Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior

ACUERDO 10 DE 2011 

(Marzo 4)

“Por el cual se adopta el Manual de Seguridad de la Información del Icetex”.

(Nota: Complementado por el Acuerdo 17 de 2014 artículo 5° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)

La Junta Directiva del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior – Icetex,

en ejercicio de sus facultades legales y estatutarias en especial las que le confiere el artículo 7º de la Ley 1002 del 30 de diciembre de 2005, los numerales 1º y 6º del artículo 9º del Decreto 1050 del 6 de abril de 2006 y el Acuerdo 13 del 24 de febrero de 2007, y

CONSIDERANDO:

Que el numeral 10 del artículo 9º del Decreto 1050 del 6 de abril de 2006 establece que es función de la junta directiva formular la política general y los planes, programas y proyectos para el cumplimiento del objeto legal del Icetex, de sus funciones y operaciones autorizadas y todas aquellas inherentes a su naturaleza jurídica, acorde con lo dispuesto por la Ley 1002 de diciembre 30 de 2005, y los lineamientos y política del Gobierno Nacional en materia de crédito educativo.

Que el numeral 4º artículo 9º del Decreto 1050 del 6 de abril de 2006 establece que es función de la junta directiva, expedir conforme a la ley y a los estatutos del Icetex, los actos administrativos que se requieran para el cumplimiento de las funciones y de las operaciones autorizadas al Icetex como entidad financiera de naturaleza especial.

Que de conformidad con el Decreto 1002 del 30 de diciembre de 2005, el Decreto 1050 del 6 de abril de 2006, el Libro 7 del Titulo 1 del Decreto 2555 del 15 de julio de 2010, Decreto 2792 de julio 27 de 2009, el Icetex como entidad financiera de naturaleza especial, está autorizado legalmente para realizar operaciones financieras relacionadas con su objeto legal.

Que el 16 de mayo de 2006, el Icetex crea el comité de seguridad de la información mediante Resolución 466.

Que el Icetex crea el Manual de Seguridad de la Información dándole cumplimiento a lo estipulado en el Capítulo Décimo Segundo del Título Primero de la Circular 52 de 2007 de la Superintendencia Financiera de Colombia, mediante la cual se establecieron los requerimientos mínimos de seguridad y calidad en el manejo de la información a través de medios y canales de distribución de productos y servicios, al igual que para adoptar las buenas prácticas establecidas en la norma ISO 27001 de 2005 y las recomendaciones del estándar ISO 27002:2005.

Que el comité de seguridad de la información en su sesión del 22 de noviembre de 2010, consideró llevar el Manual de Seguridad de la Información para aprobación y/o consideración de la Junta Directiva del Icetex.

Que en virtud que la administración del Icetex no recibió comentarios de los miembros de junta directiva, tres días después de celebrada la sesión de junta directiva de febrero 4 de 2011, respecto al manual de seguridad de la información presentado por la administración, el mismo queda aprobado por la Junta Directiva del Icetex.

En virtud de lo anterior,

ACUERDA:

ART. 1º—Adoptar el Manual de Seguridad de la Información del Icetex, el cual desarrolla los siguientes aspectos.

I. Introducción

II. Objetivo

III. Alcance

IV. Vigencia y actualización del manual

V. Política corporativa de seguridad de la información

VI. Organización de la función de seguridad de la información

VII. Gestión de activos de información

VIII. Seguridad en el recurso humano

IX. Seguridad física y ambiental

X. Gestión de comunicaciones y operaciones

XI. Control de acceso

XII. Adquisición desarrollo y mantenimiento de infraestructura tecnológica

XIII. Gestión de incidentes de seguridad

XIV. Administración de la continuidad del negocio

XV. Cumplimiento de requerimientos

XVI. Glosario

ART. 2º—El Manual de Seguridad de la Información del Icetex, a que se refiere el artículo anterior hace parte integral del presente acuerdo.

ART. 3º—Vigencia. El presente acuerdo rige a partir de la fecha de su expedición y deroga las disposiciones que le sean contrarias.

Publíquese, comuníquese y cúmplase.

Dado en Bogotá, D. C., a 4 de marzo de 2011.

Manual de seguridad de la información

Instituto Colombiano de Crédito educativo y Estudios Técnicos en el Exterior 

Enero de 2011

Contenido

1. Introducción.

2. Objetivo.

3. Alcance.

4. Vigencia y actualización del manual.

5. Política corporativa de seguridad de la información.

5.1. Compromiso de la dirección.

5.2. Regulación.

5.3. Políticas generales de seguridad de la información.

6. Organización de la función de seguridad de la información.

6.1. Coordinación de la función de seguridad de la información.

6.2. Autorización para el uso de infraestructura de información.

6.3. Acuerdos de confidencialidad.

6.4. Contacto con las autoridades y con grupos de interés especiales.

6.5. Auditorías internas.

6.6. Riesgos relacionados con terceros.

7. Gestión de activos de información

7.1. Inventario de activos de información.

7.2. Uso adecuado de los activos.

7.2.1. Acceso a Internet.

7.2.2. Correo electrónico.

7.2.3. Recursos tecnológicos.

7.3. Clasificación de la información.

8. Seguridad en el recurso humano.

8.1. Responsabilidades del personal.

8.2. Selección de personal.

8.3. Términos y condiciones de empleo.

8.4. Capacitación y entrenamiento en seguridad de la información.

8.5. Procesos disciplinarios.

8.6. Finalización de vinculación laboral o cambio de rol.

9. Seguridad física y ambiental.

9.1. Control de acceso físico.

9.2. Protección y ubicación de los equipos.

9.3. Retiro y seguridad de equipos y medios de información fuera de las instalaciones.

9.4. Eliminación o reutilización segura de equipos y medios.

10. Gestión de comunicaciones y operaciones.

10.1. Documentación de procedimientos operativos.

10.2. Control de cambios.

10.3. Segregación de funciones.

10.4. Separación de los ambientes de desarrollo, prueba y producción.

10.5. Gestión de la capacidad.

10.6. Aceptación de sistemas.

10.7. Protección contra software malicioso.

10.8. Copias de respaldo.

10.9. Gestión de medios removibles.

10.10. Intercambio de información.

10.11. Comercio y transacciones electrónicas.

10.12. Monitoreo del uso de los sistemas.

11. Control de acceso.

11.1. Control de acceso lógico.

11.2. Gestión de contraseñas de usuario.

11.3. Escritorio y pantalla limpia.

11.4. Segregación de redes.

11.5. Computación móvil.

11.6. Teletrabajo.

12. Adquisición, desarrollo y mantenimiento de infraestructura tecnológica.

12.1. Identificación de requerimientos de seguridad.

12.2. Controles criptográficos.

12.3. Seguridad de los sistemas.

12.4. Gestión de vulnerabilidades técnicas.

13. Gestión de incidentes de seguridad.

13.1. Comunicación de incidentes y eventos de seguridad de la información.

13.2. Manejo de incidentes de seguridad.

14. Administración de la continuidad del negocio.

14.1. Seguridad de la información en la continuidad del negocio.

14.2. Análisis de riesgo e impacto del negocio.

14.3. Declaración de desastre y activación de los planes de continuidad del negocio.

14.4. Entrenamiento y capacitación.

14.5. Pruebas y mantenimiento del plan de continuidad.

15. Cumplimiento de requerimientos.

15.1 Cumplimiento de requerimientos.

15.2 Derechos de propiedad intelectual.

15.3 Protección de registros.

16. Glosario.

1. Introducción.

El Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior - Icetex identifica la información como un componente indispensable en la conducción y consecución de los objetivos definidos por la estrategia de la entidad, razón por la cual es necesario que el instituto establezca un marco en el cual se asegure que la información es protegida de una manera adecuada independientemente de la forma en la que esta sea manejada, procesada, transportada o almacenada.

Este documento describe las políticas y normas de seguridad de la información definidas por el Icetex. Para la elaboración del mismo, se toman como base las leyes y demás regulaciones aplicables, el Capítulo Décimo Segundo del Título Primero de la Circular Básica Jurídica de la Superintendencia Financiera de Colombia, la norma ISO 27001:2005 y las recomendaciones del estándar ISO 27002:2005.

Las políticas incluidas en este manual se constituyen como parte fundamental del Sistema de Gestión de Seguridad de la Información del Icetex y se convierten en la base para la implantación de los controles, procedimientos y estándares definidos.

La Seguridad de la Información es una prioridad para el Icetex y, por tanto, es respon­sabilidad de todos velar por que no se realicen actividades que contradigan la esencia y el espíritu de cada una de estas políticas.

2. Objetivo.

El objetivo de este documento es establecer las políticas en Seguridad de la Información del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior - Icetex, con el fin de regular la gestión de la seguridad de la información al interior de la entidad.

3. Alcance.

Las políticas de seguridad de la información cubren todos los aspectos administrativos y de control que deben ser cumplidos por los directivos, funcionarios y terceros que laboren o tengan relación con el Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior - Icetex, para conseguir un adecuado nivel de protección de las características de seguridad y calidad de la información relacionada.

4. Vigencia y actualización del manual.

La definición, actualización y mantenimiento del Manual de Políticas de Seguridad de la Información del Icetex es responsabilidad del oficial de seguridad de la información con la debida aprobación del comité de seguridad de la información y la junta directiva. En las revisiones periódicas se deben tener en cuenta factores como incidentes de seguridad, nuevas vulnerabilidades detectadas, cambios dentro de la infraestructura organizacional o tecnológica, cambios en los procesos, en los objetivos del sistema o de la organización, entre otros.

La versión oficial de este documento para funcionarios, será la que se encuentre publicada y aprobada en el aplicativo de gestión de calidad, o en su defecto la versión impresa que se encuentre bajo custodia del oficial de seguridad de la información.

