdigo: M-TI-01
Versin 05
4.1.6. Polticas especficas para Webmaster.

Objetivo:
Proteger la integridad de las pginas Web institucionales, el software y la informacin contenida.
Aplicabilidad:
terceros que se encuentren desempeando el rol de Webmaster.
Directrices:
Los responsables de los contenidos de las pginas Web (webmasters), deben preparar y depurar la informacin de
su rea o dependencia y reportar a la mesa de ayuda (PUC) los requerimientos de actualizacin de la versin del
software; deben disponer de un archivo actualizado con la informacin de la pgina inicial del sitio; y deben
registrar la autorizacin de publicacin por parte del funcionario autorizado y coordinar con el administrador web del
rea de Informacin y Sistemas los lineamientos del sitio.
Se deber seguir la Poltica Editorial y Actualizacin de Contenidos Web, que permita auditar la publicacin o
modificacin de informacin oficial en las pginas web.
Las claves de acceso de los responsables de los contenidos de las pginas Web (webmasters), son estrictamente
confidenciales, personales e intransferibles.
4.1.7. Poltica de Tercerizacin u Outsourcing.

Objetivo:
Mantener la seguridad de la informacin y los servicios de procesamiento de informacin, a los cuales tienen
acceso terceras partes, entidades externas o que son procesados, comunicados o dirigidos por estas.
Aplicabilidad:
Estas son polticas que aplican a contratistas, proveedores de outsourcing, consultores y contratistas externos,
personal temporal y en general a todos los usuarios de la informacin que realicen estas tareas en el DAPRE.
Directrices:
Seleccin de outsourcing
Se deben establecer criterios de seleccin que contemplen la historia y reputacin de terceras partes,
certificaciones y recomendaciones de otros clientes, estabilidad financiera de la compaa, seguimiento de
estndares de gestin de calidad y de seguridad y otros criterios que resulten de un anlisis de riesgos de la
seleccin y los criterios establecidos por la entidad.
18

Cdigo: M-TI-01
Versin 05
Anlisis de riesgos
Se deben identificar los riesgos para la informacin y los servicios de procesamiento de informacin que involucren
partes externas al DAPRE. El resultado del anlisis de riesgos ser la base para el establecimiento de los controles
y debe ser presentado al Comit de Seguridad Informtica y de Sistemas antes de firmar el contrato de
outsourcing.
Acuerdos con terceras partes
Con el fin de proteger la informacin de ambas partes, se debe formalizar un acuerdo de confidencialidad. El
acuerdo deber definir claramente el tipo de informacin que intercambiarn las partes, los medios, la frecuencia y
los procedimientos a seguir.
Si la informacin intercambiada lo amerita teniendo en cuenta la clasificacin de la informacin de acuerdo a los
niveles de seguridad, se debe preparar y legalizar un acuerdo de confidencialidad entre la entidad y el outsourcing
de acuerdo al objetivo y al alcance del contrato; el cual debe quedar firmado por ambas partes. En todos los casos
deben firmarse acuerdos de niveles de servicio que permitan cumplir con las polticas de seguridad de la
informacin y con los objetivos de la entidad.
4.1.8. Poltica de retencin y archivo de datos.

Objetivo:
Mantener la integridad y disponibilidad de la informacin y de los servicios de procesamiento de informacin.
Aplicabilidad:
Directrices:
La poltica de retencin de archivos debe establecer cunto tiempo se deben mantener almacenados los archivos
en el DAPRE de acuerdo a las tablas de retencin documental.
Las reglas y los principios generales que regulan la funcin archivstica del Estado, se encuentran definidos por la
Ley, la cual es aplicable a la administracin pblica en sus diferentes niveles producidos en funcin de su misin y
naturaleza.
La ley prev el uso de las tecnologas de la informacin y las comunicaciones en la administracin, conservacin
de archivos y en la elaboracin e implantacin de programas de gestin de documentos.
4.1.9. Poltica de disposicin de informacin, medios y equipos.

Objetivo:
Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crticos contra los efectos
de fallas importantes en los sistemas de informacin o contra desastres y propender por su recuperacin oportuna.
19

Cdigo: M-TI-01
Versin 05
Aplicabilidad:
Directrices:
Los medios y equipos donde se almacena, procesa o comunica la informacin, deben mantenerse con las medidas
de proteccin fsicas y lgicas, que permitan su monitoreo y correcto estado de funcionamiento; para ello se debe
realizar los mantenimientos preventivos y correctivos que se requieran.
4.1.10. Poltica de respaldo y restauracin de informacin.

Objetivo:
Proporcionar medios de respaldo adecuados para asegurar que toda la informacin esencial y el software, se
pueda recuperar despus de una falla.
Aplicabilidad:
Esta poltica ser aplicada por los administradores de tecnologa, encargados de sistemas de informacin y
jefaturas de rea que decidan sobre la disponibilidad en integridad de los datos.
Directrices:
La informacin de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento
como cinta, cartucho, CD, DVD, etc.
Los administradores de los servidores, los sistemas de informacin o los equipos de comunicaciones, son
los responsables de definir la frecuencia de respaldo y los requerimientos de seguridad de la informacin
(codificacin) y el administrador del sistema de respaldo, es el responsable de realizar los respaldos
peridicos.
Todas las copias de informacin crtica deben ser almacenadas en un rea adecuada y con control de
acceso.
Las copias de respaldo se guardaran nicamente con el objetivo de restaurar el sistema luego de un virus
informtico, defectos en los discos de almacenamiento, problemas de los servidores o computadores,
materializacin de amenazas, catstrofes y por requerimiento legal.
Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen informacin crtica;
el dueo de la informacin debe asegurar que el plan es adecuado, frecuentemente actualizado y
peridicamente probado y revisado.
20

Cdigo: M-TI-01
Versin 05
Ningn tipo de informacin institucional puede ser almacenada en forma exclusiva en los discos duros de
las estaciones de trabajo; por lo tanto, es obligacin de los usuarios finales realizar las copias en las
carpetas destinadas para este fin.
Deben existir al menos una copia de la informacin de los discos de red, la cual deber permanecer fuera
de las instalaciones del DAPRE.
La restauracin de copias de respaldo en ambientes de produccin debe estar debidamente aprobada por
el propietario de la informacin.
Semanalmente los administradores de infraestructura del DAPRE, verificarn la correcta ejecucin de los
procesos de backup, suministrarn las cintas requeridas para cada trabajo y controlarn la vida til de
cada cinta o medio empleado.
El rea de Informacin y Sistemas debe mantener un inventario actualizado de las copias de respaldo de
la informacin y los aplicativos o sistemas del DAPRE.
Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro1 y posteriormente
sern eliminados o destruidos de forma adecuada.
Es responsabilidad de cada dependencia mantener depurada la informacin de las carpetas virtuales para
la optimizacin del uso de los recursos de almacenamiento que entrega el DAPRE a los usuarios.
4.1.11. Poltica de gestin de activos de informacin.

Objetivo:
Establece la forma en que se logra y mantiene la proteccin adecuada de los activos de informacin.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales,
Directores, Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los
usuarios de la informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Inventario de activos de informacin
El DAPRE mantendr un inventario actualizado de sus activos de informacin, bajo la responsabilidad de cada
propietario de informacin y centralizado por el rea Informacin y Sistemas.
1
El borrado seguro se ejecuta cuando al borrar un archivo o formatear un dispositivo de almacenamiento, alguna utilidad de borrado escribe
ceros (o) sobre el archivo, no permitiendo que ste se pueda recuperar posteriormente. Tomado de:
http://es.wikipedia.org/wiki/Borrado_de_archivos
21

Cdigo: M-TI-01
Versin 05
Una parte de los activos de informacin se mantendr en una base de datos bajo la responsabilidad del rea de
Informacin y Sistemas. (Base de datos de gestin de configuraciones - Configuration Management Database
CMDB).
Propietarios de los activos de informacin
El DAPRE es propietario de los activos de informacin y los administradores de estos activos son los funcionarios,
contratistas o dems colaboradores del DAPRE ( denominados usuarios) que estn autorizados y sean
responsables por la informacin de los procesos a su cargo, de los sistemas de informacin o aplicaciones
informticas, hardware o infraestructura de tecnologa de informacin y comunicaciones (TIC).
4.1.12. Poltica de uso de los activos.

