Agencia Nacional para la Superación de la Pobreza Extrema

RESOLUCIÓN 184 DE 2014 

(Abril 24)

“Por la cual se adopta la Política de Seguridad y se definen lineamientos frente al uso y manejo de la información de la Agencia Nacional para la Superación de la Pobreza Extrema (Anspe)”.

La Directora General de la Agencia Nacional para la Superación de la Pobreza Extrema (Anspe),

en ejercicio de sus atribuciones legales y reglamentarias y en particular las establecidas en el Decreto 4160 de 2011, artículo 8º numeral 11, y

CONSIDERANDO:

Que mediante Decreto 4160 de 2011 se crea la Unidad Administrativa Especial Agencia Nacional para la Superación de la Pobreza Extrema, dotada de personería jurídica, autonomía administrativa y financiera y patrimonio propio, perteneciente al sector administrativo de Inclusión social y reconciliación con el objetivo de participar, con otras entidades competentes y los entes territoriales, en la formulación de política pública para la superación de la pobreza extrema y coordinar la implementación de la estrategia nacional de superación de la pobreza extrema a través de la articulación con actores públicos y privados y la promoción de la innovación social, entre otros.

Que el artículo 227 de la Ley 1450 de 2011, por la cual se expide el Plan Nacional de Desarrollo 20102014(sic), señala que para el ejercicio de sus competencias, las entidades públicas y los particulares que cumplen con funciones públicas deberán poner a disposición de la administración pública, bases de datos de acceso permanente y gratuito con la información que producen y administran. De igual forma, el parágrafo 3º del mismo artículo señala que el Gobierno Nacional debe garantizar, mediante la implementación de sistemas de gestión para la seguridad de la información, que el acceso a las bases de datos y la utilización de la información sean seguros y confiables para no permitir su uso indebido.

Que la Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales, en su artículo 4º, literales g) y h), define como principios rectores para el tratamiento de los datos personales, la seguridad y confidencialidad, respectivamente.

Que el artículo 3º, literal d) del Decreto 2482 de 2012, por el cual se establecen los lineamientos generales para la integración de la planeación y la gestión, adopta la política de eficiencia administrativa, incluyendo entre sus orientaciones, la gestión de tecnologías de información. Asimismo, se entiende que su modelo de gestión define la necesidad de contar con un sistema de seguridad de la información.

Que el artículo 7º del Decreto 2693 de 2012, por el cual se establecen los lineamientos generales de la estrategia de Gobierno en Línea de la República de Colombia, se reglamentan parcialmente las leyes 1341 de 2009 y 1450 de 2011 y se dictan otras disposiciones, establece los componentes del modelo de Gobierno en Línea, y a su vez el numeral 6º del mencionado artículo dispone que la entidad debe contar con una política de seguridad aplicada de forma transversal y mejorada constantemente.

Que la proliferación de amenazas en contra de la información hace necesaria la implementación de mecanismos de seguridad física y lógica, que permitan minimizar los riesgos de daños y pérdidas en la información y poder garantizar su integridad, disponibilidad y confidencialidad.

Que la Agencia Nacional para la Superación de la Pobreza Extrema (Anspe), reconoce abiertamente la importancia de sus activos de información, así como la necesidad de su protección para disminuir los riesgos inherentes asociados a su uso y manejo, por lo tanto ve conveniente la implementación de una política de seguridad y manejo de la información.

Que la política de seguridad de la información debe ser parte de la cultura organizacional y, apoyada por la alta dirección de la agencia, deberá divulgarse a todos los servidores públicos y contratistas de prestación de servicios y de apoyo a la gestión, operadores y aliados, que de una u otra manera hacen parte de la gestión de la entidad.

Que en mérito de lo expuesto,

RESUELVE:

CAPÍTULO I

Disposiciones generales

ART. 1º—Política de Seguridad de la Información. En virtud del mandato constitucional la Agencia Nacional para la Superación de la Pobreza Extrema (Anspe), protege, preserva y administra la integridad, confidencialidad y disponibilidad de la información digital o física generada en el desarrollo de sus procesos misionales, estratégicos y de apoyo, a través de la implementación de mecanismos de seguridad como controles físicos y lógicos, que permitan prevenir fraudes y fuga de información que atente contra los derechos de los ciudadanos y la integridad de la entidad.