5. Política corporativa de seguridad de la información.

En el Icetex la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia orientada a la continuidad del negocio, la administración de riesgos y la consolidación de una cultura de seguridad.

Consciente de sus necesidades actuales, Icetex implementa un modelo de gestión de seguridad de la información como la herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales, contractuales, regulatorios y de negocio vigentes.

El proceso de análisis de riesgos de los activos de información es el soporte para el desarrollo de las políticas de seguridad de la información y de los controles y objetivos de control seleccionados para obtener los niveles de protección esperados en Icetex; este proceso será liderado de manera permanente por el oficial de seguridad de la información.

Icetex se compromete a implementar y mantener como parte del desarrollo de su modelo de gestión de seguridad de la información, programas y planes de capacitación, entrenamiento y concientización en todo el Instituto, de manera que se minimice la ocurrencia y el impacto de incidentes de seguridad de la información.

Esta política será revisada con regularidad como parte del proceso de revisión gerencial, o cuando se identifiquen cambios en el negocio, su estructura, sus objetivos o alguna condición que afecten la política, para asegurar que sigue siendo adecuada y ajustada a los requerimientos identificados.

5.1. Compromiso de la dirección.

La Junta Directiva del Icetex aprueba esta política de seguridad de la información como muestra de su compromiso y apoyo en el diseño e implementación de políticas eficientes que garanticen la seguridad de la información de la entidad.

La Junta Directiva y la Alta Dirección de la entidad demostrarán su compromiso a través de:

• La revisión y aprobación de las políticas de seguridad de la Información contenidas en este documento.

• La promoción activa de una cultura de seguridad.

• Facilitar la divulgación de este manual a todos los funcionarios de la entidad.

• El aseguramiento de los recursos adecuados para implementar y mantener las políticas de seguridad de la información.

• La verificación del cumplimiento de las políticas aquí mencionadas.

5.2. Regulación.

Las políticas contenidas en este documento deberán ser conocidas, aceptadas y cumplidas por todos los funcionarios y contratistas del Icetex. El incumplimiento de las mismas se considerará un incidente de seguridad, que de acuerdo con el caso podrá dar lugar a un proceso disciplinario para los funcionarios y se convertirá en una causa válida de terminación del contrato con los contratistas, sin perjuicio de la iniciación de otro tipo de acciones a las que haya lugar.

5.3. Políticas generales de seguridad de la información.

El Icetex ha establecido las siguientes políticas generales de seguridad de la información, las cuales representan la visión de la institución en cuanto a la protección de sus activos de información:

1. Existirá un comité de seguridad de la información, que será el responsable del mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información del Icetex.

2. Los activos de información del Icetex, serán identificados y clasificados para establecer los mecanismos de protección necesarios.

3. El Icetex definirá e implantará controles para proteger la información contra violaciones de autenticidad, accesos no autorizados, la pérdida de integridad y que garanticen la disponibilidad requerida por los clientes y usuarios de los servicios ofrecidos por la entidad.

4. Todos los funcionarios y/o contratistas serán responsables de proteger la información a la cual accedan y procesen, para evitar su pérdida, alteración, destrucción o uso indebido.

5. Se realizarán auditorías y controles periódicos sobre el modelo de gestión de Seguridad de la Información del Icetex.

6. Únicamente se permitirá el uso de software autorizado que haya sido adquirido legalmente por la institución.

7. Es responsabilidad de todos los funcionarios y contratistas del Icetex reportar los incidentes de seguridad, eventos sospechosos y el mal uso de los recursos que identifique.

8. Las violaciones a las políticas y controles de seguridad de la información serán reportadas, registradas y monitoreadas.

9. El Icetex contará con un plan de continuidad del negocio que asegure la continuidad de las operaciones, ante la ocurrencia de eventos no previstos o desastres naturales.

Adicionalmente el Icetex cuenta con políticas específicas y un conjunto de estándares y procedimientos que soportan la política corporativa.

6. Organización de la función de seguridad de la información.

REF.: ISO/IEC 27001:2005 A.6

6.1. Coordinación de la función de seguridad de la información.

[ISO/IEC 27001:2005 A.6.1.2; A.6.1.3]

El Icetex establece un comité de seguridad de la información, conformado por un grupo interdisciplinario de directivos, responsable del análisis, revisión y centralización de todas las acciones referidas a la gestión de seguridad de la información de la institución y de mantener la vigencia de las políticas de acuerdo con las necesidades y requerimientos del negocio.

Sus funciones y responsabilidades son descritas en el Anexo 1.

6.2. Autorización para el uso de infraestructura de información.

[ISO/IEC 27001:2005 A.6.1.4]

El Icetex establece que la adquisición de infraestructura nueva para el procesamiento de información (equipos, software, aplicaciones e instalaciones físicas), debe ser analizada y revisada por el comité de seguridad y el director del área directamente afectada. Esta autorización será de acuerdo a los procedimientos respectivos y asegurará que las políticas de seguridad sean cumplidas en su totalidad.

6.3. Acuerdos de confidencialidad.

[ISO/IEC 27001:2005 A.6.1.5]

Todos los funcionarios del Icetex y/o terceros deben aceptar los acuerdos de confidencialidad definidos por la institución, los cuales reflejan los compromisos de protección y buen uso de la información de acuerdo con los criterios establecidos en ella.

Para el caso de contratistas, los respectivos contratos deben incluir una cláusula de confidencialidad, de igual manera cuando se permita el acceso a la información y/o a los recursos del Icetex a personas o entidades externas.

Estos acuerdos deben aceptarse por cada uno de ellos como parte del proceso de contratación, razón por la cual dicha cláusula y/o acuerdo de confidencialidad hace parte integral de cada uno de los contratos.

6.4. Contacto con las autoridades y con grupos de interés especiales.

[ISO/IEC 27001:2005 A.6.1.6; A.6.1.7]

El Icetex debe establecer y mantener una relación cercana con autoridades relevantes (policía, bomberos, defensa civil), así como con grupos de interés o foros de especialistas en seguridad, para que puedan ser contactados de manera oportuna en el caso de que se presente un incidente de seguridad de la información.

6.5. Auditorías internas.

[ISO/IEC 27001:2005 A.6.1.8]

El Icetex realizará revisiones internas a su modelo de gestión de seguridad de la información con el fin de determinar si las políticas, procesos, procedimientos y controles establecidos dentro del sistema están conformes con los requerimientos institucionales, requerimientos de seguridad, regulaciones aplicables, y si estos se encuentran implementados y mantenidos eficazmente. Estas auditorías se ejecutan según lo establecido en el programa de auditorías definido por el Icetex y en caso de ser necesario se pueden programar revisiones parciales o totales sobre un proceso, área, etc., con el fin de verificar la eficacia de las acciones correctivas cuando sean identificadas no conformidades.

Las auditorías del modelo de gestión de seguridad de la información del Icetex podrán ser desarrolladas por cualquier funcionario y/o tercero que cumpla con el perfil, los requisitos establecidos por la Institución y mantenga un criterio de revisión independiente, en el cual no audite la misma área en la cual trabaja.

6.6. Riesgos relacionados con terceros.

[ISO/IEC 27001:2005 A.6.2.2]

El Icetex identifica los posibles riesgos que pueden generar el acceso, procesamiento, comunicación o gestión de la información y la infraestructura para su procesamiento por parte de los terceros, con el fin de establecer los mecanismos de control necesarios para que la seguridad se mantenga.

Los controles que se establezcan como necesarios a partir del análisis de riesgos, deben ser comunicados y aceptados por el tercero mediante la firma de acuerdos, previamente a la entrega de los accesos requeridos.

7. Gestión de activos de información.

REF.: ISO/IEC 27001:2005 A.7

7.1. Inventario de activos de información.

[ISO/IEC 27001:2005 A.7.1.1; A.7.1.2]

Las diferentes dependencias con el fin de garantizar la administración y control sobre los activos de la entidad, deben mantener un inventario actualizado de los activos que se encuentran dentro del alcance del sistema de gestión de seguridad de la información, de acuerdo con lo establecido en los “Lineamientos inventario y clasificación de activos de información”. Anexo 2.

En este inventario se debe identificar el propietario del activo, quien debe asegurar que la información y los activos asociados con su procesamiento están clasificados de manera apropiada, así como de establecer los controles necesarios para el acceso a estos de acuerdo con los procedimientos definidos.

7.2. Uso adecuado de los activos.

[ISO/IEC 27001:2005 A.7.1.3] [Acuerdos 047 y 056 de 2000 Archivo General de la Nación]

La información, archivos físicos, los sistemas, los servicios, y los equipos (ej. estaciones de trabajo, portátiles, impresoras, redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos y faxes, entre otros), propiedad del Icetex, son activos de la institución y se proporcionan a los funcionarios y terceros autorizados, para cumplir con los propósitos del negocio.

Así mismo, el Icetex podrá monitorear, supervisar y utilizar su información, sistemas, servicios y equipos, de acuerdo con lo establecido en este manual y en cualquier proceso legal que se requiera.

El acceso a los documentos físicos y digitales estará determinado por las normas relacionadas con el acceso y las restricciones a los documentos públicos, a la competencia del área o dependencia específica y a los permisos y niveles de acceso de los funcionarios y contratistas determinadas por los jefes de área o dependencia.

La consulta de expedientes o documentos que reposan en las oficinas y/o dependencias del Icetex se permitirá en días y horas laborales, con la presencia del funcionario o servidor responsable y/o custodio de aquellos.

El funcionario y/o contratista se compromete a cumplir con los procedimientos establecidos para el servicio y consulta de documentos físicos (A8-03-2 procedimiento de consulta. Proceso de gestión documental).

Los funcionarios y terceros tienen derecho a que se le expidan copias de los documentos que reposan en los archivos, siempre y cuando la reproducción no afecte al documento original. En todo caso el solicitante pagará los costos de reproducción de acuerdo a las tarifas señaladas por la entidad.