Objetivo:
Lograr y mantener la proteccin adecuada de los activos de informacin mediante la asignacin de estos a los
usuarios finales que deban administrarlos de acuerdo a sus roles y funciones.
Aplicabilidad:
Directrices:
Los activos de informacin pertenecen al DAPRE y el uso de los mismos debe emplearse exclusivamente
con propsitos laborales.
Los usuarios2 debern utilizar nicamente los programas y equipos autorizados por el rea de Informacin
y Sistemas.
El DAPRE proporcionar al usuario los equipos informticos y los programas instalados en ellos; los
datos/informacin creados, almacenados y recibidos, sern propiedad del DAPRE, los funcionarios solo
podrn realizar backup de sus archivos personales o de informacin pblica, para copiar cualquier tipo de
informacin clasificada o reservada debe pedir autorizacin a su jefe inmediato, de acuerdo a las normas
sobre clasificacin de la informacin de acuerdo a los niveles de seguridad establecidos por el DAPRE ;
Su copia, sustraccin, dao intencional o utilizacin para fines distintos a las labores propias de la
Institucin, sern sancionadas de acuerdo con las normas y legislacin vigentes.
Funcionarios, contratistas y otros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas y/o aplicativos
informticos disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso .
22

Cdigo: M-TI-01
Versin 05
Peridicamente, el rea de Informacin y Sistemas efectuar la revisin de los programas utilizados en

cada dependencia. La descarga, instalacin o uso de aplicativos o programas informticos no autorizados
ser considera como una violacin a las Polticas de Seguridad de la Informacin del DAPRE.
Todos los requerimientos de aplicativos, sistemas y equipos informticos deben ser solicitados a travs de
la mesa de ayuda del rea de Informacin y Sistemas con su correspondiente justificacin para su
respectiva viabilidad.
Estarn bajo custodia del rea de Informacin y Sistemas los medios magnticos/electrnicos (disquetes,
CDs u otros) que vengan originalmente con el software y sus respectivos manuales y licencias de uso,
adicionalmente las claves para descargar el software de fabricantes de sus pginas web o sitios en
internet y los passwords de administracin de los equipos informticos, sistemas de informacin o
aplicativos.
En caso de ser necesario y previa autorizacin del Comit de Seguridad Informtica y de Sistemas del
DAPRE , los funcionarios del DAPRE podrn acceder a revisar cualquier tipo de activo de informacin y
material que los usuarios creen, almacenen, enven o reciban, a travs de Internet o de cualquier otra red
o medio, en los equipos informticos a su cargo.
Los recursos informticos del DAPRE no podrn ser utilizados, sin previa autorizacin escrita, para
divulgar, propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas,
programas destructivos (virus), propaganda poltica, material religioso o cualquier otro uso que no est
autorizado.
Los usuarios no deben realizar intencionalmente actos que impliquen un mal uso de los recursos
tecnolgicos. Estos actos incluyen, pero no se limitan a: envi de correo electrnico masivo con fines no
institucionales y prctica de juegos en lnea.
Los usuarios no podrn efectuar ninguna de las siguientes labores sin previa autorizacin del rea de
Informacin y Sistemas:
Instalar software en cualquier equipo del DAPRE;
Bajar o descargar software de Internet u otro servicio en lnea en cualquier equipo del DAPRE;
Modificar, revisar, transformar o adaptar cualquier software propiedad del DAPRE;
Descompilar o realizar ingeniera inversa en cualquier software de propiedad del DAPRE.
Copiar o distribuir cualquier software de propiedad del DAPRE.
El usuario deber informar al Jefe Inmediato de cualquier violacin de las polticas de seguridad o uso
indebido que tenga conocimiento.
El usuario ser responsable de todas las transacciones o acciones efectuadas con su cuenta de usuario.
Ningn usuario deber acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuario
o clave de otro usuario.
Cada usuario es responsable de asegurar que el uso de redes externas, tal como Internet, no comprometa
la seguridad de los recursos informticos del DAPRE. El rea de Informacin y Sistemas del DAPRE, es
23

Cdigo: M-TI-01
Versin 05
el rea responsable de realizar el aseguramiento de los accesos a internet, acceso a redes de terceros y a
las redes de la entidad; esta responsabilidad incluye, pero no se limita a prevenir que intrusos tengan
acceso a los recursos informticos y a prevenir la introduccin y propagacin de virus.
Todo archivo o material recibido a travs de medio magntico/electrnico o descarga de Internet o de

cualquier red externa, deber ser revisado para deteccin de virus y otros programas destructivos antes
de ser instalados en la infraestructura TIC del DAPRE.
Todos los archivos provenientes de equipos externos al DAPRE, deben ser revisados para deteccin de
virus antes de su utilizacin dentro de la red del DAPRE.
Todo cambio a la infraestructura informtica deber estar controlado y ser realizado de acuerdo con los
procedimientos de gestin de cambios del rea de informacin y sistemas del DAPRE.
La informacin del DAPRE debe ser respaldada de forma frecuente, debe ser almacenada en lugares
apropiados en los cuales se pueda garantizar que la informacin este segura y podr ser recuperada en
caso de un desastre o de incidentes con los equipos de procesamiento.
4.1.13. Poltica de uso de estaciones cliente.

Objetivo:
Garantizar que la seguridad es parte integral de los activos de informacin y que son bien utilizados por los
usuarios finales.
Aplicabilidad:
Directrices:
La instalacin de software en los computadores suministrados por el DAPRE, es una funcin exclusiva del
rea de Informacin y Sistemas. Se mantendr una lista actualizada del software autorizado para instalar
en los computadores.
Se definirn dos (2) perfiles de Administradores locales:

1. Desarrolladores de aplicaciones.
2. Usuarios que necesitan utilizar software especfico, que por su naturaleza requieren permisos de
administrador local para su ejecucin.
Los usuarios no deben mantener almacenados en los discos duros, de las estaciones cliente o discos
virtuales de red, archivos de vdeo, msica y fotos que no sean de carcter institucional.
En el Disco C:\ de las estaciones cliente se tiene configurado el sistema operativo, aplicaciones y perfil de
usuario. El usuario deber abstenerse de realizar modificaciones a stos archivos.
24

Cdigo: M-TI-01
Versin 05
Los usuarios podrn trabajar sus documentos institucionales en borrador en la estacin cliente asignada
por el DAPRE y debern ubicar copias y documentos finales en las carpetas virtuales centralizadas que se
establezca para cumplir con las tablas de retencin documental TRD de la Entidad.
El prstamo de equipos de cmputo, computadores porttiles y vdeo proyectores se debe tramitar a

travs de la mesa de ayuda con anticipacin y se proveer de acuerdo a la disponibilidad.
Los equipos que ingresan temporalmente al DAPRE que son de propiedad de terceros: deben ser
registrados en las porteras de la entidad para poder realizar su retiro sin autorizacin; el DAPRE no se
har responsable en caso de prdida o dao de algn equipo informtico de uso personal o que haya sido
ingresado a sus instalaciones.
El rea de Informacin y Sistemas no prestar servicio de soporte tcnico (revisin, mantenimiento,

reparacin, configuracin y manejo e informacin) a equipos que no sean del DAPRE.
4.1.14. Poltica de uso de Internet.