ART. 2º—Ámbito de aplicación. Lo contenido en la presente resolución aplica para toda la entidad en el territorio nacional, donde la Agencia Nacional para la Superación de la Pobreza Extrema (Anspe) tenga presencia y desarrolle su acompañamiento a través de la recolección, procesamiento, almacenamiento, recuperación y consulta de información, para el desarrollo de la misión institucional y cumplimiento de los objetivos estratégicos. La política de seguridad de la información, extiende su alcance a los funcionarios y contratistas de la Agencia, recursos tecnológicos, la totalidad de los procesos y procedimientos institucionales requeridos para su gestión, a sus operadores y aliados, sean estos de carácter público o privado, así como a sus contratistas y proveedores.

ART. 3º—Objetivos. Son objetivos de la política de seguridad de la información de la Anspe, los siguientes:

— Proteger la información y la tecnología utilizada para su almacenamiento, procesamiento y análisis, frente a amenazas de cualquier tipo, deliberadas o accidentales, ya sea por el personal interno o externo con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información que hace parte de la gestión, y que sostiene la operación en la entidad.

— Asegurar la implementación y efectividad de los controles de seguridad en el marco de la presente política, asignando las responsabilidades inherentes a los funcionarios y contratistas de la agencia, así como los recursos físicos, financieros y tecnológicos, necesarios para su ejecución y sostenimiento.

— Generar competencias organizacionales en materia de seguridad de la información.

— Prevenir los incidentes de seguridad de la información en la agencia.

CAPÍTULO II

Organización de la seguridad de la información

ART. 4º—Comité de seguridad de la información. Las funciones que debían ser cumplidas por el comité de seguridad de la información existente serán asumidas por el comité de Gobierno en Línea, Antitrámites y Eficiencia Administrativa - Cero Papel.

PAR.—Es responsabilidad de la alta dirección de la Agencia y de quien tenga personal a cargo, prestar el apoyo necesario para la implementación de la política de seguridad de la información dentro de sus áreas, así como el cumplimiento de la política por parte de su equipo de trabajo.

CAPÍTULO III

Políticas generales de manejo de información

ART. 5º—Acuerdos de confidencialidad. Como parte de sus términos y condiciones iniciales de trabajo, los funcionarios o contratistas, cualquiera sea su nivel jerárquico dentro de la entidad, firmarán un acuerdo de confidencialidad o no divulgación, en lo que respecta al tratamiento de la información de la entidad, en los términos de la Ley 1581 de 2012 y las demás normas que la adicionen, modifiquen, reglamenten o complementen, así como el Decreto 1377 de 2013 y la Sentencia de Unificación 458 de 2012 de la Corte Constitucional. Dicho acuerdo (documento original) deberá ser guardado y custodiado en forma segura por el Área de Talento Humano o el Grupo de Gestión Contractual, según el caso, si tal acuerdo de confidencialidad de la información no estuviere incluido como una cláusula del respectivo contrato de prestación de servicios o en el acta de posesión del funcionario. Así mismo, mediante el acuerdo de confidencialidad, el funcionario o el contratista declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad ni los derechos del funcionario o contratista.

ART. 6º—Tratamiento de la información. Para el tratamiento de la información de las familias a las cuales se presta el acompañamiento en el marco de la Estrategia Unidos, así como la información de los servidores públicos que participan en el desarrollo de las funciones de la agencia, se cumplirá con lo dispuesto en la Ley 1581 de 2012, reglamentada por el Decreto 1377 de 2013, y las demás normas que los modifiquen, adicionen o complementen.

PAR.—La oficina de tecnologías de la información garantizará la generación de reportes y entrega de información concernientes a las familias vinculadas a la estrategia, siempre que las diferentes áreas, oficinas o direcciones lo soliciten y estos no estén incluidos en el módulo de reportes del sistema de información SI unidos. Esta solicitud deberá ser dirigida por medio formal al jefe de oficina, quien de acuerdo con la normatividad vigente y teniendo en cuenta el cumplimiento misional, determinará si es viable la entrega y dará respuesta mediante comunicado oficial.

ART. 7º—Política de gestión de activos de información. La Agencia Nacional para la Superación de la Pobreza Extrema (Anspe), establecerá los lineamientos para la identificación, clasificación y buen uso de sus activos de información, con el objetivo de garantizar su protección.

a) Inventario de activos: los activos de la Anspe deben ser identificados y controlados para garantizar su uso adecuado, protección y la recuperación ante desastres. Por tal motivo, el grupo de gestión administrativa debe llevar el inventario valorizado de los bienes de propiedad de la Anspe, discriminado por dependencias y según lo estipulado en el procedimiento de inventarios.