Para la consulta de documentos cargados en el software de Gestión Documental Mercurio se establecerán privilegios de acceso a los funcionarios y/o contratistas de acuerdo con el desarrollo de sus funciones y competencias.

Dichos privilegios serán establecidos por el jefe o director del área, quien comunicará al grupo encargado de la administración del software el listado con los funcionarios y sus privilegios.

Las restricciones y reserva de los documentos físicos estarán determinadas por la importancia de los mismos y por el daño o alteración de tipo biológico, químico y físico que pudieran tener los documentos que impida el préstamo de los mismos.

El jefe o director del área serán quienes determinen el carácter de reserva o restricción de los documentos físicos.

Todos los funcionarios y terceros que manipulen información en el desarrollo de sus funciones deberán firmar un “acuerdo de confidencialidad de la información”, donde individualmente se comprometan a no divulgar, usar o explotar la información confidencial a la que tengan acceso, respetando los niveles establecidos en el presente manual para la clasificación de la información; y que cualquier violación a lo establecido en este parágrafo será considerado como un “incidente de seguridad” y se procederá de acuerdo con el “Procedimiento investigación de incidentes de seguridad”, del parágrafo 8.5 del presente manual.

7.2.1. Acceso a Internet.

El internet es una herramienta de trabajo que permite navegar en muchos otros sitios relacionados o no con las actividades propias del negocio del Icetex, por lo cual el uso adecuado de este recurso se debe controlar, verificar y monitorear, considerando, para todos los casos, los siguientes lineamientos:

a) No está permitido:

• El acceso a páginas relacionadas con pornografía, drogas, alcohol, webproxys, hacking y/o cualquier otra página que vaya en contra de la ética moral, las leyes vigentes o políticas aquí establecidas.

• El acceso y el uso de servicios interactivos o mensajería instantánea como Facebook, Kazaa, MSN Messenger, Yahoo, Skype, Net2phone y otros similares, que tengan como objetivo crear comunidades para intercambiar información, o bien para fines diferentes a las actividades propias del negocio del Icetex.

• El intercambio no autorizado de información de propiedad del Icetex, de sus clientes y/o de sus funcionarios, con terceros.

• La descarga, uso, intercambio y/o instalación de juegos, música, películas, protectores y fondos de pantalla, software de libre distribución, información y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnológica (hacking), entre otros. La descarga, uso, intercambio y/o instalación de información audiovisual (videos e imágenes) utilizando sitios públicos en Internet debe ser autorizada por el jefe respectivo y la dirección de tecnología, o a quienes ellos deleguen de forma explícita para esta función, asociando los procedimientos y controles necesarios para el monitoreo y aseguramiento del buen uso del recurso;

b) El Icetex debe realizar monitoreo permanente de tiempos de navegación y páginas visitadas por parte de los funcionarios y/o terceros. Así mismo, puede inspeccionar, registrar y evaluar las actividades realizadas durante la navegación, de acuerdo a la legislación nacional vigente;

c) Cada uno de los usuarios es responsable de dar un uso adecuado a este recurso y en ningún momento puede ser usado para realizar prácticas ilícitas o malintencionadas que atenten contra terceros, la legislación vigente y los lineamientos de seguridad de la información, entre otros;

d) Los funcionarios y terceros, al igual que los empleados o subcontratistas de estos, no pueden asumir en nombre del Icetex, posiciones personales en encuestas de opinión, foros u otros medios similares;

e) El uso de Internet no considerado dentro de las restricciones anteriores, es permitido siempre y cuando se realice de manera ética, razonable, responsable, no abusiva y sin afectar la productividad ni la protección de la información del Icetex.

7.2.2. Correo electrónico.

Los funcionarios y terceros autorizados a quienes el Icetex les asigne una cuenta de correo deberán seguir los siguientes lineamientos:

a) La cuenta de correo electrónico debe ser usada para el desempeño de las funciones asignadas dentro del Icetex, así mismo podrá ser utilizada para uso personal, siempre y cuando se realice de manera ética, razonable, responsable, no abusiva y sin afectar la productividad;

b) Los mensajes y la información contenidos en los buzones de correo son propiedad del Icetex y cada usuario, como responsable de su buzón, debe mantener solamente los mensajes relacionados con el desarrollo de sus funciones;

c) El tamaño de los buzones de correo es determinado por la dirección de tecnología de acuerdo con las necesidades de cada usuario y previa autorización del jefe de la dependencia correspondiente;

d) El tamaño de envío y recepción de mensajes, sus contenidos y demás características propios de estos deberán ser definidos e implementados por la dirección de tecnología;

e) No es permitido:

• Enviar cadenas de correo, mensajes con contenido religioso, político, racista, sexista, pornográfico, publicitario no corporativo o cualquier otro tipo de mensajes que atenten contra la dignidad y la productividad de las personas o el normal desempeño del servicio de correo electrónico en la institución, mensajes malintencionados que puedan afectar los sistemas internos o de terceros, mensajes que vayan en contra de las leyes, la moral y las buenas costumbres y mensajes que inciten a realizar prácticas ilícitas o promuevan actividades ilegales.

• Utilizar la dirección de correo electrónico del Icetex como punto de contacto en comunidades interactivas de contacto social, tales como facebook y/o myspace, entre otras, o cualquier otro sitio que no tenga que ver con las actividades laborales.

• El envío de archivos que contengan extensiones ejecutables, bajo ninguna circunstancia.

• El envío de archivos de música y videos. En caso de requerir hacer un envío de este tipo de archivos deberá ser autorizado por la dirección respectiva y la dirección de tecnología;

f) El envío de información corporativa debe ser realizado exclusivamente desde la cuenta de correo que el Icetex proporciona. De igual manera, las cuentas de correo genéricas no se deben emplear para uso personal;

g) El envío masivo de mensajes publicitarios corporativos deberá contar con la aprobación de la oficina asesora de comunicaciones y la autorización de la dirección de tecnología. Además, para terceros se deberá incluir un mensaje que le indique al destinatario cómo ser eliminado de la lista de distribución. Si una dependencia debe, por alguna circunstancia, realizar envío de correo masivo, de manera frecuente, este debe ser enviado a través de una cuenta de correo electrónico a nombre de la dependencia respectiva y/o servicio habilitado para tal fin y no a través de cuentas de correo electrónico asignadas a un usuario particular;

h) Toda información del Icetex generada con los diferentes programas computacionales (Ej. Office, Project, Access, Wordpad, etc.), que requiera ser enviada fuera de la entidad, y que por sus características de confidencialidad e integridad deba ser protegida, debe estar en formatos no editables, utilizando las características de seguridad que brindan las herramientas proporcionadas por la dirección de tecnología. La información puede ser enviada en el formato original bajo la responsabilidad del usuario y únicamente cuando el receptor requiera hacer modificaciones a dicha información;

i) Todos los mensajes enviados deben respetar el estándar de formato e imagen corporativa definido por el Icetex y deben conservar en todos los casos el mensaje legal corporativo de confidencialidad.

7.2.3. Recursos tecnológicos.

El uso adecuado de los recursos tecnológicos asignados por el Icetex a sus funcionarios y/o terceros se reglamenta bajo los siguientes lineamientos:

a) La instalación de cualquier tipo de software o hardware en los equipos de cómputo del Icetex es responsabilidad de la dirección de tecnología y, por tanto, son los únicos autorizados para realizar esta labor. Así mismo, los medios de instalación de software deben ser los proporcionados por el Icetex a través de esta dirección;

b) Los usuarios no deben realizar cambios en las estaciones de trabajo relacionados con la configuración del equipo, tales como conexiones de red, usuarios locales de la máquina, papel tapiz y protector de pantalla corporativo, entre otros. Estos cambios pueden ser realizados únicamente por la dirección de tecnología;

c) La dirección de tecnología debe definir y actualizar, de manera periódica, la lista de software y aplicaciones autorizadas que se encuentran permitidas para ser instaladas en las estaciones de trabajo de los usuarios. Así mismo, realizar el control y verificación de cumplimiento del licenciamiento del respectivo software y aplicaciones asociadas;

d) Únicamente los funcionarios y terceros autorizados por la dirección de tecnología, previa solicitud escrita por parte de la dependencia que lo requiera, pueden conectarse a la red inalámbrica del Icetex;

e) La conexión a redes inalámbricas externas para usuarios con equipos portátiles que estén fuera de la oficina y que requieran establecer una conexión a la infraestructura tecnológica del Icetex, deben utilizar una conexión bajo los esquemas y herramientas de seguridad autorizados y establecidos por la dirección de tecnología;

f) Solo personal autorizado puede realizar actividades de administración remota de dispositivos, equipos o servidores de la infraestructura de procesamiento de información del Icetex; las conexiones establecidas para este fin, deben utilizar los esquemas y herramientas de seguridad y administración definidos por la dirección de tecnología;

g) La sincronización de dispositivos móviles, tales como PDA, smartphones, celulares u otros dispositivos electrónicos sobre los que se puedan realizar intercambios de información con cualquier recurso de la Organización, debe estar autorizado de forma explícita por la dependencia respectiva, en conjunto con la dirección de tecnología y podrá llevarse a cabo solo en dispositivos provistos por la organización, para tal fin.

7.3. Clasificación de la información.

[ISO/IEC 27001:2005 A.7.2]

El Icetex con el fin de resguardar la información que pueda ser divulgada de forma no autorizada o manipulada erróneamente por parte de sus funcionarios, contratistas, proveedores o clientes, ha establecido niveles para la clasificación de la información, incluyendo la información que puede encontrarse en medio electrónico, impreso, verbal o que sea transmitida por cualquier medio.

Toda la información del Icetex debe ser identificada, clasificada y documentada de acuerdo con los criterios de clasificación establecidos por el comité de seguridad.