Objetivo:
Establecer unos lineamientos que garanticen la navegacin segura y el uso adecuado de la red por parte de los
usuarios finales, evitando errores, prdidas, modificaciones no autorizadas o uso inadecuado de la informacin en
las aplicaciones WEB.
Aplicabilidad:
Directrices:
La navegacin en Internet debe realizarse de forma razonable y con propsitos laborales.
No se permite la navegacin a sitios con contenidos contrarios a la ley o a las polticas del DAPRE o que
representen peligro para la entidad como: pornografa, terrorismo, hacktivismo, segregacin racial u otras
fuentes definidas por el DAPRE.
El acceso a este tipo de contenidos con propsitos de estudio de seguridad o de investigacin, debe
contar con la autorizacin expresa del Comit de Seguridad Informtica y de Sistemas del DAPRE.
La descarga de archivos de Internet debe ser con propsitos laborales y de forma razonable para no
afectar el servicio de Internet/Intranet, en forma especfica el usuario debe cumplir los requerimientos de la
poltica de uso de internet descrita en este manual.
25

Cdigo: M-TI-01
Versin 05
4.1.15. Poltica de uso de mensajera instantnea y redes sociales.

Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin de la Presidencia de la
Repblica, en el uso del servicio de mensajera instantnea y de las redes sociales, por parte de los usuarios
autorizados.
Aplicabilidad:
Directrices:
El uso de servicios de mensajera instantnea y el acceso a redes sociales estarn autorizados solo para
un grupo reducido de usuarios, teniendo en cuenta sus funciones y para facilitar canales de comunicacin
con la ciudadana.
No se permite el envo de mensajes con contenido que atente contra la integridad de las personas o
instituciones o cualquier contenido que represente riesgo de cdigo malicioso.
La informacin que se publique o divulgue por cualquier medio de Internet, de cualquier funcionario,
contratista o colaborador del DAPRE, que sea creado a nombre personal, como redes sociales, twitter,
facebook, youtube likedink o blogs, se considera fuera del alcance del SGSI y por lo tanto su
confiabilidad, integridad y disponibilidad y los daos y perjuicios que pueda llegar a causar sern de
completa responsabilidad de la persona que las haya generado.
4.1.16. Poltica de uso de discos de red o carpetas virtuales.

Objetivo:
Asegurar la operacin correcta y segura de los discos de red o carpetas virtuales.
Aplicabilidad:
Directrices:
Para que los usuarios tengan acceso a la informacin ubicada en los discos de red, el jefe inmediato
deber enviar un correo autorizando el acceso y permisos, correspondientes al rol y funciones a
desempear, a la mesa de ayuda del rea de Informacin y Sistemas del DAPRE. Los usuarios tendrn
permisos de escritura, lectura o modificacin de informacin en los discos de red, dependiendo de sus
funciones y su rol.
26

Cdigo: M-TI-01
Versin 05
La informacin institucional que se trabaje en las estaciones cliente de cada usuario debe ser trasladada
peridicamente a los discos de red por ser informacin institucional.
La informacin almacenada en cualquiera de los discos de red debe ser de carcter institucional.
Est prohibido almacenar archivos con contenido que atente contra la moral y las buenas costumbres de
la entidad o las personas, como pornografa, propaganda racista, terrorista o cualquier software ilegal o
malicioso, ya sea en medios de almacenamiento de estaciones de trabajo, computadores de escritorio o
porttiles, tablets, celulares inteligentes, etc. o en los discos de red.
Se prohbe extraer, divulgar o publicar informacin de cualquiera de los discos de red o estaciones de
trabajo, sin expresa autorizacin de su jefe inmediato.
Se prohbe el uso de la informacin de los discos de red con fines publicitarios, de imagen negativa,
lucrativa o comercial.
La responsabilidad de generar las copias de respaldo de la informacin de los discos de red, est a cargo
del rea de Informacin y Sistemas.
La responsabilidad de custodiar la informacin en copias de respaldo controladas, fuera de las

instalaciones del DAPRE, estar a cargo del rea de Informacin y Sistemas.
4.1.17. Poltica de uso de impresoras y del servicio de Impresin.

Objetivo:
Asegurar la operacin correcta y segura de las impresoras y del servicio de impresin.
Aplicabilidad:
Directrices:
Los documentos que se impriman en las impresoras del DAPRE deben ser de carcter institucional.
Es responsabilidad del usuario conocer el adecuado manejo de los equipos de impresin (escner y
fotocopiado) para que no se afecte su correcto funcionamiento.
Ningn usuario debe realizar labores de reparacin o mantenimiento de las impresoras. En caso de
presentarse alguna falla, esta se debe reportar a la mesa de ayuda del rea de Informacin y Sistemas.
27

Cdigo: M-TI-01
Versin 05
4.1.18. Poltica de uso de puntos de red de datos (red de rea local LAN).
Objetivo:
Asegurar la operacin correcta y segura de los puntos de red.
Aplicabilidad:
Directrices:
Los usuarios debern emplear los puntos de red, para la conexin de equipos informticos estndar. Los
equipos de uso personal, que no son de propiedad del DAPRE, solo tendrn acceso a servicios limitados
destinados a invitados o visitantes, estos equipos deben ser conectados a los puntos de acceso
autorizados y definidos por el rea de Informacin y Sistemas del DAPRE.
La instalacin, activacin y gestin de los puntos de red es responsabilidad del rea de Informacin y
Sistemas.
4.1.19. Polticas de seguridad del centro de datos y centros de cableado.

Objetivo:
Asegurar la proteccin de la informacin en las redes y la proteccin de la infraestructura de soporte.
Aplicabilidad:
terceros que estn encargados de cualquier parte o sistema de la plataforma informtica.
Directrices:
No se permite el ingreso al centro de datos, al personal que no est expresamente autorizado. Se debe
llevar un control de ingreso y salida del personal que visita el centro de datos. En el centro de datos debe
disponerse de una planilla para el registro, la cual debe ser diligenciada en lapicero de tinta al iniciar y
finalizar la actividad a realizar.
El rea de Informacin y Sistemas debe garantizar que el control de acceso al centro de datos del
DAPRE, cuenta con dispositivos electrnicos de autenticacin o sistema de control biomtrico.
El rea de Informacin y Sistemas deber garantizar que todos los equipos de los centros de datos
cuenten con un sistema alterno de respaldo de energa
La limpieza y aseo del centro de datos estar a cargo del rea Administrativa y debe efectuarse en
presencia de un funcionario o contratista del rea de Informacin y Sistemas del DAPRE. El personal de
limpieza debe ser ilustrado con respecto a las precauciones mnimas a seguir durante el proceso de
limpieza. Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no sean
estrictamente necesarios para su labor de limpieza y aseo.
28

Cdigo: M-TI-01
Versin 05
En las instalaciones del centro de datos o centros de cableado, no se debe fumar, comer o beber; de igual
forma se debe eliminar la permanencia de papelera y materiales que representen riesgo de propagacin
de fuego, as como mantener el orden y limpieza en todos los equipos y elementos que se encuentren en
este espacio.
El centro de datos debe estar provisto de:

Sealizacin adecuada de todos y cada uno de los diferentes equipos y elementos, as como luces de
emergencia y de evacuacin, cumpliendo las normas de seguridad industrial y de salud ocupacional.
Pisos elaborados con materiales no combustibles.
Sistema de refrigeracin por aire acondicionado de precisin. Este equipo debe ser redundante para
que en caso de falla se pueda continuar con la refrigeracin.
Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de
garantizar el servicio de energa elctrica durante una falla momentnea del fluido elctrico de la red
pblica.
Alarmas de deteccin de humo y sistemas automticos de extincin de fuego, conectada a un
sistema central. Los detectores debern ser probados de acuerdo a las recomendaciones del
fabricante o al menos una vez cada 6 meses y estas pruebas debern estar previstas en los
procedimientos de mantenimiento y de control.
Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad de
detener el fuego generado por equipo elctrico, papel o qumicos especiales.
El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.
Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas tcnicas.
La grabacin de vdeo en las instalaciones del centro de datos debe estar expresamente autorizada por el
Comit de Seguridad Informtica y de Sistemas y exclusivamente con fines institucionales.
Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadas
por un funcionario o contratista autorizado del DAPRE.
Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere
ingresar y salir del centro de datos, el funcionario responsable de la actividad se ubicar dentro del centro
de datos.
Cuando se requiera realizar alguna actividad sobre algn armario (rack), este debe quedar ordenado,
cerrado y con llave, cuando se finalice la actividad.
Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben
permanecer apagadas.
Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas
que se puedan presentar.
29