Con el objetivo de la implantación de controles de seguridad, las oficinas que tienen a su cargo la custodia de la información generada por los diferentes procesos de la entidad, se encargarán de mantener y actualizar un inventario de activos de información relacionados con los servicios de cada dependencia, así como de los servicios, software, hardware y personas, relacionadas con ese proceso;

b) Tratamiento de activos de información: La clasificación de esta información debe estar alineada con las tablas de retención documental;

c) Archivos de gestión: desde el sistema de gestión de seguridad de la información se impartirán lineamientos de seguridad de la información al grupo de gestión administrativa para generar mecanismos de almacenamiento seguro a las oficinas para la custodia de su información;

d) Respaldo de la información: la oficina de tecnologías de la información debe realizar y mantener copias de seguridad de la información de la entidad en medio digital, siempre que esta sea reportada por el responsable de la misma, con el objetivo de recuperarla en caso de cualquier tipo de falla, ya sea de hardware, software, o de procedimientos operativos al interior de la entidad.

Se efectuará la copia respectiva de acuerdo con el esquema definido previamente en el documento “Plan de Backups” de la entidad, el cual será diseñado por la oficina de tecnologías de la información, en conjunto con los líderes de proceso;

e) Clasificación de la información: el método de clasificación de la información de la Anspe está basado en el método de separación recomendado por “Gobierno en Línea” en el documento “Guía para la apertura de datos en Colombia”, el cual permite filtrar la información no publicable de la que sí lo es, de conformidad con lo estipulado en la normatividad vigente. La oficina de tecnologías de la información, en conjunto con la secretaría general, la oficina de comunicaciones y la oficina asesora de planeación, se encargarán de proponer los lineamientos de recolección y clasificación de la información, para la posterior aprobación por parte de la dirección.

CAPÍTULO IV

Responsabilidades de los funcionarios, contratistas y colaboradores en materia de seguridad de la información

ART. 8º—Todos los funcionarios, contratistas y colaboradores que hagan uso de los activos de información de la Anspe, tienen la responsabilidad de seguir las políticas establecidas para el uso aceptable de los activos, entendiendo que el uso no adecuado de los recursos puede poner en riesgo la continuidad de la misión institucional.

a) Del uso del correo electrónico: el servicio de correo electrónico institucional es una herramienta de apoyo a las funciones y responsabilidades de los funcionarios y contratistas de la Anspe.

• El servicio de correo electrónico institucional debe ser empleado únicamente para enviar y recibir mensajes de orden institucional. En consecuencia, no puede ser utilizado con fines personales, económicos, comerciales y/o cualquier otro ajeno a los propósitos de la entidad.

• En cumplimiento de la Directiva Presidencial 4 de 2012, cero papel y eficiencia administrativa, se debe preferir el uso del correo electrónico al envío de documentos físicos, siempre que las circunstancias lo permitan.

• Está prohibido el uso de correos masivos tanto internos como externos, salvo a través de la oficina de comunicaciones, dirección general o secretaría general.

• Todo mensaje spam o cadena debe ser inmediatamente reportado a la mesa de servicios según procedimiento establecido, eliminado y nunca respondido. No está permitido el envío y/o reenvío de mensajes en cadena.

• Todo mensaje sospechoso respecto de su remitente o contenido debe ser inmediatamente reportado a la mesa de servicios según procedimiento establecido y posteriormente eliminado, ya que puede ser contentivo de virus, en especial si contiene archivos adjuntos con extensiones .exe, .bat, .prg, .bak, .pif, tengan explícitas referencias eróticas, o alusiones a personajes famosos.

• La cuenta de correo institucional no debe ser revelada en páginas o sitios publicitarios, de compras, deportivos, agencias matrimoniales, casinos, o a cualquier otra ajena a los fines de la Anspe.

• Está expresamente prohibido el uso del correo para la transferencia de contenidos insultantes, ofensivos, injuriosos, obscenos, violatorios de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.

• Está expresamente prohibido distribuir información de la Anspe, no pública, a otras entidades o ciudadanos sin la debida autorización.

• El cifrado del correo electrónico no es necesario en la mayoría de casos, pero los mensajes confidenciales deben tener alguna forma de codificación.

• Todos los correos electrónicos corporativos deben contener una sentencia de confidencialidad, que será diseñada por la oficina de tecnologías de la información, y la oficina de comunicaciones.

• La divulgación de cifras o datos oficiales de la entidad solo podrá ser emitida desde las direcciones de correo electrónico de la dirección general, la oficina de comunicaciones, jefes de oficina de tecnologías de la información y oficina asesora de planeación.