Los niveles de clasificación de la información definidos en el Icetex son:

• Pública

• Confidencial

• Restringida

Los criterios, niveles de clasificación y aplicación se encuentran detallados en los “lineamientos inventario y clasificación de activos de información” Anexo 2 y estos son revisados y aprobados de manera periódica por el Comité de Seguridad del Icetex.

Los propietarios de los activos de información son los responsables de identificar y asociar el nivel de clasificación a cada activo, teniendo en cuenta los criterios de clasificación, y su protección se establece de acuerdo con las actividades definidas en el “procedimiento de gestión de activos de información”.

8. Seguridad en el recurso humano.

REF.: ISO/IEC 27001:2005 A.8

8.1. Responsabilidades del personal.

[ISO/IEC 27001:2005 A.8.1.1]

Todos los funcionarios del Icetex y terceros que tengan la posibilidad de acceder a la información de la organización y a la infraestructura para su procesamiento, son responsables de conocer y cumplir con las políticas y procedimientos establecidos en el modelo de gestión de seguridad de la información del Icetex. De igual forma, son responsables de reportar por medio de los canales apropiados, el incumplimiento de las políticas y pro­cedimientos establecidos.

Todos los funcionarios del Icetex deben ser cuidadosos de no divulgar información confidencial en lugares públicos, en conversaciones o situaciones que pongan en riesgo la seguridad y el buen nombre de la organización.

8.2. Selección de personal.

[ISO/IEC 27001:2005 A.8.1.2]

Toda vinculación laboral realizada por el Icetex se rige por las leyes de la República de Colombia y por lo dispuesto en el Código Sustantivo del Trabajo.

Todo funcionario contratado por el Icetex es seleccionado adecuadamente, de acuerdo con los requerimientos de cada cargo y siguiendo las tareas descritas en el “procedimiento selección de personal”. En caso que el proceso de selección o la contratación se realice por intermedio de terceros, el Icetex debe asegurar la definición clara de las responsabilidades de ellos y los mecanismos para manejar el incumplimiento de esos requisitos. Sin importar el método de contratación, todo funcionario recibe y acepta las políticas de seguridad de la institución.

El Icetex verifica la información brindada durante el proceso de vinculación de los funcionarios; de igual forma, de acuerdo a lo dispuesto en el “procedimiento selección de personal”, se realiza estudio de seguridad a todos los candidatos a cargos de la institución.

8.3. Términos y condiciones de empleo.

[ISO/IEC 27001:2005 A.8.1.3]

Todos los funcionarios y aquellos terceros definidos por el Icetex, deben acoger las políticas de seguridad de la información, así como los términos de uso adecuado de los recursos de información que le son entregados, previo a la entrega de estos y teniendo en cuenta que estos términos y responsabilidades son extensibles fuera de la institución.

Todos los funcionarios y aquellos terceros que tengan acceso a información sensible de la institución o a la infraestructura tecnológica que contenga este tipo de información, deben firmar, previamente a la entrega del acceso, un acuerdo de confidencialidad y no divulgación, en el que se especifique el período por el cual se debe mantener el acuerdo y las acciones que se toman cuando se incumpla este requerimiento.

Adicionalmente, con funcionarios y terceros deben quedar establecidos acuerdos en aspectos como propiedad intelectual, protección de la información y leyes aplicables.

8.4. Capacitación y entrenamiento en seguridad de la información.

[ISO/IEC 27001:2005 A.8.2.2]

El Icetex debe asegurar que todos los funcionarios que tengan definidas responsabilidades en el modelo de gestión de seguridad de la información, son competentes para desempeñar sus funciones y que cuentan con los programas de capacitación y entrenamiento requeridos para ello.

De igual forma, todos los funcionarios y, cuando sea relevante, los terceros, tendrán un proceso formal de concientización, mediante el cual se capacitará sobre las políticas de seguridad de la Institución y los riesgos conocidos a los que se puede ver expuesta, en caso que estas no se cumplan.

Los programas de concientización, educación y entrenamiento se encuentran diseñados de manera apropiada y relevante para los roles, responsabilidades y habilidades de las personas que deben asistir a ellos.

8.5. Procesos disciplinarios.

[ISO/IEC 27001:2005 A.8.2.3]

En el caso de identificarse un incidente de seguridad, este será registrado e investigado con el fin de determinar las causas y responsables de acuerdo con el “procedimiento investigación de incidentes de seguridad” Anexo 3; posteriormente, Icetex tomará las acciones pertinentes para el funcionario y/o tercero vinculados con el incidente, mediante un proceso disciplinario formal de acuerdo con la naturaleza, gravedad y/o el impacto que haya podido generar a la organización dicho incidente mediante el “procedimiento procesos disciplinarios”.

8.6. Finalización de vinculación laboral o cambio de rol.

[ISO/IEC 27001:2005 A.8.3]

La secretaría general, en conjunto con el jefe directo del funcionario y/o responsable del tercero, son los encargados del proceso de terminación de labores y aseguran que todos los activos propios de la organización sean devueltos, los accesos físicos y lógicos sean eliminados, y la información pertinente sea transferida, de acuerdo con los procedimientos establecidos en el proceso de “Retiro”.

En caso que un funcionario y/o tercero tenga un cambio de funciones, se debe seguir los mismos procedimientos donde se asegure la entrega de activos, el retiro de los accesos físicos y lógicos, la transferencia de información y la posterior entrega de los mismos de acuerdo a su nuevo rol.

La secretaría general, adicionalmente, se encarga de informar a las áreas implicadas en los procesos de vinculación y desvinculación, los movimientos de personal.

9. Seguridad física y ambiental.

REF.: ISO/IEC 27001:2005 A.9

9.1. Control de acceso físico.

[ISO/IEC 27001:2005 A.9.1]

Todas las áreas destinadas al procesamiento o almacenamiento de información sensible, así como aquellas en las que se encuentren los equipos y demás infraestructura de soporte a los sistemas de información y comunicaciones, se consideran áreas de acceso restringido. En consecuencia, deben contar con medidas de control de acceso físico en el perímetro tales que puedan ser auditadas, así como con procedimientos de seguridad operacionales que permitan proteger la información, el software y el hardware de daños intencionales o accidentales.

De igual forma, los centros de cómputo, cableado y cuartos técnicos de las oficinas deben contar con mecanismos que permitan garantizar que se cumplen los requerimientos ambientales (temperatura, humedad, etc.), especificados por los fabricantes de los equipos que albergan y que pueden responder de manera adecuada ante incidentes como incendios e inundaciones.

Las áreas de carga, descarga, entrega de mercancías y demás puntos de acceso a las instalaciones del Icetex, deben ser controladas y en lo posible separadas de las áreas seguras para evitar el acceso no autorizado a estas últimas.

Los funcionarios y terceros de Icetex, así como los visitantes, deben portar su identi­ficación de manera visible durante el tiempo que permanezca dentro de las instalaciones de la organización.

Los privilegios de acceso a las áreas seguras y restringidas del Icetex deben ser perió­dicamente revisados, actualizados y monitoreados.

9.2. Protección y ubicación de los equipos.

[ISO/IEC 27001:2005 A.9.2]

Los equipos que hacen parte de la infraestructura tecnológica del Icetex tales como, servidores, equipos de comunicaciones y seguridad electrónica, centros de cableado, UPS, subestaciones eléctricas, aires acondicionados, plantas telefónicas, así como estaciones de trabajo y dispositivos de almacenamiento y/o comunicación móvil que contengan y/o brinden servicios de soporte a la información crítica de las dependencias, deben ser ubicados y protegidos adecuadamente para prevenir la pérdida, daño, robo o acceso no autorizado de los mismos. De igual manera, se debe adoptar los controles necesarios para mantener los equipos alejados de sitios que puedan tener riesgo de amenazas potenciales como fuego, explosivos, agua, polvo, vibración, interferencia electromagnética y vandalismo, entre otros.

Los funcionarios y terceros, incluyendo sus empleados o subcontratistas, que tengan acceso a los equipos que componen la infraestructura tecnológica del Icetex no pueden fumar, beber o consumir algún tipo de alimento cerca de los equipos.

El Icetex mediante mecanismos adecuados monitoreará las condiciones ambientales de las zonas donde se encuentren los equipos (centros de cómputo).

El Icetex debe proveer suministros y equipamiento de soporte como electricidad, aire acondicionado, planta eléctrica y un sistema de alimentación no interrumpida (UPS) que asegure el tiempo necesario para apagar adecuadamente los servidores donde se alojan los sistemas de información ante una falla en el suministro de cualquiera de estos elementos, evitando así la pérdida o corrupción de información. Estos suministros deben ser monitoreados, revisados y medidos permanentemente para asegurar su funcionamiento y condiciones normales de operación y evitar futuros daños.

De igual manera, el Icetex debe establecer un programa de planeación y ejecución de mantenimientos preventivos anuales (como mínimo), a esta infraestructura tecnológica.

9.3. Retiro y seguridad de equipos y medios de información fuera de las instalaciones.

[ISO/IEC 27001:2005 A.9.2.5; A.9.2.7]

Independientemente del propietario, todos los funcionarios son responsables de velar por la seguridad de los equipos del Icetex que se encuentren fuera de las instalaciones de la organización, siguiendo las siguientes directrices:

• Bajo ninguna circunstancia los equipos de cómputo pueden ser dejados desatendidos en lugares públicos o a la vista, en el caso que esté siendo transportado en un vehículo.

• Los equipos de infraestructura deben ser transportados con las medidas de seguridad apropiadas, que garanticen la integridad física de los dispositivos.

• Los equipos portátiles siempre deben ser llevados como equipaje de mano y se debe tener especial cuidado de no exponerlos a fuertes campos electromagnéticos.

• Los equipos del Icetex deberán contar con un seguro que los proteja de robo.