Cdigo: M-TI-01
Versin 05
4.1.20. Polticas de seguridad de los Equipos

Objetivo:
Asegurar la proteccin de la informacin en los equipos.
Aplicabilidad:
Directrices:
Protecciones en el suministro de energa
A la red de energa regulada de los puestos de trabajo solo se pueden conectar equipos como computadores,
pantallas; los otros elementos debern conectarse a la red no regulada. Esta labor debe ser revisada por el rea
Administrativa.
Seguridad del cableado
Los cables deben estar claramente marcados para identificar fcilmente los elementos conectados y evitar
desconexiones errneas.
Deben existir planos que describan las conexiones del cableado.
El acceso a los centros de cableado (Racks), debe estar protegido.
Mantenimiento de los Equipos
El DAPRE debe mantener contratos de soporte y mantenimiento de los equipos crticos.
Las actividades de mantenimiento tanto preventivo como correctivo deben registrarse para cada elemento.
Las actividades de mantenimiento de los servidores, elementos de comunicaciones, energa o cualquiera que
pueda ocasionar una suspensin en el servicio, deben ser realizadas y programadas.
Los equipos que requieran salir de las instalaciones del DAPRE para reparacin o mantenimiento, deben estar
debidamente autorizados y se debe garantizar que en dichos elementos no se encuentra informacin establecida
como crtica en la clasificacin de la informacin de acuerdo a los niveles de clasificacin de la informacin.
Para que los equipos puedan salir fuera de las instalaciones, se debe suministrar un nivel mnimo de seguridad,
que al menos cumpla con los requerimientos internos, teniendo en cuenta los diferentes riesgos de trabajar en un
ambiente que no cuenta con las protecciones ofrecidas en el interior del DAPRE.
Cuando un dispositivo vaya a ser reasignado o retirado de servicio, debe garantizarse la eliminacin de toda
informacin residente en los elementos utilizados para el almacenamiento, procesamiento y transporte de la
informacin, utilizando herramientas para realizar sobre-escrituras sobre la informacin existente o la presencia de
campos magnticos de alta intensidad. Este proceso puede adems incluir, una vez realizado el proceso anterior,
la destruccin fsica del medio, utilizando impacto, fuerzas o condiciones extremas.
30

Cdigo: M-TI-01
Versin 05
Ingreso y retiro de activos de informacin de terceros.

El retiro e ingreso de todo activo de informacin de propiedad de los usuarios del DAPRE, utilizados para fines
personales, se realizar mediante los procedimientos establecidos por la Administracin del Edificio. El DAPRE no
se hace responsable de los bienes o los problemas que se presenten al conectarse a la red elctrica del
Departamento.
El retiro e ingreso de todo activo de informacin de los visitantes que presten servicios al DAPRE (consultores,
pasantes, visitantes, etc.) ser registrado y controlado en las porteras del edificio. El personal de vigilancia de
recepcin verificar y registrar las caractersticas de identificacin del activo de informacin.
El traslado entre dependencias del DAPRE de todo activo de informacin, est a cargo del rea Administrativa,
para el control de inventarios.
4.1.21. Poltica de escritorio y pantalla limpia.

Objetivo:
Definir las pautas generales para reducir el riesgo de acceso no autorizado, prdida y dao de la informacin
durante y fuera del horario de trabajo normal de los usuarios.
Aplicabilidad:
Directrices:
El personal del DAPRE debe conservar su escritorio libre de informacin, propia de la entidad, que pueda
ser alcanzada, copiada o utilizada por terceros o por personal que no tenga autorizacin para su uso o
conocimiento.
El personal del DAPRE debe bloquear la pantalla de su computador con el protector de pantalla, en los
momentos que no est utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de
trabajo.
Al imprimir documentos de carcter confidencial, estos deben ser retirados de la impresora

inmediatamente y no se deben dejar en el escritorio sin custodia.
No se debe utilizar fotocopiadoras, escneres, equipos de fax, cmaras digitales y en general equipos
tecnolgicos que se encuentren desatendidos.
31

Cdigo: M-TI-01
Versin 05
4.1.22. Poltica de uso de correo electrnico.

Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE, en el uso del
servicio de correo electrnico por parte de los usuarios autorizados.
Aplicabilidad:
Directrices:
Esta poltica define y distingue el uso de correo electrnico aceptable/apropiado e inaceptable/inapropiado y
establece las directrices para el uso seguro del servicio.
Servicio de correo electrnico:
Permite a los usuarios del DAPRE, el intercambio de mensajes, a travs de una cuenta de correo electrnico
institucional, que facilita el desarrollo de sus funciones.
Principios gua
Los usuarios del correo electrnico corporativo son responsables de evitar prcticas o usos del correo que
puedan comprometer la seguridad de la informacin.
Los servicios de correo electrnico corporativo se emplean para servir a una finalidad operativa y
administrativa en relacin con la entidad. Todos los correos electrnicos procesados por los sistemas,
redes y dems infraestructura TIC del DAPRE se consideran bajo el control de la entidad.
Este servicio debe utilizarse exclusivamente para las tareas propias de la funcin desarrollada en el DAPRE y no
debe utilizarse para ningn otro fin.
El envo de cadenas de correo, envo de correos masivos con archivos adjuntos de gran tamao que puedan
congestionar la red, no est autorizado.
No est autorizado, el envo de correos con contenido que atenten contra la integridad y dignidad de las personas y
el buen nombre de la entidad.
Condiciones de uso del servicio
Cuando un funcionario, contratista o colaborador al que le haya sido autorizado el uso de una cuenta de correo
electrnico y se retire del DAPRE, su cuenta de correo ser desactivada.
Los correos electrnicos deben contener la siguiente nota respecto al manejo del contenido:
El contenido de este mensaje y sus anexos son propiedad del Departamento Administrativo de la
Presidencia de la Repblica, es nicamente para el uso del destinatario ya que puede contener
32

Cdigo: M-TI-01
Versin 05
informacin pblica reservada o informacin pblica clasificada (privada o semiprivada), las cuales
no son de carcter pblico. Si usted no es el destinatario, se informa que cualquier uso, difusin,
distribucin o copiado de esta comunicacin est prohibido. Cualquier revisin, retransmisin,
diseminacin o uso del mismo, as como cualquier accin que se tome respecto a la informacin
contenida, por personas o entidades diferentes al propsito original de la misma, es ilegal.
Si usted es el destinatario, le solicitamos dar un manejo adecuado a la informacin; de presentarse
cualquier suceso anmalo, por favor informarlo al correo soporte@presidencia.gov.co.
El tamao del buzn de correo electrnico estar determinado por el rol desempeado por el usuario en el DAPRE.
Cada rea deber solicitar la creacin de las cuentas electrnicas, sin embargo las reas de Recursos Humanos y
de Contratacin son las responsables de solicitar la modificacin o cancelacin de las cuentas electrnicas a la
Oficina de informacin y sistemas del DAPRE.
Las cuentas de correo electrnico son propiedad del DAPRE, las cuales son asignadas a personas que tengan
algn tipo de vinculacin laboral con la entidad, ya sea como personal de planta, contratistas, consultores o
personal temporal, quienes deben utilizar este servicio nica y exclusivamente para las tareas propias de la funcin
desarrollada en la Entidad y no debe utilizarse para ningn otro fin.
Cada usuario es responsable del contenido del mensaje enviado y de cualquier otra informacin adjunta al mismo,
de acuerdo a la clasificacin de la informacin establecida por el DAPRE.
Todos los mensajes pueden ser sujetos a anlisis y conservacin permanente por parte de la Entidad.
Todo usuario es responsable por la destruccin de los mensajes cuyo origen sea desconocido y por lo tanto
asumir la responsabilidad y las consecuencias que puede ocasionar la ejecucin de cualquier archivo adjunto. En
estos casos no se debe contestar dichos mensajes, ni abrir los archivos adjuntos y se debe reenviar el correo a la
cuenta soporte@presidencia.gov.co con la frase correo sospechoso en el asunto.
El nico servicio de correo electrnico autorizado en la entidad es el asignado por el rea de Informacin y
Sistemas.
4.1.23. Poltica de control de acceso.