• El único servicio de correo electrónico autorizado para el manejo de la información institucional en la entidad es el asignado por la oficina de tecnologías de la información, el cual cumple con todos los requerimientos técnicos y de seguridad, evitando ataques de virus, spyware y otro tipo de software malicioso. Además, este servicio tiene copia de respaldo (backup);

b) Del uso de internet: se establecerán políticas de navegación basadas en categorías y niveles de usuario por jerarquía y funciones, previa validación de la oficina de tecnologías de la información.

• El uso del servicio de internet está limitado exclusivamente para propósitos laborales.

• Los servicios a los que un determinado usuario pueda acceder desde la internet dependerán del rol o funciones que desempeña el usuario en la Anspe y para los cuales esté formal y expresamente autorizado.

• Todo usuario es responsable de informar de contenidos o acceso a servicios que no le estén autorizados y/o no correspondan a sus funciones dentro de la Anspe.

• Está expresamente prohibido el envío, y/o descarga, y/o visualización, de páginas con contenido insultante, ofensivo, injurioso, obsceno, violatorio de los derechos de autor y/o que atenten contra la integridad moral de las personas o instituciones.

• Está expresamente prohibido el acceso a páginas web, portales, sitios web y/o aplicaciones web que no hayan sido autorizadas por la Anspe.

• Está expresamente prohibido el envío y/o descarga de cualquier tipo de software o archivos de fuentes externas, y/o de procedencia desconocida.

• Está expresamente prohibida la propagación de virus o cualquier tipo de código malicioso.

• Está expresamente prohibido acceder a páginas que agredan la ética y el buen comportamiento.

La Anspe se reserva el derecho de monitorear los accesos, y por tanto el uso del servicio de internet de todos sus funcionarios o contratistas, además de limitar el acceso a determinadas páginas de Internet, los horarios de conexión, los servicios ofrecidos por la red, la descarga de archivos y cualquier otro ajeno a los fines;

c) Del uso de los recursos tecnológicos: los recursos tecnológicos de la Anspe, son herramientas de apoyo a las labores y responsabilidades de los funcionarios y contratistas. Por ello, su uso está sujeto a las siguientes directrices:

• Los bienes de cómputo se emplearán de manera exclusiva y bajo su completa responsabilidad por el funcionario y contratista al cual han sido asignados y únicamente para el correcto desempeño de las funciones del cargo. Por lo tanto, no pueden ser utilizados con fines personales o por terceros no autorizados.

• Solo está permitido el uso de software licenciado por la entidad y/o aquel que sin requerir licencia sea expresamente autorizado por la oficina de tecnologías de la información. Las aplicaciones generadas por la Anspe, en desarrollo de su misión institucional, deben ser reportadas a la oficina de tecnologías de la información, para su administración.

• Es responsabilidad de los funcionarios y contratistas mantener copias de seguridad de la información contenida en sus estaciones de trabajo.

• Los usuarios no deben mantener almacenados en los discos duros, de las estaciones cliente o discos virtuales de red, archivos de video, música y fotos que no sean de carácter institucional.

• No está permitido fumar, ingerir alimentos o bebidas en el área de trabajo donde se encuentren estos elementos tecnológicos.

• No está permitido realizar derivaciones eléctricas desde las fuentes de corriente regulada ni conectar multitomas a las mismas.

• Los únicos autorizados para hacer modificaciones o actualizaciones en los elementos y recursos tecnológicos como destapar, agregar, desconectar, retirar, revisar y/o reparar sus componentes, son los funcionarios de la oficina de tecnologías de la información o quienes sean designados por ellos para tal labor.

• La oficina de tecnologías de la información realizará monitoreo sobre los dispositivos de almacenamientos externos, con el fin de prevenir o detectar fuga de información.

• La única dependencia autorizada para trasladar los elementos y recursos tecnológicos de un puesto a otro es la mesa de ayuda vinculada a la oficina de tecnologías de la información, con el fin de llevar el control individual de inventarios. En tal virtud, toda reasignación de equipos deberá ajustarse a los procedimientos y competencias de dicho grupo de trabajo.

• El retiro de recursos tecnológicos de la entidad solo está permitido, previa autorización del grupo de gestión administrativa, y deberá ajustarse a los procedimientos y competencias de dicho grupo de trabajo.

• La pérdida o daño de elementos o recursos tecnológicos, o de alguno de sus componentes, debe ser informada de inmediato al grupo de gestión administrativa por el funcionario o contratista a quien se le hubiere asignado.