• En caso de pérdida o robo de un equipo del Icetex, se deberá informar inmediatamente al líder del proceso para que se inicie el trámite interno y se deberá poner la denuncia ante la autoridad competente.

El retiro de equipos de cómputo, periféricos, dispositivos de almacenamiento, software e información considerada crítica propiedad de Icetex, fuera de las instalaciones de la organización debe seguir los procedimientos establecidos por la secretaría general y la dirección de tecnología.

9.4. Eliminación o reutilización segura de equipos y medios.

[ISO/IEC 27001:2005 A.9.2.6]

Icetex debe identificar los riesgos potenciales que puede generar destruir, reparar o eliminar equipos y medios de almacenamiento. Para ello, debe definir e implementar los mecanismos y controles adecuados para que la información sensible contenida en ellos sea eliminada de manera segura.

Cuando un equipo sea reasignado o dado de baja, se deberá realizar una copia de respaldo de la información del instituto que allí se encuentre almacenada. Luego el equipo deberá ser sometido a un proceso de eliminación segura de la información sensible almacenada y del software instalado, con el fin de evitar pérdida de la información y/o recuperación no autorizada de la misma.

10. Gestión de comunicaciones y operaciones.

REF.: ISO/IEC 27001:2005 A.10

10.1. Documentación de procedimientos operativos.

[ISO/IEC 27001:2005 A.10.1.1]

Se debe contar con procedimientos, registros e instructivos de trabajo debidamente documentados y actualizados, con el fin de asegurar el mantenimiento y operación adecuada de la infraestructura tecnológica del Icetex. Cada procedimiento debe tener un responsable para su definición y mantenimiento y debe garantizar la disponibilidad del mismo.

10.2. Control de cambios.

[ISO/IEC 27001:2005 A.10.1.2]

Todo cambio que se realice sobre la infraestructura tecnológica para el procesamiento de la información, comunicaciones y seguridad electrónica debe ser controlado, gestionado y autorizado adecuadamente, y debe ser sometido a una evaluación que permita identificar riesgos asociados que pueden afectar la operación del negocio de acuerdo con los “lineamientos gestión de cambios”.

Los cambios estructurales que se planteen realizar sobre las plataformas críticas deben ser revisados por el comité de seguridad, el cual debe establecer los requerimientos de seguridad necesarios conforme a las políticas establecidas por el Icetex, que tengan como fin evitar un impacto adverso en las operaciones del negocio.

El “procedimiento de gestión de cambios” Anexo 4 debe contener como mínimo la identificación, justificación y evidencia de los cambios que se vayan a realizar sobre la infraestructura tecnológica, el alcance, autorización, el plan de trabajo para la definición de pruebas funcionales, responsabilidades definidas, la evaluación apropiada sobre el impacto potencial que estos puedan generar, un plan alternativo para abortar cambios no satisfactorios (Rollback), eventos imprevistos y cualquier otro aspecto que se considere importante por los responsables del cambio.

10.3. Segregación de funciones.

[ISO/IEC 27001:2005 A.10.1.3]

Toda tarea en la cual sus funcionarios tengan acceso a la infraestructura tecnológica y a los sistemas de información, debe contar con una definición clara de los roles y responsabilidades, así como del nivel de acceso y los privilegios correspondientes, con el fin de reducir y evitar el uso no autorizado o modificación sobre los activos de información de la organización.

En concordancia:

• Todos los sistemas de disponibilidad crítica o media de la Institución, deben implementar las reglas de acceso de tal forma que haya segregación de funciones entre quien administre, opere, mantenga, audite y, en general, tenga la posibilidad de acceder a los sistemas de información, así como entre quien otorga el privilegio y quien lo utiliza.

• Los módulos ejecutables nunca deberán ser trasladados directamente de las librerías de pruebas a las librerías de producción sin que previamente sean compilados por el área asignada para tal efecto, que en ningún momento deberá ser el área de desarrollo ni la de producción.

• El nivel de súper usuario de los sistemas debe tener un control dual, de tal forma que exista una supervisión a las actividades realizadas por el administrador del sistema.

• Deben estar claramente segregadas las funciones de soporte técnico, planificadores y operadores.

10.4. Separación de los ambientes de desarrollo, prueba y producción.

[ISO/IEC 27001:2005 A.10.1.4]

El Icetex ha definido diferentes ambientes para la ejecución de actividades de desarrollo, pruebas y puesta en producción de sus aplicaciones de negocio, con el fin de garantizar la integridad de la información procesada y evitar interferencias en el desempeño y seguridad de cada uno de los ambientes.

Dado lo anterior, los ambientes establecidos por Icetex se definen así:

• Ambiente de desarrollo: Conjunto de elementos de hardware y software como compiladores, editores, instaladores de lenguajes de programación, donde residen todos los recursos informáticos necesarios para efectuar tareas relacionadas con la generación o modificación de aplicaciones, entre otros.

• Ambiente de pruebas: Conjunto de elementos de hardware y software que soportan los sistemas de información utilizados para verificar la funcionalidad de los desarrollos de software y aplicativos y realizar los ajustes necesarios antes de ser puestos en funcionamiento en el ambiente de producción del Icetex.

• Ambiente de producción: Conjunto de elementos de hardware y software que soportan los sistemas de información utilizados por los funcionarios para la ejecución de las operaciones del Icetex. En este ambiente deben residir aplicaciones en producción, bibliotecas o directorios que contengan archivos de datos, bases de datos, programas ejecutables o compilados.

A través de las políticas de control de acceso físico y lógico definidas por la Institución, se controla el acceso a cada uno de los ambientes. Adicionalmente, los ambientes de desarrollo, pruebas y producción están totalmente separados, contando cada uno con su plataforma, servidores, aplicaciones, dispositivos y versiones independientes de los otros dos ambientes, evitando que las actividades de desarrollo y pruebas puedan poner en riesgo la integridad de la información de producción.

La dirección de tecnología debe proveer los mecanismos, controles y recursos nece­sarios para tener niveles adecuados de separación física y lógica entre los ambientes de desarrollo, pruebas y producción para toda su plataforma tecnológica, con el fin de reducir el acceso no autorizado y evitar cambios inadecuados.

La dirección de tecnología debe asegurar, mediante los controles adecuados, que los usuarios utilicen diferentes perfiles para el ambiente de desarrollo, pruebas y de producción, y así mismo que los menús muestren los mensajes de identificación apropiados para reducir los riesgos de error.

10.5. Gestión de la capacidad.

[ISO/IEC 27001:2005 A.10.3.1]

El Icetex mantendrá un proceso continuo de monitoreo, análisis y evaluación del ren­dimiento y capacidad de su infraestructura tecnológica de procesamiento de información, con el fin de identificar y controlar el consumo de sus recursos y prever su crecimiento de forma planificada.

Periódicamente, se realizarán mediciones de las variables críticas de operación de la infraestructura tecnológica con el objetivo de verificar el estado y uso de los recursos. De esta forma, es posible definir proyecciones de crecimiento que aseguren la integridad de procesamiento y disponibilidad de la infraestructura.

Los resultados de dichas mediciones serán analizados y presentados al comité de segu­ridad y en caso de ser necesario la adquisición de nuevos recursos o elementos para soportar la demanda, se proceda a planificar la consecución de dichos elementos.

10.6. Aceptación de sistemas.

[ISO/IEC 27001:2005 A.10.3.2]

La dirección de tecnología debe asegurar que los requerimientos y criterios, tanto funcionales como técnicos, para la aceptación de nuevos sistemas, actualizaciones y nuevas versiones de software son clara y adecuadamente definidos, documentados, y aprobados acordes a las necesidades del negocio. Estos nuevos requerimientos, actualizaciones y/o nuevas versiones de tecnología, solo deben ser migrados al ambiente de producción después de haber sido formalmente aceptados de acuerdo a las necesidades técnicas y funcionales establecidas en el “procedimiento de gestión de cambios” Anexo 4.

10.7. Protección contra software malicioso.

[ISO/IEC 27001:2005 A.10.4]

El Icetex establece que todos los recursos informáticos deben estar protegidos mediante herramientas y software de seguridad como antivirus, antispam, antispyware y otras aplicaciones que brindan protección contra código malicioso y prevención del ingreso del mismo a la red institucional, en donde se cuente con los controles adecuados para detectar, prevenir y recuperar posibles fallos causados por código móvil y malicioso. Será responsabilidad de la dirección de tecnología autorizar el uso de las herramientas y asegurar que estas y el software de seguridad no sean deshabilitados bajo ninguna circunstancia, así como de su actualización permanente.

Así mismo, el Icetex define los siguientes lineamientos:

a) No está permitido:

• La desinstalación y/o desactivación de software y herramientas de seguridad avaladas previamente por el Icetex.

• Escribir, generar, compilar, copiar, propagar, ejecutar o intentar introducir cualquier código de programación diseñado para auto replicarse, dañar o afectar el desempeño de cualquier dispositivo o infraestructura tecnológica.

• Utilizar medios de almacenamiento físico o virtual que no sean de carácter corporativo.

• El uso de código móvil. Este solo podrá ser utilizado, si opera de acuerdo con las políticas y normas de seguridad definidas y debidamente autorizado por la dirección de tecnología.

10.8. Copias de respaldo.

[ISO/IEC 27001:2005 A.10.5]

El Icetex debe asegurar que la información con cierto nivel de clasificación, definida en conjunto por la dirección de tecnología y las dependencias responsables de la misma, contenida en la plataforma tecnológica de la Institución, como servidores, dispositivos de red para almacenamiento de información, estaciones de trabajo, archivos de configuración de dispositivos de red y seguridad, entre otros, sea periódicamente resguardada mediante mecanismos y controles adecuados que garanticen su identificación, protección, integridad y disponibilidad. Adicionalmente, se deberá establecer un plan de restauración de copias de seguridad que serán probados a intervalos regulares con el fin de asegurar que son confiables en caso de emergencia y retenidas por un periodo de tiempo determinado.