Objetivo:
Definir las pautas generales para asegurar un acceso controlado, fsico o lgico, a la informacin de la plataforma
informtica del DAPRE, as como el uso de medios de computacin mvil.
Aplicabilidad:
Directrices:
El DAPRE proporcionar a los funcionarios y contratistas (personas naturales) todos los recursos
tecnolgicos necesarios para que puedan desempear las funciones para las cuales fueron contratados,
33

Cdigo: M-TI-01
Versin 05
por tal motivo no se permite conectar a la red o instalar dispositivos fijos o mviles, tales como:
computadores porttiles, tablets, enrutadores, agendas electrnicas, celulares inteligentes, access point,
que no sean autorizados por el rea de Informacin y Sistemas.
El DAPRE suministrar a los usuarios las claves respectivas para el acceso a los servicios de red y
sistemas de informacin a los que hayan sido autorizados, las claves son de uso personal e intransferible.
Es responsabilidad del usuario el manejo que se les d a las claves asignadas.
Solo usuarios designados por el rea de Informacin y Sistemas estarn autorizados para instalar
software o hardware en los equipos, servidores e infraestructura de telecomunicaciones del DAPRE.
Todo trabajo que utilice los servidores del DAPRE con informacin de la entidad, sus funcionarios o
contratistas, se debe realizar en sus instalaciones, no se podr realizar ninguna actividad de tipo remoto
sin la debida aprobacin del DAPRE.
La conexin remota a la red de rea local del DAPRE debe ser hecha a travs de una conexin VPN
segura suministrada por la entidad, la cual debe ser aprobada, registrada y auditada.
4.1.24. Poltica de establecimiento, uso y proteccin de claves de acceso.

Objetivo:
Controlar el acceso a la informacin.
Aplicabilidad:
Directrices:
Se debe concienciar y controlar que los usuarios sigan buenas prcticas de seguridad en la seleccin, uso
y proteccin de claves o contraseas, las cuales constituyen un medio de validacin de la identidad de un
usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones, equipos o
servicios informticos.
Los usuarios son responsables del uso de las claves o contraseas de acceso que se le asignen para la
utilizacin de los equipos o servicios informticos de la Entidad.
Los usuarios deben tener en cuenta los siguientes aspectos:
No incluir contraseas en ningn proceso de registro automatizado, por ejemplo almacenadas en un

macro o en una clave de funcin.
El cambio de contrasea solo podr ser solicitado por el titular de la cuenta o su jefe inmediato.
34

Cdigo: M-TI-01
Versin 05
Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no
estn en uso.
Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin xito, a un equipo o sistema
informtico, en forma consecutiva por cinco veces.
La clave de acceso ser desbloqueada slo por el PUC (Punto nico de Contacto, luego de la solicitud
formal por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivacin debe ser
documentada y comunicada al PUC.
Las claves o contraseas deben:

Poseer algn grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni
tener informacin personal, por ejemplo: fechas de cumpleaos, nombre de los hijos, placas de automvil, etc.
Tener mnimo diez caracteres alfanumricos.
Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
Cambiarse obligatoriamente cada 30 das, o cuando lo establezca el rea de Informacin y Sistemas.
Cada vez que se cambien estas deben ser distintas por lo menos de las ltimas tres anteriores.
Cambiar la contrasea si ha estado bajo riesgo o se ha detectado anomala en la cuenta de usuario.
No se deben usar caracteres idnticos consecutivos, ni que sean todos numricos, ni todos alfabticos.
No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.
No ser reveladas a ninguna persona, incluyendo al personal del rea de Informacin y Sistemas.
No regstralas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma
segura y el mtodo de almacenamiento este aprobado.
4.1.25. Poltica de adquisicin, desarrollo y mantenimiento de sistemas de informacin.

Objetivo:
Garantizar que la seguridad es parte integral de los sistemas de informacin.
Aplicabilidad:
Estas son polticas que aplican a los Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a
todos los usuarios de la informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Asegurar que los sistemas de informacin o aplicativos informticos incluyen controles de seguridad y
cumplen con las polticas de seguridad de la informacin.
35

Cdigo: M-TI-01
Versin 05
En caso de desarrollos propios de la entidad se debe verificar que estn completamente documentados,
que las diferentes versiones se preservan adecuadamente en varios medios y se guarda copia de
respaldo externa a la entidad y que sean registrados ante la Direccin General de Derechos de Autor del
Ministerio del Interior y de Justicia.
Desarrollar estrategias para analizar la seguridad en los sistemas de informacin.
Todo nuevo hardware y software que se vaya a adquirir y conectar a la plataforma tecnolgica del
DAPRE, por cualquier dependencia o proyecto del DAPRE, deber ser gestionado por el rea de
Informacin y Sistemas para su correcto funcionamiento.
La compra de una licencia de un programa permitir al DAPRE realizar una copia de seguridad (a no ser
que est estipulado de manera distinta), para ser utilizada en caso de que el medio se avere.
Cualquier otra copia del programa original ser considerada como una copia no autorizada y su utilizacin
conlleva a las sanciones administrativas y legales pertinentes.
El rea de Informacin y Sistemas ser la nica dependencia autorizada para realizar copia de seguridad
del software original.
La instalacin del software en las mquinas del DAPRE, se realizar nicamente a travs del PUC del
rea de Informacin y Sistemas.
El software proporcionado por el DAPRE no puede ser copiado o suministrado a terceros.
En los equipos del DAPRE se podr utilizar el software licenciado por el rea de Informacin y Sistemas y
el adquirido o licenciado por los proyectos o programas que se encuentran en el DAPRE.
Para la adquisicin y actualizacin de software, es necesario efectuar la solicitud al rea de Informacin y

Sistemas con su justificacin, quien analizar las propuestas presentadas para su evaluacin y
aprobacin.
El software que se adquiera a travs de los proyectos o programas, debe quedar a nombre del
Departamento Administrativo de la Presidencia de la Repblica.
Se encuentra prohibido el uso e instalacin de juegos en los computadores del DAPRE.
Se presentarn para dar de baja el software de acuerdo con los lineamientos dados por la Entidad.
4.2. Procedimientos que apoyan la Poltica de Seguridad

Los procedimientos son uno de los elementos dentro de la documentacin del Manual de la Poltica de Seguridad
para las Tecnologas de la Informacin y las comunicaciones. Un procedimiento describe de forma ms detallada lo
que se hace en las actividades de un proceso, en l se especifica cmo se deben desarrollar las actividades,
36