• Todo problema de orden técnico con los equipos tecnológicos debe ser reportado con el procedimiento establecido por la oficina de tecnologías de la información a la mayor brevedad posible.

• La oficina de tecnologías de la información es la única dependencia autorizada para realizar copias del software licenciado por la entidad, el cual no debe ser copiado, suministrado a terceros o utilizado para fines personales.

• Todo acceso a la red de la entidad mediante elementos o recursos tecnológicos no institucionales deberá ser informado, autorizado y controlado por la oficina de tecnologías de la información.

• Los equipos deben quedar apagados cada vez que el funcionario o contratista no se encuentre en la oficina durante la noche, esto es, con el fin de proteger la seguridad y distribuir bien los recursos de la entidad, siempre y cuando no vaya a realizar actividades vía VPN.

d) Del uso de los sistemas de información: todos los funcionarios y contratistas de la Anspe son responsables de la protección de la información que acceden y/o procesan y de evitar su pérdida, alteración, destrucción y/o uso indebido.

• Por ningún motivo se otorgará acceso a los orígenes de datos en ningún ambiente (desarrollo, pruebas o producción) a funcionarios o contratistas que no estén explícitamente asignados a la oficina de tecnologías de la información.

• Las credenciales de acceso a la red y/o recursos informáticos (usuario y clave) son de carácter estrictamente personal e intransferible; los funcionarios y contratistas no deben revelar estas a terceros ni utilizar claves ajenas.

• Todo funcionario y contratista es responsable de los registros y/o modificaciones de información que se hagan a nombre de su cuenta de usuario, toda vez que la clave de acceso es de carácter personal e intransferible.

• En ausencia del funcionario y contratista, el acceso a la estación de trabajo debe ser bloqueado, con el fin de evitar la exposición de la información y el acceso a terceros, que puedan generar daño, alteración o uso indebido, así como a la suplantación de identidad. La oficina de tecnologías de información, aplicará políticas de bloqueo, correspondiente.

• Cuando un funcionario o contratista cesa en sus funciones o culmina la ejecución de contrato de la Anspe, todos los privilegios sobre los recursos informáticos otorgados deberán ser suspendidos inmediatamente; la información del empleado debe almacenarse en los servidores de la entidad y entregado al jefe de la oficina de tecnologías de la información.

• Cuando un funcionario o contratista cesa en sus funciones o culmina la ejecución de contrato de la Anspe, el supervisor o jefe inmediato es el encargado de la custodia de los recursos de información.

• Todos los funcionarios y contratistas de la entidad deben revisar, e investigar los derechos de propiedad intelectual para todo material como libros, artículos, informes, imágenes, software y/o sitios web encontrados en Internet antes de ser usados para cualquier propósito, haciendo referencia expresa de dichas fuentes, con el fin de asegurar el cumplimiento de las leyes que aplican para este tipo de información.

CAPÍTULO V

Políticas específicas

ART. 9º—El sistema de gestión de seguridad de la Información, en conjunto con las áreas o procesos responsables, impartirán los lineamientos generales acordes con cada uno de los capítulos de la política de seguridad de la información, estableciendo aquellos lineamientos específicos de seguridad de la información para la Agencia Nacional para la Superación de la Pobreza Extrema, los cuales contendrán:

a) Lineamientos de la seguridad de los recursos humanos;

b) Lineamientos de seguridad física y del entorno;

c) Lineamientos de gestión de comunicaciones y operaciones;

d) Lineamientos de control de accesos;

e) Lineamientos de adquisición, desarrollo y mantenimiento de software;

f) Lineamientos de continuidad de la operación de la entidad;

g) Lineamientos de manejo de incidentes y requerimientos;

h) Lineamientos de seguridad para la gestión documental;

i) Lineamientos de protección de datos personales;

j) Demás lineamientos que son aplicables al SGSI y no se enmarcan en los ítems anteriores.

CAPÍTULO VI

Revisión y vigencia

ART. 10.—Revisión. La política de seguridad de la información será revisada semestralmente, o antes si existiesen modificaciones que así lo requieran, para garantizar que sigue siendo oportuna, suficiente y eficaz. Este proceso de revisión será liderado por el encargado del SGSI y la jefatura de la oficina de tecnologías de la información, con aprobación de la dirección general de la Anspe.

ART. 12(sic).—Vigencia. La presente resolución rige a partir de la fecha de su publicación.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D.C., a 24 de abril de 2014.