La dirección de tecnología establecerá procedimientos explícitos de resguardo y recu­peración de la información que incluyan especificaciones acerca del traslado, frecuencia, identificación y definirá conjuntamente con las dependencias los períodos de retención de la misma. Adicionalmente, debe disponer de los recursos necesarios para permitir la iden­tificación relacionada de los medios de almacenamiento, la información contenida en ellos y la ubicación física de los mismos para permitir un rápido y eficiente acceso a los medios que contienen la información resguardada.

Los medios magnéticos que contienen la información crítica deben ser almacenados en otra ubicación diferente a las instalaciones donde se encuentra dispuesta. El sitio externo donde se resguardan dichas copias, debe tener los controles de seguridad adecuados, cumplir con máximas medidas de protección y seguridad física apropiados.

Lo anterior se debe realizar de acuerdo con lo establecido en el “lineamiento de gestión de copias de respaldo”. Anexo 5.

10.9. Gestión de medios removibles.

[ISO/IEC 27001:2005 A.10.7]

El uso de medios de almacenamiento removibles (ejemplo: CD, Dvd, USB, memorias flash, discos duros externos, Ipods, celulares, cintas) sobre la infraestructura para el proce­samiento de la información del Icetex, estará autorizado para aquellos funcionarios cuyo perfil del cargo y funciones lo requiera.

La dirección de tecnología es responsable de implementar los controles necesarios para asegurar que en los sistemas de información del Icetex solo los funcionarios autorizados pueden hacer uso de los medios de almacenamiento removibles.

Así mismo, el funcionario se compromete a asegurar física y lógicamente el dispositivo a fin de no poner en riesgo la información del Icetex que este contiene.

El almacenamiento, etiquetado y eliminación de cualquiera de estos medios de almacenamiento, debe estar de acuerdo con el esquema de clasificación y seguir los “lineamientos inventario y clasificación de activos de información” Anexo 2.

10.10. Intercambio de información.

[ISO/IEC 27001:2005 A.10.8]

El Icetex firmará acuerdos de confidencialidad con los funcionarios, clientes y terceros que por diferentes razones requieran conocer o intercambiar información restringida o confidencial de la Institución. En estos acuerdos quedarán especificadas las responsabilidades para el intercambio de la información para cada una de las partes y se deberán firmar antes de permitir el acceso o uso de dicha información.

Todo funcionario del Icetex es responsable por proteger la confidencialidad e integridad de la información y debe tener especial cuidado en el uso de los diferentes medios para el intercambio de información que puedan generar una divulgación o modificación no autorizada, cuyo uso aceptable se especifica en la política “7.2 Uso adecuado de los activos”.

Los propietarios de la información que se requiere intercambiar son responsables de definir los niveles y perfiles de autorización para acceso, modificación y eliminación de la misma y los custodios de esta información son responsables de implementar los controles que garanticen el cumplimiento de los criterios de confidencialidad, integridad, disponibilidad y requeridos.

Los medios transportados fuera de las instalaciones del Icetex, deberán cumplir con los controles establecidos en los “lineamientos de gestión de medios e información en tránsito” Anexo 6.

10.11. Comercio y transacciones electrónicas.

[ISO/IEC 27001:2005 A.10.9]

El Icetex, para el desarrollo de sus actividades de comercio y transacciones electrónicas, debe definir y establecer mecanismos para generar conexiones y transferencias de información seguras, de acuerdo con la legislación nacional y las demás regulaciones aplicables.

Los servicios de comercio electrónico deben establecer los requerimientos necesarios para proporcionar a los usuarios la información pertinente sobre las transacciones en línea, tal como las condiciones y costos de la transacción, así como las medidas de seguridad pertinentes.

Se debe expedir un soporte, en papel o por medios electrónicos, al momento de la realización de cada transacción. Dicho soporte deberá contener al menos la siguiente información:

— Fecha, hora (hora y minuto).

— Código del equipo (para operaciones por Internet: la dirección IP desde la cual se hizo la misma. para operaciones con dispositivos móviles: el número desde el cual se hizo la conexión).

— Número de la transacción.

— Costo de la operación para el cliente o usuario.

— Tipo de operación.

— Entidades involucradas (si a ello hay lugar) y número de las cuentas que afectan la operación.

Con el fin de proteger la información disponible públicamente, se deben implementar mecanismos que permitan verificar constantemente que no sean modificados los enlaces (links) del sitio Web, ni suplantados los certificados digitales, ni modificada indebidamente la resolución de sus DNS.

10.12. Monitoreo del uso de los sistemas.

[ISO/IEC 27001:2005 A.10.10]

El Icetex, con el fin de garantizar la seguridad de su información, debe brindar los mecanismos y controles adecuados para detectar las actividades de procesamiento de información no autorizadas.

Las aplicaciones que hacen parte de la infraestructura para el procesamiento de información, comunicaciones y seguridad del Icetex deben generar archivos de registro de eventos (logs) definidos en conjunto por los responsables de su administración.

El Icetex, mediante la metodología de análisis de riesgos establecida para la seguridad de la información, debe identificar el nivel de monitoreo requerido para las aplicaciones y dispositivos tecnológicos y establecer los controles necesarios para la mitigación de dichos riesgos.

Si en el proceso de la revisión de los archivos de registro de eventos (logs) se llegase a evidenciar la ocurrencia de un incidente de seguridad, se determinará el nivel de criticidad del incidente y se seguirán las disposiciones definidas en los “lineamientos gestión de incidentes de seguridad” Anexo 7.

A través de la definición de perfiles de acceso, todos los registros de auditoría generados por los sistemas de información del Icetex son protegidos de accesos y modificaciones no autorizadas, razón por la cual todos los registros solo mantienen privilegios de lectura.

Con el fin de obtener un control apropiado para la relación adecuada de eventos no deseados en la infraestructura o para la investigación efectiva de incidentes, todos los relojes de los sistemas informáticos del Icetex deben estar sincronizados.

11. Control de acceso.

REF.: ISO/IEC 27001:2005 A.11

11.1. Control de acceso lógico.

[ISO/IEC 27001:2005 A.11.1]

El acceso a plataformas, aplicaciones, servicios y en general cualquier recurso de información del Icetex debe ser asignado de acuerdo a la identificación previa de requerimientos de seguridad y del negocio que se definan por las diferentes dependencias de la institución, así como normas legales o leyes aplicables a la protección de acceso a la información presente en los sistemas de información.

Los responsables de la administración de la infraestructura tecnológica del Icetex asignan los accesos a plataformas, usuarios y segmentos de red de acuerdo a procesos formales de autorización, los cuales deben ser revisados de manera periódica por la oficina de control interno del Icetex.

La autorización para el acceso a los sistemas de información debe ser definida y aprobada por la dependencia propietaria de la información, o quien ésta defina, y se debe otorgar de acuerdo con el nivel de clasificación de la información identificada, según la cual se deben determinar los controles y privilegios de acceso que se pueden otorgar a los funcionarios y terceros e implementada por la dirección de tecnología.

Cualquier usuario interno o externo que requiera acceso remoto a la red y a la infraestructura de procesamiento de información del Icetex, sea por Internet, acceso telefónico o por otro medio, siempre debe estar autenticado y sus conexiones deberán utilizar cifrado de datos.

11.2. Gestión de contraseñas de usuario.

[ISO/IEC 27001:2005 A.11.2.3]

Todos los recursos de información críticos del Icetex tienen asignados los privilegios de acceso de usuarios con base en los roles y perfiles que cada funcionario requiera para el desarrollo de sus funciones, definidos y aprobados por las áreas de negocio y administrados por la dirección de tecnología.

La creación, modificación y eliminación de usuarios y contraseñas en la infraestructura de procesamiento de Información es responsabilidad de la dirección de tecnología, o a quien este delegue a través de documento escrito y explícito del alcance de la gestión delegada, y debe seguir el “procedimiento de administración de accesos” Anexo 8.

Todo funcionario o tercero que requiera tener acceso a los sistemas de información del Icetex debe estar debidamente autorizado y debe acceder a dichos sistemas haciendo uso como mínimo de un usuario (ID) y contraseña (password) asignado por la organización. El funcionario debe ser responsable por el buen uso de las credenciales de acceso asignadas.

11.3. Escritorio y pantalla limpia.

[ISO/IEC 27001:2005 A.11.2.4]

Con el fin de evitar pérdidas, daños o accesos no autorizados a la información, todos los funcionarios del Icetex deben mantener la información restringida o confidencial bajo llave cuando sus puestos de trabajo se encuentren desatendidos o en horas no laborales. Esto incluye: documentos impresos, CD, dispositivos de almacenamiento USB y medios removibles en general. Adicionalmente, se requiere que la información sensible que se envía a las impresoras sea recogida de manera inmediata.

Todos los usuarios son responsables de bloquear la sesión de su estación de trabajo en el momento en que se retiren del puesto de trabajo, la cual se podrá desbloquear solo con la contraseña del usuario. Cuando finalicen sus actividades, se deben cerrar todas las aplicaciones y dejar los equipos apagados.

Todas las estaciones de trabajo deberán usar el papel tapiz y el protector de pantalla corporativo, el cual se activará automáticamente después de cinco (5) minutos de inactividad y se podrá desbloquear únicamente con la contraseña del usuario.

11.4. Segregación de redes.

[ISO/IEC 27001:2005 A.11.4.5]

La plataforma tecnológica del Icetex que soporta los sistemas de información debe estar separada en segmentos de red físicos y lógicos e independientes de los segmentos de red de usuarios, de conexiones con redes con terceros y del servicio de acceso a Internet. La división de estos segmentos debe ser realizada por medio de dispositivos perimetrales e internos de enrutamiento y de seguridad si así se requiere. La dirección de tecnología es el área encargada de establecer el perímetro de seguridad necesario para proteger dichos segmentos, de acuerdo con el nivel de criticidad del flujo de la información transmitida.