Cdigo: M-TI-01
Versin 05
cules son los recursos, el mtodo y el objetivo que se pretende lograr o el valor agregado que genera y
caracteriza el proceso.
Tambin es recomendable el uso de instructivos para detallar an ms las tareas y acciones puntuales que se
deben desarrollar dentro de un procedimiento, como son los instructivos de trabajo y de operacin; los primeros
para la ejecucin de la tarea por la persona y los segundos para la manipulacin o la operacin de un equipo.
Los usuarios del DAPRE pueden consultar las descripciones detalladas de cada procedimiento a travs del sistema
integrado de gestin SIGEPRE o en el rea de informacin y sistemas del DAPRE.
4.2.1. Procedimiento de control de documentos

Garantiza que la organizacin cuente con los documentos estrictamente necesarios a partir de su perfil de
actuacin en cada momento y maneja la dinmica del mejoramiento, mostrando la realidad que atraviesa la entidad
en cada momento, porque incorpora la eficacia de las diferentes acciones, a travs de la revisin documental y del
cumplimiento de los requisitos idnticos en los diferentes modelos de gestin, sobre el control de documentos. As
mismo, busca garantizar que los documentos en uso son confiables y tambin se pretende mantenerlos
actualizados, una vez se evidencia la eficacia de las acciones correctivas, preventivas y de mejora que hacen que
los procesos se ajusten y evolucionen y que los documentos existentes en el momento de la evaluacin y
comprobacin del cambio que se implement como solucin a un problema, riesgo o a una oportunidad se
conserven.
De acuerdo a la correspondencia y vnculos tcnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-IS09001 y NTC-IS027001 se utiliza la Gua de Apoyo para Caracterizacin de Procesos y Procedimiento de
Generacin y Control de Documentos, Proceso Direccionamiento Estratgico, Ver M-DE-02 Manual del SIGEPRE.
Ver procedimiento G-DE-01 Gua para la Elaboracin y Control de Documentos cdigo P-DE-05 Generacin
y Control de Documentos del SIGEPRE.
4.2.2. Procedimiento de control de registros

Est definido para evidenciar las acciones realizadas y los resultados obtenidos en la ejecucin de las actividades,
con el fin de analizar los datos, y lo que es ms importante, para la toma de decisiones, de tal forma que registro
que no aporta valor o no lleva a una decisin de mejora o de accin, no se debe tener en el sistema, ya que lo
nico que hara es desgastar a la organizacin y generar residuos slidos como papel mal utilizado.
NTC-IS09001 y NTC-IS027001 se utiliza el Procedimiento de control de registros. Proceso gestin documental. Ver
M-DE-02 Manual del SIGEPRE. Ver procedimiento P-GD-08 Control de registros.
4.2.3. Procedimiento de auditora interna

La auditora interna es una herramienta para la alta direccin, en el momento de determinar la eficacia y la
eficiencia del sistema de gestin, a travs de la identificacin de las fortalezas y debilidades. Esta es la razn por la
cual se recomienda siempre realizar auditoras internas antes de llevar a cabo la revisin gerencial, ya que para
37

Cdigo: M-TI-01
Versin 05
esta ltima se requiere informacin sobre el sistema y los procesos, de tal manera que se pueda evaluar la
adecuacin, la conveniencia y la eficacia del sistema de gestin.
Se hacen auditorias para evaluar la conformidad con las polticas de la organizacin, para evaluar el nivel de
implementacin del sistema de gestin, para evaluar el estado de mantenimiento y la capacidad de mejoramiento
del sistema de gestin.
NTC-IS09001 y NTC-IS027001 se utiliza el documento administracin de auditoras internas al SIGEPRE. Proceso
evaluacin control y mejoramiento. Ver M-DE-02 Manual del SIGEPRE. Ver procedimiento P-EM-01 Auditoras
internas.
4.2.4. Procedimiento de accin correctiva

El objetivo de este procedimiento es definir los lineamientos para eliminar la causa de no conformidades asociadas
con los requisitos de la poltica de seguridad del DAPRE, as como: definir los lineamientos para identificar,
registrar, controlar, desarrollar, implantar y dar seguimiento a las acciones correctivas necesarias para evitar que
se repita la no conformidad.
NTC-IS09001 y NTC-IS027001 se utiliza el procedimiento de elaboracin y seguimiento de planes de
mejoramiento.
Proceso evaluacin control y mejoramiento. Ver M-DE-02 Manual del SIGEPRE. Ver el P-EM-06 Procedimiento
de elaboracin y seguimiento de planes de mejoramiento.
4.2.5. Procedimiento de accin preventiva

El objetivo de este procedimiento es definir los lineamientos para identificar, registrar, controlar, desarrollar,
implantar y dar seguimiento a las acciones preventivas generadas por la deteccin de una no conformidad real o
potencial en el sistema de gestin de seguridad de la informacin y eliminar sus causas.
NTC-IS09001 y NTC-IS027001 se utiliza el procedimiento de elaboracin y seguimiento de planes de
mejoramiento.
Proceso evaluacin control y mejoramiento. Ver M-DE-02 Manual del SIGEPRE. Ver el P-EM-06 Procedimiento
de elaboracin y seguimiento de planes de mejoramiento.
4.2.6. Procedimiento de revisin del Manual de Poltica de Seguridad

El objetivo de este procedimiento es el de revisar, por parte de la direccin o su representante, el Manual de la
Poltica para la Tecnologa de Informacin y Comunicaciones - Tics del Departamento Administrativo de la
Presidencia de la Repblica en intervalos planificados, para asegurar su conveniencia, eficiencia y eficacia
continua.
38

Cdigo: M-TI-01
Versin 05
NTC-IS09001 y NTC-IS027001 se utilizan los requisitos: 5.1.d Compromisos de la direccin y 5.6 Revisin por la
direccin del Manual Ver M-DE-02 Manual del SIGEPRE.
4.3. Gestin de los Incidentes de la Seguridad de la Informacin

Asegurar que los eventos e incidentes de seguridad que se presenten con los activos de informacin, sean
comunicados y atendidos oportunamente, empleando los procedimientos definidos, con el fin de que se tomen
oportunamente las acciones correctivas.
4.4. Proceso Disciplinario

Dentro de la estrategia de seguridad de la informacin del DAPRE, est establecido un proceso disciplinario formal
para los funcionarios que hayan cometido alguna violacin de la Poltica de Seguridad de la Informacin. El
proceso disciplinario tambin se debera utilizar como disuasin para evitar que los funcionarios, contratistas y los
otros colaboradores del DAPRE violen las polticas y los procedimientos de seguridad de la informacin, as como
para cualquier otra violacin de la seguridad. Las investigaciones disciplinarias corresponden a actividades
pertenecientes al proceso de gestin del rea de Talento Humano Ver P-TH-08 Procedimiento Disciplinario
Ordinario. Ver M-DE-02 Manual del SIGEPRE.
Actuaciones que conllevan a la violacin de la seguridad de la informacin establecidas por el DAPRE
No firmar los acuerdos de confidencialidad o de entrega de informacin o de activos de informacin.

Ingresar a carpetas de otros procesos, unidades, grupos o reas, sin autorizacin y no reportarlo al punto
nico de contacto o al CSIRT.
No reportar los incidentes de seguridad o las violaciones a las polticas de seguridad, cuando se tenga
conocimiento de ello.
No actualizar la informacin de los activos de informacin a su cargo.
Clasificar y registrar de manera inadecuada la informacin, desconociendo los estndares establecidos
para este fin.
No guardar de forma segura la informacin cuando se ausenta de su puesto de trabajo o al terminar la
jornada laboral, de documentos impresos que contengan informacin pblica reservada, informacin
pblica clasificada (privada o semiprivada).
No guardar la informacin digital, producto del procesamiento de la informacin perteneciente al DAPRE.
Dejar informacin pblica reservada, en carpetas compartidas o en lugares distintos al servidor de
archivos, obviando las medidas de seguridad.
Dejar las gavetas abiertas o con las llaves puestas en los escritorios,
Dejar los computadores encendidos en horas no laborables.
Permitir que personas ajenas al DAPRE, deambulen sin acompaamiento, al interior de las instalaciones,
en reas no destinadas al pblico.
39

Cdigo: M-TI-01
Versin 05
Almacenar en los discos duros de los computadores personales de los usuarios, la informacin de la
entidad.
Solicitar cambio de contrasea de otro usuario, sin la debida autorizacin del titular o su jefe inmediato.
Hacer uso de la red de datos de la institucin, para obtener, mantener o difundir en los equipos de
sistemas, material pornogrfico (exceptuando el penalizado por la ley) u ofensivo, cadenas de correos y
correos masivos no autorizados.
Utilizacin de software no relacionados con la actividad laboral y que pueda degradar el desempeo de la
plataforma tecnolgica institucional.
Recepcionar o enviar informacin institucional a travs de correos electrnicos personales, diferentes a los
asignados por la institucin.
Enviar informacin pblica reservada o informacin pblica clasificada (privada o semiprivada) por
correo, copia impresa o electrnica sin la debida autorizacin y sin la utilizacin de los protocolos
establecidos para la divulgacin.
Utilizar equipos electrnicos o tecnolgicos desatendidos o que a travs de sistemas de interconexin
inalmbrica, sirvan para transmitir, recepcionar y almacenar datos.
Usar dispositivos de almacenamiento externo en los computadores, cuya autorizacin no haya sido
otorgada por el rea de Informacin y Sistemas del DAPRE.
Permitir el acceso de funcionarios a la red corporativa, sin la autorizacin del rea de Informacin y
Sistemas del DAPRE.
Utilizacin de servicios disponibles a travs de internet, como FTP y Telnet, no permitidos por el DAPRE o
de protocolos y servicios que no se requieran y que puedan generar riesgo para la seguridad.
Negligencia en el cuidado de los equipos, dispositivos porttiles o mviles entregados para actividades
propias del DAPRE.
No cumplir con las actividades designadas para la proteccin de los activos de informacin del DAPRE.
Destruir o desechar de forma incorrecta la documentacin institucional.
Descuidar documentacin con informacin pblica reservada o clasificada de la institucin, sin las
medidas apropiadas de seguridad que garanticen su proteccin.
Registrar informacin pblica reservada o clasificada, en pos-it, apuntes, agendas, libretas, etc. Sin el
debido cuidado.
Almacenar informacin pblica reservada o clasificada, en cualquier dispositivo de almacenamiento que
no permanezca al DAPRE o conectar computadores porttiles u otros sistemas elctricos o electrnicos
personales a la red de datos de DAPRE, sin la debida autorizacin.
Archivar informacin pblica reservada o clasificada, sin claves de seguridad o cifrado de datos.
Promocin o mantenimiento de negocios personales, o utilizacin de los recursos tecnolgicos del DAPRE
para beneficio personal.
El que sin autorizacin acceda en todo o parte del sistema informtico o se mantenga dentro del mismo en
contra de la voluntad del DAPRE.
El que impida u obstaculice el funcionamiento o el acceso normal al sistema informtico, los datos
informticos o las redes de telecomunicaciones del DAPRE, sin estar autorizado.
El que destruya, dae, borre, deteriore o suprima datos informticos o un sistema de tratamiento de
informacin del DAPRE.
El que distribuya, enve, introduzca software malicioso u otros programas de computacin de efectos
dainos en la plataforma tecnolgica del DAPRE.
El que viole datos personales de las bases de datos del DAPRE.
El que superando las medidas de seguridad informtica suplante un usuario ante los sistemas de
autenticacin y autorizacin establecidos por el DAPRE.
40

Cdigo: M-TI-01
Versin 05
No mantener la confidencialidad de las contraseas de acceso a la red de datos, los recursos tecnolgicos
o los sistemas de informacin del DAPRE o permitir que otras personas accedan con el usuario y clave del
titular a stos.
Permitir el acceso u otorgar privilegios de acceso a las redes de datos del DAPRE a personas no
autorizadas.
Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a cualquier computador
del DAPRE o de terceros.
Ejecutar acciones tendientes a eludir o variar los controles establecidos por el DAPRE.
Retirar de las instalaciones de la institucin, estaciones de trabajo o computadores porttiles que
contengan informacin institucional sin la autorizacin pertinente.
Sustraer de las instalaciones del DAPRE, documentos con informacin institucional calificada como
informacin pblica reservada o clasificada, o abandonarlos en lugares pblicos o de fcil acceso.
Entregar, ensear y divulgar informacin institucional, calificada como informacin pblica reservada y
clasificada a personas o entidades no autorizadas.
No realizar el borrado seguro de la informacin en equipos o dispositivos de almacenamiento del DAPRE,
para traslado, reasignacin o para disposicin final.
Ejecucin de cualquier accin que pretenda difamar, abusar, afectar la reputacin o presentar una mala
imagen del DAPRE o de alguno de sus funcionarios.
Realizar cambios no autorizados en la plataforma tecnolgica del DAPRE.
Acceder, almacenar o distribuir pornografa infantil.
Instalar programas o software no autorizados en las estaciones de trabajo o equipos porttiles
institucionales, cuyo uso no est autorizado por el rea de Informacin y Sistemas del DAPRE.
Copiar sin autorizacin los programas del DAPRE, o violar los derechos de autor o acuerdos de
licenciamiento.
4.5. Gestin de la Continuidad del Negocio

Es el conjunto de procedimientos y estrategias definidos para contrarrestar las interrupciones en las actividades
misionales de la entidad, para proteger sus procesos crticos contra fallas mayores en los sistemas de informacin
o contra desastres y asegurar que las operaciones se recuperen oportuna y ordenadamente, generando un
impacto mnimo o nulo ante una contingencia.
Prevenir interrupciones en las actividades de la plataforma informtica del DAPRE que van en detrimento de los
procesos crticos de TI afectados por situaciones no previstas o desastres.
Se debe desarrollar e implantar un Plan de Continuidad para asegurar que los procesos misionales de TI del
DAPRE podrn ser restaurados dentro de escalas de tiempo razonables.
El DAPRE deber tener definido un plan de accin que permita mantener la continuidad del negocio teniendo en
cuenta los siguientes aspectos:
Identificacin y asignacin de prioridades a los procesos crticos de TI del DAPRE de acuerdo con su
impacto en el cumplimiento de la misin de la entidad.
Documentacin de la estrategia de continuidad del negocio.
Documentacin del plan de recuperacin del negocio de acuerdo con la estrategia definida anteriormente.
41

Cdigo: M-TI-01
Versin 05
Plan de pruebas de la estrategia de continuidad del negocio.
La continuidad del negocio deber ser gestionada por la Subdireccin del DAPRE.
La alta direccin del DAPRE ser la responsable de velar por la implantacin de las medidas relativas a sta.
Igualmente, es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.
La alta direccin del Departamento, se encargar de la definicin y actualizacin de las normas, polticas,
procedimientos y estndares relacionados con la continuidad del negocio, igualmente velar por la implantacin y
cumplimiento de las mismas.
4.6. Cumplimiento
Los diferentes aspectos contemplados en este Manual son de obligatorio cumplimiento para todos los funcionarios,
contratistas y otros colaboradores del DAPRE. En caso de que se violen las polticas de seguridad ya sea de forma
intencional o por negligencia, el DAPRE tomar las acciones disciplinarias y legales correspondientes.
El Manual de la Poltica de Seguridad para las Tecnologas de la Informacin y las Comunicaciones - TICs debe
prevenir el incumplimiento de las leyes, estatutos, regulaciones u obligaciones contractuales que se relacionen con
los controles de seguridad.
4.7. Controles
El Manual de la Poltica de Seguridad para las Tecnologas de la Informacin y las Comunicaciones del DAPRE
esta soportado en un conjunto de procedimientos que se encuentran documentados en archivos complementarios
a este manual. Los usuarios de los servicios y recursos de tecnologa del DAPRE pueden consultar los
procedimientos a travs del rea de Informacin y Sistemas.
4.8. Declaracin de aplicabilidad

La Declaracin de Aplicabilidad (Statement of Applicability - SOA) referenciado en la clusula 4.2.1j del estndar
ISO 27001 es un documento que lista los objetivos y controles que se van a implementar en la Entidad, as como
las justificaciones de aquellos controles que no van a ser implementados.
Para el caso especfico del DAPRE, este tipo de anlisis se hace evaluando el cumplimiento de la norma ISO
27002, para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestin de la
seguridad de la informacin que este estndar especifica; y una vez se complete este anlisis ya se puede realizar
la Declaracin de aplicabilidad.
Lo anterior acorde con D-TI-21 Declaracin de aplicabilidad

42

Cdigo: M-TI-01
Versin 05
5. MARCO LEGAL
Constitucin Poltica de Colombia 1991.
Cdigo Penal Colombiano - Decreto 599 de 2000
Ley 906 de 2004, Cdigo de Procedimiento Penal.
Ley 87 de 1993, por la cual se dictan Normas para el ejercicio de control interno en las entidades
y organismos del Estado, y dems normas que la modifiquen.
Decreto 1599 de 2005, por el cual se adopta el Modelo Estndar de Control Interno MECI para el
Estado Colombiano.
Ley 734 de 2002, del Congreso de la Repblica de Colombia, Cdigo Disciplinario nico.
Ley 23 de 1982 de Propiedad Intelectual - Derechos de Autor.
Ley 594 de 2000 - Ley General de Archivos.
Ley 80 de 1993, Ley 1150 de 2007 y decretos reglamentarios.
Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los mensajes de datos,
del comercio electrnico y de las firmas digitales y se establecen las entidades de certificacin y
se dictan otras disposiciones.
Directiva presidencial 02 del ao 2000, Presidencia de la Repblica de Colombia, Gobierno en
lnea.
Ley 1032 de 2006, por el cual se dictan disposiciones generales del Habeas
Data y se regula el manejo de la informacin contenida en base de datos personales.
Ley 1266 de 2007, por la cual se dictan disposiciones generales del Habeas Data y se regula el
manejo de la informacin contenida en base de datos personales.
Ley 1273 de 2009, "Delitos Informticos" proteccin de la informacin y los datos.
Ley 1437 de 2011, "Cdigo de procedimiento administrativo y de lo contencioso administrativo".
Ley 1581 de 2012, "Proteccin de Datos personales".
Decreto 2609 de 2012, por la cual se reglamenta la ley 594 de 200 y ley 1437 de 2011
Decreto 1377 de 2013, por la cual se reglamenta la ley 1581 de 2012
Ley 1712 de 2014, De transparencia y del derecho de acceso a la informacin pblica nacional
6. REQUISITOS TCNICOS
Norma Tcnica Colombiana NTCIISO 27001 Sistemas de gestin de la seguridad de la
informacin
Norma Tcnica Colombiana NTC/ISO 17799 Cdigo de prctica para la gestin de la seguridad
de la informacin.
ISO/lEC 27005 Information technology Systems- Security techniques- information security risk
management.
Modelo Estndar de Control Interno MECI 1000 2da versin "Subsistema:
Control de Gestin; Componente: Actividades de Control; Elemento: Monitoreo y
Revisin e Informacin"
Norma Tcnica Colombiana NTC - ISO 19011 "Directrices para la Auditoria de los Sistemas de
Gestin de la Calidad y/o Ambiental"
43

Cdigo: M-TI-01
Versin 05
7. DOCUMENTOS ASOCIADOS
Pueden ser consultados en el SIGEPRE
8. RESPONSABLE DEL DOCUMENTO
Jefe de rea de Informacin y Sistemas
44

M-TI-01 Manual General Sistema de Seguridad de La Informacion

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

M-TI-01 Manual General Sistema de Seguridad de La Informacion

Diunggah oleh

Hak Cipta:

Format Tersedia

MANUAL DE LA POLTICA DE SEGURIDAD PARA LAS TECNOLOGAS DE LA

INFORMACIN Y LAS COMUNICACIONES - TICS

Bogot D.C., diciembre 2014

MANUAL DE LA POLTICA DE SEGURIDAD

Polticas generales de seguridad de la informacin. --------------------------------------- 11

Poltica de clasificacin de la informacin. ------------------------------------------------- 13

Polticas de seguridad para los recursos humanos. --------------------------------------- 14

Polticas especficas para usuarios del DAPRE. ------------------------------------------- 14

Polticas especficas para funcionarios y contratistas del rea de Informacin y Sistemas.

Polticas especficas para Webmaster. ----------------------------------------------------- 18

Poltica de Tercerizacin u Outsourcing. --------------------------------------------------- 18

Poltica de retencin y archivo de datos. --------------------------------------------------- 19

Poltica de disposicin de informacin, medios y equipos. -------------------------------- 19

Poltica de respaldo y restauracin de informacin. --------------------------------------- 20

Poltica de gestin de activos de informacin. --------------------------------------------- 21

Poltica de uso de los activos. -------------------------------------------------------------- 22

Poltica de uso de estaciones cliente. ------------------------------------------------------ 24

Poltica de uso de Internet.------------------------------------------------------------------ 25

Poltica de uso de mensajera instantnea y redes sociales. ------------------------------ 26

Poltica de uso de discos de red o carpetas virtuales. ------------------------------------- 26

Poltica de uso de impresoras y del servicio de Impresin. -------------------------------- 27

Polticas de seguridad del centro de datos y centros de cableado. ----------------------- 28

Polticas de seguridad de los Equipos ------------------------------------------------------ 30

Poltica de escritorio y pantalla limpia.------------------------------------------------------ 31

Poltica de uso de correo electrnico. ------------------------------------------------------ 32

Principios gua ------------------------------------------------------------------------------------------------- 32

MANUAL DE LA POLTICA DE SEGURIDAD

Condiciones de uso del servicio ------------------------------------------------------------------------ 32

Poltica de establecimiento, uso y proteccin de claves de acceso. ---------------------- 34

Poltica de adquisicin, desarrollo y mantenimiento de sistemas de informacin. -------- 35

Procedimientos que apoyan la Poltica de Seguridad--------------------------------------------- 36

Procedimiento de control de documentos -------------------------------------------------- 37

Procedimiento de control de registros ------------------------------------------------------ 37

Procedimiento de auditora interna --------------------------------------------------------- 37

Procedimiento de accin correctiva -------------------------------------------------------- 38

Procedimiento de accin preventiva -------------------------------------------------------- 38

Procedimiento de revisin del Manual de Poltica de Seguridad -------------------------- 38

Gestin de los Incidentes de la Seguridad de la Informacin ------------------------------------- 39

Proceso Disciplinario ------------------------------------------------------------------------------- 39

Gestin de la Continuidad del Negocio ------------------------------------------------------------ 41

Declaracin de aplicabilidad ----------------------------------------------------------------------- 42

MARCO LEGAL ----------------------------------------------------------------------------------------- 43

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

4. POLTICAS, PROCEDIMIENTOS Y CONTROLES

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

El comit de seguridad informtica y de sistemas del DAPRE definir de acuerdo a la clasificacin de la

4.1.2. Poltica de clasificacin de la informacin.

MANUAL DE LA POLTICA DE SEGURIDAD

4.1.3. Polticas de seguridad para los recursos humanos.

4.1.4. Polticas especficas para usuarios del DAPRE.

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

4.1.5. Polticas especficas para funcionarios y contratistas del rea de Informacin y

MANUAL DE LA POLTICA DE SEGURIDAD

MANUAL DE LA POLTICA DE SEGURIDAD

4.1.6. Polticas especficas para Webmaster.