El Icetex debe establecer mecanismos de identificación automática de equipos en la red, como medio de autenticación de conexiones, desde segmentos de red específicos hacia las plataformas donde operan los sistemas de información de la organización.

Es responsabilidad de los administradores de recursos tecnológicos garantizar que los puertos físicos y lógicos de diagnóstico y configuración de plataformas que soporten sistemas de información deban estar siempre restringidos y monitoreados con el fin de prevenir accesos no autorizados.

11.5. Computación móvil.

[ISO/IEC 27001:2005 A.11.7.1]

El uso de los equipos portátiles fuera de las instalaciones del Icetex únicamente se permitirá a usuarios autorizados por la dirección de tecnología, previa solicitud de la dependencia respectiva, y estos se protegerán mediante el uso de los siguientes controles tecnológicos:

• Antivirus.

• Cifrado de datos.

• Restricción en la ejecución de aplicaciones.

• Restricción de conexión de dispositivos USB.

• Protección física mediante la guaya de seguridad.

La sincronización de dispositivos móviles con cualquier sistema de información del Icetex, solo estará permitido para personal autorizado por la dirección de tecnología y la dependencia respectiva.

11.6. Teletrabajo.

[ISO/IEC 27001:2005 A.11.7.2]

Cualquier funcionario del Icetex, autorizado por la dirección de tecnología, que requiera tener acceso a la información de la institución desde redes externas, podrá acceder remotamente mediante un proceso de autenticación, mediante el uso de conexiones seguras y asegurando el cumplimiento de requisitos de seguridad de los equipos desde los que se accede.

12. Adquisición, desarrollo y mantenimiento de infraestructura tecnológica.

REF.: ISO/IEC 27001:2005 A.12

12.1. Identificación de requerimientos de seguridad.

[ISO/IEC 27001:2005 A.12.1.1]

La inclusión de un nuevo producto de hardware, software, aplicativo, desarrollo interno o externo, los cambios y/o actualizaciones a los sistemas existentes en el Icetex, deben estar acompañados de la identificación, análisis, documentación y aprobación de los requerimientos de seguridad de la información, labor que debe ser responsabilidad de la dirección de tecnología y las dependencias propietarias del sistema en cuestión.

Los requerimientos de seguridad de la información identificados, obligaciones derivadas de las leyes de propiedad intelectual y derechos de autor deben ser establecidos en los acuerdos contractuales que se realicen entre el Icetex y cualquier proveedor de productos y/o servicios asociados a la infraestructura de procesamiento de información. Es responsabilidad de la dirección de tecnología garantizar la definición y cumplimiento de los requerimientos de seguridad de la Información y en conjunto con la secretaría general establecer estos aspectos con las obligaciones contractuales específicas.

12.2. Controles criptográficos.

[ISO/IEC 27001:2005 A.12.3.1]

Con el fin de proteger la confidencialidad, integridad, autenticidad y no repudio de la información, el Icetex ha establecido el uso de protocolos y controles criptográficos para el uso en aplicativos, transferencia de información, enlaces de comunicaciones, protección de medios, acceso remoto, sobres digitales y firmas digitales, los cuales están enunciados en el “listado de software autorizado”, y no se permite el uso de herramientas o mecanismos de encripción de información diferentes a las autorizadas por la dirección de tecnología.

La administración de claves criptográficas y certificados digitales estará a cargo de la dirección de tecnología de Información.

12.3. Seguridad de los sistemas.

[ISO/IEC 27001:2005 A.12.4]

El Icetex con el fin de minimizar el riesgo de corrupción de los sistemas de información que se encuentran en producción, no permite la instalación de herramientas de desarrollo ni programas fuente en los sistemas de producción.

Las nuevas aplicaciones, desarrollos, y/o sistemas operativos o modificaciones a los mismos que soporten sistemas de información, deben solamente ser implementados en el ambiente de producción, después de un protocolo de pruebas adecuado que involucre aspectos funcionales, de seguridad, de compatibilidad con otros sistemas de información y facilidad de uso.

Los administradores de las plataformas de producción son los responsables de controlar el acceso y uso de los programas fuente de los archivos de los sistemas y/o de las aplicaciones que operan en ellas, así como de coordinar y/o ejecutar las actualizaciones programadas. El acceso de los proveedores a los sistemas de producción solo es permitido para realizar labores de soporte o mantenimiento, previa autorización del administrador de la plataforma con el respectivo monitoreo de las actividades realizadas.

Los proveedores de desarrollo de software no deben tener interacción directa con los sistemas de información del Icetex en el momento de hacer el paso a producción, siendo esta actividad responsabilidad del administrador de la plataforma respectiva.

No se permite la copia de información confidencial o restringida desde el ambiente de producción al ambiente de pruebas. En caso de requerirse, se debe garantizar que los datos reales son mezclados de manera aleatoria (data scramble o data masking) sin afectar la estructura funcional de la solución.

No se permite el uso de versiones de software en los sistemas de producción que no sean soportadas por los fabricantes. El uso de versiones de prueba que no hayan sido liberadas al mercado (Beta), deben ser autorizadas por la dirección de tecnología, quienes deben mantener actualizado el inventario de software autorizado en la institución.

12.4. Gestión de vulnerabilidades técnicas.

[ISO/IEC 27001:2005 A.12.6]

La dirección de tecnología es responsable de identificar las vulnerabilidades técnicas del conjunto de plataformas tecnológicas, de comunicaciones y seguridad que soporten sistemas de información críticos del Icetex.

El personal que administra la plataforma tecnológica es responsable de verificar de manera periódica la información publicada por parte de los fabricantes y foros de seguridad en relación con nuevas vulnerabilidades identificadas que puedan afectar los sistemas de información de la institución.

Se debe generar por lo menos una vez al año por parte del comité de seguridad del Icetex el programa de pruebas de vulnerabilidades para las plataformas críticas del negocio cuya viabilidad técnica y de administración lo permita. Dichas pruebas deben ser realizadas por lo menos una vez al año por un ente independiente al área objeto de las pruebas, con el fin de garantizar la objetividad del desarrollo de las mismas.

Los correctivos que requieran ser aplicados en las plataformas tecnológicas, derivados de la identificación de vulnerabilidades técnicas, son responsabilidad del personal que administre la infraestructura tecnológica, de comunicaciones y seguridad siguiendo las disposiciones indicadas en los “lineamientos gestión de cambios” Anexo 4.

La oficina de control interno realizará el seguimiento y verificación de los procesos de identificación de las causas que generaron las vulnerabilidades y la generación de las acciones de corrección a las que haya lugar.

13. Gestión de incidentes de seguridad.

REF.: ISO/IEC 27001:2005 A.13

13.1. Comunicación de incidentes y eventos de seguridad de la información.

[ISO/IEC 27001:2005 A.13.1]

Se considera un evento de seguridad la ocurrencia de una situación que indica una posible violación a las políticas de seguridad de la información, o fallas en los controles que no genere un impacto en el desarrollo de las operaciones de la organización y que puede ser controlado rápidamente.

Se considera un incidente de seguridad de la información, la ocurrencia de un acto intencional o no intencional que tiene una alta probabilidad de afectar el buen funcionamiento de los sistemas de información, que a causa de este acto se vea afectada la operación de la entidad y que por lo tanto amenaza la seguridad de la información.

Todo funcionario y/o tercero del Icetex debe reportar mediante el formato de reporte de incidentes al líder del proceso, cualquier situación que se pueda considerar como un evento de seguridad y que comprometa la preservación de la confidencialidad, disponibilidad y/o integridad de la información.

Es responsabilidad del comité de seguridad de la información determinar si la situación reportada corresponde a un evento o a un incidente de seguridad y ejecutar las acciones necesarias según el caso.

El grupo de atención a incidentes debe ser multidisciplinario dentro de las diferentes áreas de la organización y no será mayor a 5 personas y será liderado por el oficial de seguridad de la información.

La presidencia del Icetex o a quien delegue, son los únicos autorizados para reportar incidentes de seguridad ante las autoridades; así mismo, son los únicos canales de comunicación autorizados para hacer pronunciamientos oficiales ante entidades externas. Si alguien no autorizado lleva a cabo tareas relacionadas con esta actividad, será interpretado como incumplimiento de las políticas establecidas.

13.2. Manejo de incidentes de seguridad.

[ISO/IEC 27001:2005 A.13.2]

El comité de seguridad de la información es el único ente autorizado o a quién este designe para evaluar las debilidades o incidentes de seguridad reportados. Por lo tanto, el comité de seguridad de la información debe asignar un responsable o un grupo de personas responsables de realizar la investigación, seguimiento a los eventos de seguridad reportados e informar al comité los resultados, actividades para las cuales puede requerir del apoyo de otras áreas de la organización o de entidades externas. Este grupo será llamado grupo de atención de incidentes.

El comité de seguridad de la información debe mantener registro de aquellas anomalías o debilidades que le sean reportadas y que amenacen la seguridad de la información del Icetex y debe asegurar el registro de los incidentes ocurridos teniendo en cuenta las causas, el impacto ocasionado, su frecuencia y forma de resolución, con el objeto de tener estadísticas anuales de comportamiento de respuesta ante incidentes, aprender de lo ocurrido y establecer mejoras en las acciones de control y las políticas cuando sea necesario. Es responsabilidad de todos los funcionarios y/o terceros involucrados preservar la confidencialidad de la información relacionada con el manejo, investigación y seguimiento de los incidentes de seguridad de la información. Dicho registro se realizará mediante el formato de reporte de incidentes de seguridad.

El Icetex debe establecer los mecanismos de control necesarios para recolectar y preservar la evidencia de acciones maliciosas en contra de la información crítica de la institución y que deba ser sancionada disciplinariamente. Aquellas actividades que generen sospecha de mal uso de la información del Icetex, deben ser registradas de forma que pueda ser usada como evidencia en la aplicación de sanciones acordes al impacto causado.

Las acciones, responsabilidades, registro y seguimiento de los incidentes de seguridad se describen en los “lineamientos gestión de incidentes de seguridad” Anexo 7.

14. Administración de la continuidad del negocio.

REF.: ISO/IEC 27001:2005 A.14

14.1. Seguridad de la información en la continuidad del negocio.

[ISO/IEC 27001:2005 A.14.1.1]

Para el Icetex la seguridad de la información es una prioridad y se incluye como parte de la gestión general de la continuidad del negocio y del compromiso de la alta dirección.

El Icetex debe contar con un plan documentado, probado y actualizado que asegure la continuidad de las operaciones de sus procesos críticos, ante la ocurrencia de eventos no previstos o desastres naturales. Las directrices y lineamientos mínimos requeridos para recuperar y restablecer las operaciones de los servicios de tecnología, así como los requerimientos de seguridad, funciones, responsabilidades relacionados con el plan, están incorporados y definidos en “plan de recuperación tecnología”.

14.2. Análisis de riesgo e impacto del negocio.

[ISO/IEC 27001:2005 A.14.1.2]

El Icetex debe realizar análisis de riesgos y análisis de impacto en el negocio, de acuerdo a las mejores prácticas, con el fin de definir el “plan de continuidad del negocio” y el “plan de recuperación de desastres” adecuados para la Institución. Dichas actividades deberán ser ejecutadas al menos una (1) vez al año o cada vez que se presente un cambio importante en la entidad.

14.3. Declaración de desastre y activación de los planes de continuidad del negocio.

[ISO/IEC 27001:2005 A.14.1.3]

La declaración de desastre es la notificación formal de desastre a los líderes de todos los equipos de recuperación. Esta notificación implica la iniciación de las actividades descritas en el “plan de continuidad del negocio” para cada uno de los equipos de recuperación.

El Icetex definirá los responsables de declarar un desastre, así como, los voceros autorizados para definir el inicio de una contingencia dentro de la Institución. Una vez se haya dado esta autorización de inicio, comenzarán a ejecutarse cada una de las actividades definidas dentro del “plan de continuidad del negocio” o dentro del “plan de recuperación de desastres”.

14.4. Entrenamiento y capacitación.

[ISO/IEC 27001:2005 A.14.1.4]

Todos los funcionarios, así como los terceros involucrados, deben ser entrenados y concientizados de sus roles y responsabilidades asignados dentro del “plan de continuidad del negocio” de la organización.

14.5. Pruebas y mantenimiento del plan de continuidad.

[ISO/IEC 27001:2005 A.14.1.5]

El Icetex definirá un área responsable de coordinar en forma periódica las pruebas del “plan de continuidad del negocio” y de mantenerlo actualizado, de acuerdo con las necesidades y requerimientos de la institución.

15. Cumplimiento de requerimientos.

REF.: ISO/IEC 27001:2005 A.15

15.1. Cumplimiento de requerimientos.

[ISO/IEC 27001:2005 A.15.1.1]

El Icetex debe cumplir con la legislación aplicable propia de las leyes colombianas, las regulaciones dadas por entes de control, gubernamentales o nacionales que apliquen, y las obligaciones contractuales con terceros. En consistencia, se deben documentar dichos requerimientos para cada sistema de información.

En Icetex, la oficina asesora jurídica, es la responsable de asesorar a la entidad sobre los requisitos normativos y regulatorios dados por entes de control, así como de las obligaciones con terceros y funcionarios, siempre enmarcados dentro del cumplimiento de la legislación colombiana vigente.

15.2. Derechos de propiedad intelectual.

[ISO/IEC 27001:2005 A.15.1.2]

El Icetex cumplirá con la reglamentación de propiedad intelectual vigente en el país y ejecutará revisiones periódicas para asegurar que se estén respetando los derechos de propiedad intelectual.

Los derechos de propiedad intelectual incluyen licencias de códigos fuente que hagan parte de desarrollos internos de software, documentos generados como parte del conocimiento del negocio del Icetex, propuestas comerciales, patentes, información publicitaria y comercial que involucre la imagen corporativa del Icetex.

La dirección de tecnología es responsable por mantener y administrar el inventario y control de todas las licencias de software, hardware y aplicaciones utilizadas en el Icetex, así como los medios y contratos que se relacionan con la actividad comercial de compra de software y hardware para la institución. Está prohibido el uso de software ilegal o no licenciado. Los funcionarios son responsables por la instalación y utilización de software no autorizado en sus estaciones de trabajo y en las plataformas tecnológicas que soportan los sistemas de información de la institución.

Deben existir acuerdos contractuales claramente definidos entre el Icetex y cualquier proveedor que realice actividades de desarrollo de software, en los cuales se especifiquen los compromisos de preservación de los derechos de propiedad intelectual. Todos los programas de software usados para el desarrollo de las operaciones del negocio, deben incluir los avisos de información de derechos de autor correspondiente y estos deben aparecer cuando el usuario inicie la aplicación.

Se permite el uso de documentos, cifras y/o textos de carácter público o de cualquier otra índole, siempre y cuando estos cumplan con las reglamentaciones nacionales vigentes para la preservación de los derechos morales e intelectuales de las obras o referencias citadas.

15.3. Protección de registros.

[ISO/IEC 27001:2005 A.15.1.3]

El Icetex se obliga a proteger todos los registros que muestren evidencia del cumplimiento de los requerimientos normativos, legales o regulatorios de pérdida, destrucción o falsificación. Es por ello que los registros están identificados en el “listado maestro de registros”, de acuerdo con lo que se establece en el “procedimiento de control de registros” y son protegidos de acuerdo a su nivel de clasificación según lo establecido en el “lineamientos inventario y clasificación de activos de información” Anexo 2.

De igual forma, y cumpliendo la legislación colombiana vigente, el Icetex establece que la información personal de los funcionarios y/o contratistas es de carácter confidencial, por lo cual se implementarán los controles necesarios para su protección y en ningún momento puede ser divulgada a terceras partes a menos que cuente con la autorización formal del funcionario y/o contratista o en los casos en que la normatividad lo permita.

16. Glosario.

Aceptación del riesgo:

Activo de información: Este tipo de activo representa los datos de la organización, información que tiene valor para los procesos de negocio, independientemente de su ubicación: puede ser un documento físico debidamente firmado, un archivo guardado en un servidor, un aplicativo o cualquier elemento que permita almacenar información valiosa o útil para el Icetex.

Análisis de riesgos: Uso sistemático de una metodología para estimar los riesgos e identificar sus fuentes, para los activos o bienes de información.

Backup o copia de seguridad: Copia de respaldo de la información.

Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados.

Control: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye políticas, procedimientos, guías, estructuras organizacionales, buenas prácticas, y que pueden ser de carácter administrativo, técnico o legal.

Criticidad: Medida del impacto que tendría la organización debido a una falla de un sistema y que este no funcione como es requerido.

Custodio: Ente, área, proceso o persona encargada de preservar y resguardar la información entregada y que generalmente son de propiedad de otro proceso o área.

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.

Equipo de computo: Dispositivo electrónico capaz de recibir un conjunto de instrucciones y ejecutarlas, realizando cálculos sobre los datos numéricos, o bien compilando y correlacionando otros tipos de información.

Evento de seguridad de la información: Se considera un evento de seguridad de la información a cualquier situación identificada que indique una posible brecha en las políticas de seguridad o falla en los controles y/o protecciones establecidas.

Incidente de seguridad de la información: Se considera un incidente de seguridad de la información a cualquier evento que haya vulnerado la seguridad de la información o que intente vulnerarla, sin importar la información afectada, la plataforma tecnológica, la frecuencia, las consecuencias, el número de veces ocurrido o el origen (interno o externo).

Infraestructura de procesamiento de información: Es cualquier sistema de procesamiento de información, servicio, plataforma tecnológica, o instalación física que los contenga.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos.

Medios en tránsito: Son todos aquellos dispositivos autorizados por el Icetex, que permiten el almacenamiento de información, los cuales pueden ingresar o salir de las instalaciones de la compañía con la respectiva autorización. Se incluyen equipos portátiles, PDAs, Ipods, reproductores mp3, teléfonos celulares, memorias USB/SD/Mini-SD, CDs, DVDs, cintas de respaldo y similares. Asimismo se incluyen correos electrónicos y conexiones por donde pueda ser transportada la información de la empresa.

Medio removible: Medio que permite llevar o transportar información desde un computador a otro. Los medios removibles incluyen cintas, diskettes, discos duros removibles, CDs, DVDs, unidades de almacenamiento USB.

Propietario/responsable: Individuo, entidad o unidad de negocio que ha aceptado la responsabilidad de la administración para el control, producción, desarrollo, mantenimiento, uso y seguridad de los activos de información.

Responsable de activo de información: es un funcionario o área de la dirección de tecnología de velar porque la información a su cargo sea protegida de manera adecuada.

Sensibilidad: Nivel de impacto que una divulgación no autorizada podría generar.

Servicio: es cualquier acto o desempeño que una persona puede ofrecer a otra, que es esencialmente intangible y que no conlleva ninguna propiedad. Su producción puede o no estar ligada a un producto físico.

SGSI: Sistema de gestión de seguridad de la información.

Soportes físicos: Datos en soporte papel (cartas, informes, normas, contratos) o en medios de almacenamiento físico.

Terceros: Se entiende por tercero a toda persona, jurídica o natural, como proveedores, contratistas o consultores, que provean servicios o productos a la entidad.

(Nota: Complementado por el Acuerdo 17 de 2014 artículo 5° del Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior)