Ministerio de Minas y Energía

RESOLUCIÓN 40362 DE 2017

(Mayo 3)

“Por la cual se adopta la política general de seguridad y privacidad de la información, la política de tratamiento y protección de datos personales, la política de continuidad del negocio, la política de recuperación ante desastres TIC y las políticas de seguridad y privacidad de la información”.

El Ministro de Minas y Energía,

en ejercicio de sus facultades legales conferidas por el Decreto 381 de 2012, modificado y adicionado por el Decreto 1617 de 2013 y el numeral 3º de la Ley 489 de 1998,

CONSIDERANDO:

Que la Ley 1341 de 2009, estableció el marco general para la formulación de las políticas públicas que regirán el sector de las Tecnologías de la Información y las Comunicaciones, incorporando principios, conceptos y competencias sobre su organización y desarrollo e igualmente señaló que las tecnologías de la información y las comunicaciones deben servir al interés general y, por tanto, es deber del Estado promover su acceso eficiente y en igualdad de oportunidades a todos los habitantes del territorio nacional;

Que el Decreto 1083 de 2015, adicionado por el Decreto 415 de 2016, establece la definición de los lineamientos para el fortalecimiento institucional en materia de tecnologías de la información y las comunicaciones, cuyo ámbito de aplicación, de acuerdo con el artículo 2.2.35.2, corresponde a las entidades del Estado de orden nacional y territorial, los organismos autónomos y de control;

Que el artículo 2.2.35.3 del Decreto 1083 de 2015, adicionado por el Decreto 415 de 2016, establece como objetivos del fortalecimiento institucional: “3. Desarrollar los lineamientos en materia tecnológica, necesarios para definir políticas, estrategias y prácticas que habiliten la gestión de la entidad y/o sector en beneficio de la prestación efectiva de sus servicios y que a su vez faciliten la gobernabilidad y gestión de las tecnologías de la información y las comunicaciones (TIC). Así mismo, velar por el cumplimiento y actualización de las políticas y estándares en esta materia” y “11. Desarrollar estrategias de gestión de información para garantizar la pertinencia, calidad, oportunidad, seguridad e intercambio con el fin de lograr un flujo eficiente de información disponible para el uso en la gestión y la toma de decisiones en la entidad y/o sector”;

Que así mismo, una de las metas que pretende alcanzar el Programa Visión Colombia 2019, es el cumplimiento del objetivo “un Estado al servicio de los ciudadanos”, el desarrollo de la estrategia “avanzar hacia una sociedad informada”, la cual dispone que: “En 2019 la información deberá ser un derecho efectivo y un instrumento de difusión y apropiación del conocimiento, que promueva el desarrollo económico, la equidad social y la democracia. En ese contexto, Colombia deberá alcanzar estándares adecuados de generación de información confiable y oportuna, y de uso colectivo. El Estado promoverá su diseminación, aprovechando el uso de las tecnologías de la información y las comunicaciones”, cumpliendo con los estándares de Gobierno, en especial los establecidos con relación a la seguridad que hace parte de los cuatro pilares: TIC para servicios, TIC para datos abiertos, TIC para la gestión y TIC para la seguridad;

Que mediante el Decreto 2573 de 2014, “por el cual se establecen los lineamientos generales de la estrategia de Gobierno en Línea”, se describen los lineamientos, se incorporan mejores prácticas y se orienta la implementación para lograr una administración pública más eficiente, coordinada y transparente, a través del fortalecimiento de la gestión de las tecnologías de la información y se reglamenta el marco de referencia de arquitectura empresarial para entidades del Estado, el cual es un modelo de referencia puesto a disposición del Estado colombiano para servir como orientador estratégico de las arquitecturas empresariales, lo cual debe estar articulado con los lineamientos de seguridad de la información;

Que el artículo 2.2.9.1.2,1 del Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones 1078 de 2015, establece como cuarto componente, para desarrollar los fundamentos de la estrategia que facilitarán la masificación de la oferta y la demanda del Gobierno en Línea, el de la seguridad y privacidad de la información;

Que el modelo de seguridad y privacidad de la información (MSPI), versión 3.0 de fecha 03/03/2015 adoptado por el Ministerio de Tecnologías de la Información y las Comunicaciones, reúne el conjunto de lineamientos, políticas, normas, procesos e instituciones que proveen y promueven la puesta en marcha, supervisión, mejora y control de la implementación del modelo, así como la implementación de la estrategia de Gobierno en Línea, establecida en el manual GEL. Esta nueva estrategia, que se plasma en el Decreto Único Reglamentario del sector de Tecnologías de la Información y las Comunicaciones 1078 de 2015, comprende cuatro grandes propósitos: lograr que los ciudadanos cuenten con servicios en línea de muy alta calidad, impulsar el empoderamiento y la colaboración de los ciudadanos con el Gobierno, encontrar diferentes formas para que la gestión en las entidades públicas sea óptima gracias al uso estratégico de la tecnología y garantizar la seguridad y la privacidad de la información de la entidad;

Que el mencionado MSPI del MinTIC, se fundamenta en los lineamientos de las normas continuidad del negocio SGCN (Norma ISO/IEC 22301:2012), y seguridad de la información SGSI (Normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013);

Que en aplicación de lo dispuesto por el artículo 2.1.2.1.23 del Decreto 1081 de 2015, adicionado por el artículo 5º del Decreto 270 de 2017, el presente proyecto de reglamentación fue publicado en la página web del Ministerio de Minas y Energía, por un término de quince (15) días calendario contados a partir del 6 del mes de abril de 2017 y hasta el 21 del mes de abril del mismo año, con lo cual, adicionalmente, se surte lo dispuesto por el numeral 8º del artículo 8º de la Ley 1437 de 2011;

Que en mérito de lo expuesto,

RESUELVE:

ART. 1º—Objeto. Adoptar la política general de seguridad y privacidad de la información, política de tratamiento y protección de datos personales, política de continuidad del negocio, y políticas de seguridad y privacidad de la información en el Ministerio de Minas y Energía como norma fundamental para el desarrollo de proyectos de tecnología con una gestión eficiente y optimización de los recursos, servicios TIC, y los sistemas de información.

ART. 2º—Ámbito de aplicación. Las políticas aplican a los servidores públicos, contratistas, proveedores y/o terceros usuarios de la información impresa, digital, y la soportada sobre las tecnologías de información y las comunicaciones del Ministerio de Minas y Energía.

ART. 3º—Políticas. La presente resolución adopta las siguientes políticas, que se describen en el documento anexo:

Política general de seguridad y privacidad de la información, en cumplimiento del numeral 5.2 de la Norma ISO/IEC 27001:2013.

Política de tratamiento y protección de datos personales, en cumplimiento de los lineamientos de la Ley 1581 de 2012.

Política de continuidad del negocio o del sistema de gestión y continuidad del negocio (SGCN), en cumplimiento de la Norma ISO/IEC 22301:2012, y el numeral A.17, anexo A de la Norma ISO/IEC 27001:2013.

Política de recuperación ante desastres TIC, en cumplimiento de la Norma ISO/IEC 22301:2012.

Políticas de seguridad y privacidad de la información, en cumplimiento de los requerimientos del numeral A.5, anexo A de la Norma ISO/IEC 27001:2013.

ART. 4º—Implementación. Todas las dependencias del Ministerio de Minas y Energía deberán implementar las políticas adoptadas a través del presente acto administrativo, conforme a sus responsabilidades y competencias.

ART. 5º—Conformación de las mesas de trabajo y funciones.

1. Mesa de trabajo de seguridad y privacidad de la información. La mesa de trabajo de seguridad y privacidad de la información garantizará el apoyo y toma de decisiones al proceso de definición, implementación, operación, seguimiento, revisión, mantenimiento y mejora del MSPI y el SGSI, a través de un equipo de trabajo conformado por un representante de las siguientes áreas o dependencias del Ministerio de Minas y Energía:

• Despacho del señor ministro.

• Secretaría general.

• Oficina de planeación y gestión internacional.

• Oficial de seguridad de la información.

• Subdirección de talento humano.

• Oficina de control interno.

• Grupo de tecnologías de la información y la comunicación.

• Subdirección administrativa y financiera.

• Grupo de procesos misionales.

• Grupo de servicio al ciudadano.

La mesa de trabajo de seguridad y privacidad de la información está liderada por el oficial de seguridad de la información; sin embargo, los miembros tendrán las siguientes funciones según su competencia, sin perjuicio de las establecidas en las políticas:

• Tomar decisiones que requiera el MSPI y el SGSI y las propuestas que lleve el oficial de seguridad de la información y cualquiera de sus miembros, respecto a los riesgos y a la seguridad de las informaciones requeridas para la entidad.

• Trabajar en forma articulada, activa y permanente con los líderes de procesos críticos en la ejecución y desarrollo de todas las actividades designadas para la implementación, sostenibilidad y mejora del MSPI de la entidad.

• Establecer, mantener y actualizar las políticas de seguridad de la información, la metodología para la gestión de riesgos, la metodología para la identificación y clasificación de los activos y la documentación propia del SGSI y del MSPI.

• Desarrollar y liderar la implementación de métricas de seguridad adecuadas para evaluar la efectividad y desempeño del SGSI y el MSPI.

• Diseñar, sugerir o promover nuevas estrategias para la gestión de riesgos detectados.

• Conocer y analizar alertas globales de seguridad y determinar planes de acción para el tratamiento de las mismas.

• Mantener informado a todas las partes interesadas sobre la gestión macro del MSPI, de la entidad de manera periódica.

2. Mesa de trabajo de gestión de cambios y continuidad del negocio. La mesa de trabajo de gestión de cambios y continuidad del negocio, tendrá a su haber todas las decisiones relacionadas con la transición, implementación, operación, seguimiento, revisión, mantenimiento y mejora del análisis de impacto del negocio (BIA, por su sigla en inglés), el SGCN, y el SGSI, a través de un equipo de trabajo conformado por un representante de las siguientes áreas o dependencias del Ministerio de Minas y Energía:

• Despacho del señor ministro.

• Secretaría general.

• Oficina de planeación y gestión internacional.

• Oficial de continuidad del negocio.

• Subdirección de talento humano.

• Oficina de control interno.

• Grupo de tecnologías de la información y la comunicación.

• Subdirección administrativa y financiera.

• Procesos críticos avalados por el BIA vigente en el ministerio, sujetos a un plan de continuidad del negocio.

La mesa de trabajo de gestión de cambios y continuidad del negocio está liderada por el oficial de continuidad del negocio; sin embargo, los miembros tendrán las siguientes funciones según su competencia, sin perjuicio de las establecidas en las políticas:

• Tomar decisiones que requiera el SGCN y las propuestas que lleve el oficial de continuidad del negocio y cualquiera de sus miembros, respecto a los riesgos y temas de continuidad del negocio requeridos para la entidad.

• Trabajar en forma articulada, activa y permanente con los líderes de procesos críticos en la ejecución y desarrollo de todas las actividades designadas para la implementación, sostenibilidad y mejora del sistema de gestión de continuidad del negocio (SGCN) de la entidad.

• Establecer, mantener y actualizar las políticas de continuidad del negocio, la metodología para la gestión de riesgos y la documentación propia del sistema de gestión de continuidad del negocio (SGCN).

• Desarrollar y liderar la implementación de métricas de continuidad del negocio adecuadas para evaluar la efectividad y desempeño del sistema de gestión de continuidad del negocio (SGCN).

• Diseñar, sugerir o promover nuevas estrategias para la gestión de riesgos detectados.

• Conocer y analizar alertas globales de continuidad del negocio y determinar planes de acción para el tratamiento de las mismas.

• Mantener informadas a todas las partes interesadas sobre la gestión macro del sistema de gestión de continuidad del negocio (SGCN) de la entidad de manera periódica.

• Velar por que los programas de concientización en continuidad del negocio se lleven a cabo según lo planeado.

• Asegurar que la adaptación al cambio del personal de base versus el personal crítico preparado y formado para atender un plan de contingencias, están apoyados planes de sensibilización, capacitación, compromiso y sentido de pertenencia del rol a asumir ante la materialización de un evento o hecho inesperado.

ART. 6º—Vigencia. La presente resolución rige a partir de su publicación.

Publíquese y cúmplase.

Dada en Bogotá, D.C., a 3 de mayo de 2017.

Política general de seguridad y privacidad de la información, política de tratamiento y protección de datos personales, política de continuidad del negocio, política de recuperación ante desastres TIC, y políticas de seguridad y privacidad de la información del Ministerio de Minas y Energía

1. Política general de seguridad y privacidad de la información.

La política de seguridad y privacidad de la información es la declaración general que representa la posición de la administración del Ministerio de Minas y Energía, con respecto a la protección de los activos de información integrados por los funcionarios y/o servidores públicos, contratistas, proveedores, la información como tal, los procesos, las tecnologías de información y comunicación incluido el hardware y el software que en su conjunto, soportan los procesos de la entidad y apoyan la implementación del sistema de gestión de seguridad de la información (SGSI), por medio de la generación y publicación de sus políticas, procedimientos e instructivos, así como de la asignación de responsabilidades generales y específicas para la gestión de la seguridad y privacidad de la información.

Para asegurar la dirección estratégica de la entidad, el Ministerio de Minas y Energía, establece la compatibilidad de la política de seguridad de la información y los objetivos de seguridad de la información, estos últimos correspondientes a:

• Minimizar el riesgo de los procesos críticos misionales de la entidad.

• Cumplir con los principios de seguridad de la información.

• Cumplir con los principios de la función administrativa.

• Mantener la confianza de los funcionarios, contratistas y terceros.

• Apoyar la innovación tecnológica.

• Implementar el sistema de gestión de seguridad de la información (SGSI).

• Proteger los activos de información.

• Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información.

• Fortalecer la cultura de seguridad de la información en los funcionarios, contratistas, proveedores, aprendices, practicantes y clientes del Ministerio de Minas y Energía.

• Garantizar la continuidad del negocio frente a incidentes. Alcance/aplicabilidad.

• Esta política aplica a toda la entidad, sus funcionarios, servidores públicos, contratistas y proveedores del Ministerio de Minas y Energía, y a la ciudadanía en general.

Nivel de cumplimiento de la política

Todas las personas cubiertas por el alcance y aplicabilidad, deben dar cumplimiento del 100% de la presente política.

A continuación se establecen las doce (12) políticas de seguridad que soportan el MSPI y el SGSI del Ministerio de Minas y Energía:

1. El Ministerio de Minas y Energía ha decidido definir, implementar, operar y mejorar de forma continua un sistema de gestión de seguridad de la información (SGSI), soportado en lineamientos claros alineados a las necesidades del negocio y a los requerimientos regulatorios que le aplican a su naturaleza.

2. Las responsabilidades frente a la seguridad y privacidad de la información, descritas en el numeral 5º del presente documento, deberán ser compartidas, publicadas y aceptadas por cada uno de los empleados, contratistas o proveedores.

3. El Ministerio de Minas y Energía protegerá la información generada, procesada o resguardada por los procesos críticos de negocio y activos de información que hacen parte de los mismos.

4. El Ministerio de Minas y Energía protegerá la información creada, procesada, transmitida o resguardada por sus procesos de negocio, con el fin de minimizar impactos financieros, operativos o legales debido a un uso incorrecto de esta. Para ello es fundamental la aplicación de controles de acuerdo con la clasificación de la información de su propiedad o en custodia.

5. El Ministerio de Minas y Energía protegerá su información de las amenazas originadas por parte del personal.

6. El Ministerio de Minas y Energía protegerá las instalaciones de procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.

7. El Ministerio de Minas y Energía controlará la operación de sus procesos críticos de negocio garantizando la seguridad de los recursos tecnológicos y las redes de datos.

8. El Ministerio de Minas y Energía implementará control de acceso a la información, sistemas y recursos de red.

9. El Ministerio de Minas y Energía garantizará que la seguridad sea parte integral del ciclo de vida de los sistemas de información.

10. El Ministerio de Minas y Energía garantizará, a través de una adecuada gestión de los eventos de seguridad y las debilidades asociadas con los sistemas de información, una mejora efectiva de su modelo de seguridad.

11. El Ministerio de Minas y Energía garantizará la disponibilidad de sus procesos críticos de negocio y la continuidad de su operación basado en el impacto que pueden generar los eventos.

12. El Ministerio de Minas y Energía garantizará el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas.

2. Política de tratamiento y protección de datos personales.

El Minminas conforme a lo establecido en la normatividad vigente, define lo siguiente:

Ámbito de aplicación: aplica a todos los procesos del Minminas.

Excepción al ámbito de aplicación de las políticas de tratamiento de datos personales:

Se llevará a la mesa de trabajo de seguridad y privacidad de la información, anexa al comité del modelo integrado de planeación y gestión cualquier excepción a la política para la toma de decisiones respectiva.

Principios del tratamiento de datos personales a cumplir por el Minminas:

Principio de la legalidad: el tratamiento de datos personales debe estar sujeto a lo establecido en la normatividad vigente.

Principio de finalidad: indicar la finalidad del tratamiento de datos personales, la cual debe ser informada al titular.

Principio de libertad: el tratamiento solo puede hacerse con el consentimiento previo, expreso e informado del titular de los datos.

Principio de veracidad o calidad: la información a tratar debe ser veraz, completa, exacta, actualizada, comprobable y comprensible.

Principio de transparencia: garantizar al titular de los datos el derecho a obtener información que le concierna del encargado del tratamiento.

Principio de acceso y circulación restringida: el tratamiento solo podrá hacerse por personas autorizadas por el titular o por personas previstas en la normatividad vigente.

Principio de seguridad: la información sujeta a tratamiento, se debe manejar con las medidas técnicas, humanas y administrativas que sean necesarias para garantizar la seguridad evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

Principio de confidencialidad: todas las personas que participen en el tratamiento de datos personales deben garantizar la reserva y confidencialidad de dicha información.

Derechos de los titulares: la política indica los derechos de los titulares de los datos, tales como:

• Conocer, actualizar y rectificar sus datos personales.

• Solicitar la prueba de su autorización para el tratamiento de sus datos personales.

• Ser informado respecto del uso que se le da a sus datos personales.

• Revocar la autorización y/o solicitar la supresión de sus datos personales de las bases de datos o archivos cuando el titular lo considere, siempre y cuando no se encuentren vigentes con la entidad los servicios o productos que dieron origen a dicha autorización.

• Presentar quejas ante la entidad administrativa encargada de la protección de los datos personales.

Autorización del titular: la política indica cómo obtener autorización del titular para el tratamiento de sus datos personales, así como los casos en los cuales no se requiere autorización del titular.

Deberes de los responsables del tratamiento: la política indica cuáles son los deberes de los responsables y/o encargados del tratamiento de los datos personales, para lo cual debe contener un compromiso o acuerdo de uso y manejo de la información entregada bajo su custodia, a través del cual todo funcionario, contratista y/o proveedor vinculado a la entidad, deberá firmar un compromiso de no divulgar la información interna y externa que conozca de la entidad, así como la relacionada con las funciones que desempeña en la misma.

La firma del acuerdo implica que la información conocida por todo funcionario y/o servidor público, contratista y/o proveedor, bajo ninguna circunstancia debe ser revelada por ningún medio electrónico, verbal, escrito u otro, ni total ni parcialmente, sin contar con previa autorización del titular, dueño o dependencia a cargo. La política indica desde cuándo se firma el acuerdo de confidencialidad, así como la vigencia del mismo.

El incumplimiento a la política de seguridad y privacidad de la información del Minminas, traerá consigo las consecuencias legales, según la normativa de la entidad y las normas que competen al Gobierno Nacional y territorial en cuanto a seguridad y privacidad de la información se refiere sin excepción.

3. Política de continuidad del negocio o del sistema de gestión y continuidad del negocio (SGCN).

El Ministerio de Minas y Energía (Minminas) en su compromiso con su misión de formular y adoptar políticas dirigidas al aprovechamiento sostenible de los recursos mineros y energéticos para contribuir al desarrollo económico y social del país, realiza los preparativos necesarios y planifica los procedimientos necesarios para dar la respuesta adecuada ante un incidente que ponga en riesgo la continuidad del negocio, desde el instante en el que se declare el desastre o contingencia hasta el regreso a la normalidad.

Con este compromiso, el Ministerio de Minas y Energía establece un sistema de gestión de continuidad del negocio (SGCN) que brinda la resiliencia necesaria para continuar brindando sus funciones críticas de negocio y cumpliendo con sus obligaciones legales y contractuales.

Dentro del compromiso de la alta dirección del Ministerio de Minas y Energía se encuentra el de la revisión periódica de esta política y de todo el sistema de gestión de continuidad del negocio y el de mejorarlo continuamente brindando todo el apoyo a los responsables de gestionarlo.

Objetivos de la continuidad del negocio y planes para alcanzarlos

La alta dirección del Ministerio de Minas y Energía se asegurará de establecer los objetivos de continuidad del negocio y de comunicarlos a los procesos críticos y a todos los interesados, de acuerdo con sus competencias.

Para esto establecerá el plan de implementación que permita alcanzar los objetivos de continuidad de negocio.

Para tal fin, el ministerio acoge los siguientes objetivos de continuidad del negocio:

• Continuar con las operaciones del ministerio y sus servicios críticos a un nivel de servicio aceptable que permita cumplir con sus obligaciones legales y contractuales.

• Minimizar la exposición del ministerio a sanciones legales por incumplimiento con las partes interesadas.

• Mitigar los efectos negativos que puedan producirse en los planes estratégicos del ministerio.

• Mantener la reputación e imagen del ministerio.

El Ministerio de Minas y Energía debe determinar quién será el responsable de cada objetivo, qué hará para lograrlo, qué recursos (sic).

4. Política de recuperación ante desastres.

Objetivo, alcance y usuarios

El propósito de esta política es definir el objetivo, alcance y reglas básicas para la gestión de la continuidad de la operación de tecnologías de informática y comunicaciones del Ministerio de Minas y Energía, Minminas.

Esta política se aplica a todo el sistema de gestión de la continuidad de la operación de TIC del Minminas, pero en particular al sistema de recuperación ante desastres (DRP, por su sigla en inglés).

Los usuarios de este documento son todos los empleados del grupo TIC del Minminas, así como también todos los proveedores y socios que cumplen alguna función con la operación de tecnologías de información y comunicaciones de la entidad.

Documentos de referencia

• Norma ISO/IEC 22301 de 2012

• Norma ISO/IEC 27001:2013

• Manual para la recuperación de desastres de los servicios que presta el grupo TIC del Minminas.

Gestión de la continuidad de la operación de TIC

Objetivo

El objetivo de la gestión de la continuidad de la operación de TIC es reducir la probabilidad de interrupciones del negocio. En el caso que se produjera una interrupción, asegurar que la misma no exceda los objetivos de tiempo de recuperación y garantizar la disponibilidad de todos los recursos necesarios para la recuperación.

Alcance

La gestión de la continuidad de la operación de TIC se implementa para la gestión tecnológica de información y comunicación del Ministerio de Minas y Energía, con especial atención sobre las actividades identificadas como críticas durante el análisis de impactos en el negocio.

Las ubicaciones de operación de TIC del MME incluidas en el alcance:

• Sede principal calle 43 # 57-31 CAN

Unidades organizativas incluidas en el alcance:

• Grupo TIC - secretaría general

Premisa

Partiendo de la premisa de que el Minminas no cuenta con un sistema de gestión de continuidad de negocio (SGCN) formal, esta política hace parte del plan de recuperación ante desastres de TIC (DRP-TIC), el cual a su vez hace parte del plan de continuidad de tecnología (PC-TIC) que deberá ser implementado por el ministerio.

Productos y servicios clave

Los siguientes productos y servicios clave son suministrados por la gestión del grupo TIC dentro del alcance definido en la sección anterior.

Los sistemas de información críticos y el entorno tecnológico que se requiere para su normal operación, corresponden:

• Sistema de información de combustibles líquidos (Sicom) (entregado a un tercero bajo el esquema de administración delegada y hosting de infraestructura HW y SW a nivel de producción y contingencia).

• Directorio activo

• Portal web

• Sistema de correspondencia y fondos acumulados P8

• SARA

• SI.MINERO

• Sigme-TMS

• NEON

• SUIME3

• GLP

La gestión de la continuidad de la operación de TIC debe garantizar que los productos mencionados precedentemente se recuperarán a un nivel predefinido.

Responsabilidades para la gestión de la continuidad de la operación de TIC

Responsabilidades generales:

El administrador del centro de cómputo es el responsable de garantizar que la gestión de los planes de recuperación ante desastres TIC sean implementados de acuerdo con esta política y de garantizar los recursos necesarios.

El outsourcing de administración tecnológica del Ministerio de Minas y Energía es responsable de la implementación operativa y del mantenimiento de la gestión de los planes de recuperación ante desastres de TIC.

• El grupo TIC debe revisar la gestión de los planes de recuperación ante desastres de TI al menos una vez por año o cada vez que se produzca una modificación significativa, y debe elaborar un informe de la revisión y los simulacros del mismo, una vez implementado, por lo menos dos veces al año. El objetivo de la revisión es establecer la conveniencia, adecuación y eficacia de los planes de recuperación de desastres implementados, en aras de lograr la funcionalidad del sistema de gestión de la continuidad de la operación de TIC.

El secretario general del Ministerio de Minas y Energía tiene la función de promover el desarrollo e implementación de programas sistematizados y asesorar al ministro en la formulación de políticas, normas y procedimientos para la administración de recursos humanos, físicos, económicos, financieros e informáticos del ministerio. En este sentido, promueve que la gestión de la continuidad de la operación de TIC sea implementada bajo la presente política.

El administrador del centro de cómputo y el outsourcing de administración tecnológica del Ministerio de Minas y Energía son responsables de la implementación operativa y del mantenimiento del sistema de gestión de la continuidad de la operación de TIC.

• El grupo TIC debe revisar el sistema de gestión de la continuidad de la operación de TIC, al menos una vez por año o cada vez que se produzca una modificación significativa, y debe elaborar un informe de la revisión. El objetivo de la revisión es establecer la conveniencia, adecuación y eficacia del sistema de gestión de la continuidad de la operación de TIC, con el fin de apoyar eficientemente la funcionalidad del SGCN.

• La mesa de trabajo de gestión de cambios y continuidad del negocio del Ministerio de Minas y Energía debe revisar el SGCN al menos una vez por año o cada vez que se produzca una modificación significativa, y debe elaborar un informe de la revisión. El objetivo de la revisión por parte de la mesa de trabajo es establecer la conveniencia, adecuación y eficacia del SGCN.

Responsabilidades específicas:

• El administrador del centro de cómputo es el responsable de adoptar e implementar el plan de capacitación y concienciación que corresponde a todas las personas que cumplen una función en la gestión de la continuidad de la operación de TIC.

• Los preparativos relacionados con la continuidad de la operación de TIC deben ser probados y verificados utilizando diversos métodos para establecer hasta qué punto son accesibles. Para ello, el administrador del centro de cómputo y el outsourcing de administración tecnológica del Ministerio de Minas y Energía, una vez se desarrollen las acciones que conlleven su implementación, deben redactar un plan de prueba y verificación que debe ser aprobado por la coordinación del grupo TIC. Luego de cada prueba y verificación, debe elaborar un informe de implementación.

El administrador del centro de cómputo y el outsourcing de administración tecnológica del Minminas son los responsables de adoptar e implementar el plan de mantenimiento y revisión del plan de recuperación ante desastres de TIC para que todos los elementos de la continuidad de la operación de TIC estén operativos y actualizados.

• Cada vez que se activa un plan de contingencia, un plan de recuperación ante desastres, o un plan de respuesta a los incidentes, el administrador del centro de cómputo es el responsable de supervisar la eficacia de la gestión de la continuidad de la operación de TIC.

Comunicación de la política

El coordinador del grupo TIC debe asegurarse de que todos los funcionarios y/o servidores públicos, contratistas del grupo TIC y los líderes funcionales de los servicios de TIC del Minminas, como también los proveedores que cumplen una función en la gestión de la continuidad de la operación de TIC, estén familiarizados con esta política.

Validez y gestión de documentos

El propietario de este documento es el coordinador del grupo TIC, que debe verificar, y si es necesario actualizar, el documento por lo menos una vez al año.

Al evaluar la efectividad y adecuación de este documento, es necesario tener en cuenta los siguientes criterios:

• Cantidad de funcionarios y/o servidores públicos, contratistas, terceros y proveedores que no conocen este documento.

• No conformidad de gestión de la continuidad de la operación de TIC con disposiciones legales, obligaciones contractuales y demás documentos internos del Ministerio de Minas y Energía.

• La ineficacia de la implementación y mantenimiento de la gestión de la continuidad de la operación de TIC, se mide con base en los planes de pruebas y revisión de incidentes.

• Responsabilidades ambiguas para la implementación de la gestión de la continuidad de la operación de TIC.

5. Políticas de seguridad y privacidad de la información.

5.1. Política de gestión de activos.

Los activos de información involucrados en todos los procesos de la entidad, son propiedad del Ministerio de Minas y Energía, y se proporcionan a las partes interesadas, para cumplir con el propósito de la función pública.

La información gestionada en todos los procesos del Ministerio de Minas y Energía, debe cumplir con lo siguiente:

• Asignar un responsable del activo de información, quien debe ser el líder funcional.

• Mantener el inventario de activos actualizado.

• Clasificar y proteger.

• De acuerdo con la clasificación de los activos y mecanismos de protección, determinar a quién se le permite el manejo de la información, el nivel de acceso a la misma y los procedimientos seguros para su adecuado tratamiento, el cual debe estar plasmado en un procedimiento formal.

• La clasificación de los activos se realizó de acuerdo al tipo de activo, por ejemplo, hardware, software, servicio, personas, la cual debe revisarse periódicamente o cuando se presenten cambios en la información o en la estructura que puedan afectarla.

• Los activos de información que contienen datos personales, deben estar en cumplimiento con la Ley 1581 de 2014.

5.2. Política uso aceptable de activos.

Las partes interesadas son responsables de un adecuado y racional uso de los activos de información que se usan en los procesos del Minminas. Es decir, no se pueden usar para propósitos diferentes para los cuales fueron definidos o para temas personales.

Las partes interesadas, aceptan no compartir las contraseñas o permitir el acceso no autorizado a las cuentas otorgadas para utilizar los servicios brindados por la entidad y así mismo es responsable por el manejo adecuado de la información y las acciones que por mal uso se deriven de esos accesos.

Por lo tanto, se implementarán medidas adecuadas y se fortalecerá una cultura para reportar cualquier anomalía identificada, al oficial de seguridad de la información, de acuerdo con los procedimientos establecidos, con el objeto de gestionar los riesgos e incidentes de seguridad que se puedan presentar en la entidad.

Se establece que los datos de acceso, son un elemento personal e intransferible, las partes interesadas asumen la responsabilidad sobre el buen o mal uso que se dé sobre los sistemas de información del Minminas.

La información del Minminas, debe ser respaldada de forma frecuente y de acuerdo a las políticas validadas y revisadas del SGSI, por el oficial de seguridad de la información. Su almacenamiento debe estar en lugares apropiados y adecuados, en los cuales se garantice que la información está segura y podrá ser recuperada en caso de un desastre o de incidentes presentados.

El Minminas proporciona el hardware y el software requerido para los procesos de la entidad. Los datos e información creados, almacenados y recibidos, serán propiedad de la entidad; las partes interesadas, podrán realizar backup de sus archivos personales o de información pública, para poder copiar cualquier tipo de información etiquetada, para lo cual debe solicitar autorización al líder de proceso involucrado y con copia al oficial de seguridad de la información.

La copia, sustracción, daño intencional o utilización para fines distintos a las labores propias de la entidad, serán sancionadas de acuerdo con las normas y legislación vigentes aplicables.

5.3. Política uso correo electrónico.

Toda comunicación por correo electrónico entre las partes interesadas, debe efectuarse mediante el uso del sistema aprobado por Minminas (correo institucional). Toda información transmitida por este medio es considerada como propiedad de la entidad.

Las partes interesadas, no podrán enviar correos internos o externos, que puedan perjudicar la imagen de la entidad. Así mismo, estos son responsables del contenido de las comunicaciones enviadas, por lo cual se debe revisar y validar la información a enviar a través del correo electrónico institucional.

Todo correo saliente debe ir con firma de pie de página del remitente sin excepción.

En el caso de que se reciba una comunicación o correo electrónico sospechoso, de alguien desconocido o spam, debe reportarlo de inmediato, sin abrirlo, a la mesa de ayuda de tecnologías de información institucional o al correo electrónico designado y divulgado para esta labor, que actualmente es jcarce@minminas.gov.co

El Minminas se reserva el derecho a monitorear, auditar y vigilar los correos electrónicos institucionales para garantizar que sea utilizado solo para propósitos laborales, mediante una herramienta controlada en su uso por el oficial de seguridad de la información, sin que tenga acceso al contenido de los mismos.

5.4. Política uso de internet.

La utilización del servicio de internet ofrecido por el Minminas, debe estar limitado únicamente a asuntos laborales. El uso inadecuado o abuso del servicio de Internet por las partes interesadas, dará lugar a procesos de investigación y sanciones disciplinarias.

La navegación en internet debe realizarse de forma razonable y con propósitos laborales.

El uso de redes sociales está restringido dentro de la entidad, teniendo en cuenta que esto puede generar problemas de seguridad. La entidad debe garantizar que las dependencias responsables de publicar información institucional a través de estos medios lo pueda hacer adecuadamente y pueden asesorarse con el oficial de seguridad de la información previamente.

Cada parte interesada, es responsable de asegurar que el uso de redes externas no comprometa los activos de información de la entidad, teniendo en cuenta que son fuentes usadas para hurto de información y de explotación de vulnerabilidades de seguridad.

Está prohibido el ingreso a páginas que atenten contra la moral y las buenas costumbres de la entidad. No se permite la navegación a sitios con contenidos contrarios a la ley o que representen peligro para el Minminas como: pornografía, terrorismo, hacktivismo, segregación racial u otras fuentes definidas por el oficial de seguridad de la información y aprobado por una mesa de trabajo del plan de desarrollo administrativo (PDA).

No está permitido descargar programas sin autorización institucional, ni almacenar información personal.

5.5. Política clasificación de la información.

Toda información que se gestione en la entidad de acuerdo con su criticidad, sensibilidad y reserva, teniendo en cuenta las leyes y normatividad vigentes que afecten al ministerio, se deberá generar un procedimiento de clasificación de la información, para que los propietarios de la misma la cataloguen según los niveles definidos sin excepción.

Los líderes de cada proceso deben velar porque se realice la clasificación de la información manejada en su proceso, así como de revisar anualmente la clasificación de los activos involucrados en el proceso, y de ser necesario realizar las actualizaciones requeridas.

El comité de seguridad y privacidad de la Información debe realizar la gestión para socializar y divulgar el procedimiento a todas las partes interesadas de la entidad para su estricto cumplimiento.

En cumplimiento de la Ley 1712 de 2014, por la cual se crea la ley de transparencia y del derecho de acceso a la información pública nacional y según las definiciones del artículo 6º, se deben manejar los siguientes tres (3) niveles de clasificación:

• Información pública

Esta información es creada en desarrollo de la misión de la entidad, la cual puede ser publicada para dar cumplimiento a la normatividad aplicable o política de divulgación de la entidad. La información está disponible para las partes interesadas y la ciudadanía en general.

Ejemplos de este tipo de información: plan de auditoría independiente, plan de adquisiciones, requerimiento de información de la Procuraduría, rendición de cuentas sobre la gestión de la entidad, indicadores financieros, procesos y procedimientos de atención a la ciudadanía.

• Información pública clasificada

Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el artículo 18 de esta ley.

Ejemplos de este tipo de información: liquidación de nómina de funcionarios, informes gestión de combustible, peticiones quejas y reclamos presentadas por los usuarios, secretos comerciales, industriales y profesionales.

• Información pública reservada

Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso por daño de intereses públicos consagrados en el artículo 19 de esta ley.

Ejemplo de este tipo de información: investigaciones de procesos disciplinarios, planos de exploración de pozos petroleros y minas, puntos de ubicación de almacenamiento y distribución de combustible, diagnósticos y recomendaciones de las partes interesadas.

5.6. Trae tu propio dispositivo (BYOD).

El acceso físico a las instalaciones del Minminas, de los dispositivos personales como portátiles, tabletas, notebook, entre otros, de propiedad de las partes interesadas, serán controlados, registrados y aprobados previamente para su uso en la red de la entidad por parte de los grupos de gestión de recursos físicos y el grupo TIC, validados por el oficial de seguridad informática del contrato de mantenimiento preventivo y correctivo vigente en la entidad (verbigracia Selcomp), o quien haga sus veces, sin excepción.

Así mismo, se realizan campañas de sensibilización y concientización, acerca de las buenas prácticas de seguridad informática, equipos desatendidos y aseguramiento de los dispositivos para que estén en cumplimiento de los requerimientos mínimos de seguridad de la información, como por ejemplo un software de antivirus y actualizaciones de parches al día.

Responsabilidad por los dispositivos

• El Minminas no asume ninguna responsabilidad por los dispositivos personales de las partes interesadas que ingresen a la entidad.

• La entidad no asume ninguna responsabilidad por la información contenida en los dispositivos personales de las partes interesadas que ingresen a la entidad.

• Los dispositivos personales pueden estar sujetos a revisión o investigación en caso de ser necesario, previa firma autorizando el acceso al dispositivo por el propietario.

• El grupo de TIC no proporcionará apoyo o soporte técnico alguno a dispositivos personales.

Uso responsable de tecnología

• Las partes interesadas deben usar contraseñas complejas, seguras y no compartirlas por ningún motivo.

• Si el dispositivo personal requiere conectarse a la red inalámbrica de la entidad, debe estar justificado el requerimiento, validado y aprobado por el oficial de seguridad de la información, sin excepción.

• El software instalado en los dispositivos personales que hagan uso de los sistemas y/o activos de información de la entidad deben estar correctamente licenciados.

• Las partes interesadas deben cumplir con todas las políticas de seguridad de la información de Minminas.

• Se debe controlar los dispositivos personales mediante el uso de una herramienta o solución de administración de dispositivos móviles (del inglés, MDM) para la entidad.

5.7. Política dispositivos móviles.

El Minminas controla, gestiona y aprueba el manejo de los dispositivos móviles (teléfonos inteligentes, portátiles, discos duros, USB, DVD) institucionales que hagan uso de los sistema de información y/o equipos de la entidad previa aprobación del oficial de seguridad de la información y velará por el uso adecuado y seguro de los mismos, para tal caso se recomienda definir un procedimiento para que este control sea implementado y que requiera la aprobación por la mesa de trabajo de seguridad y privacidad de la información.

• El oficial de seguridad de la información definirá las opciones mínimas requeridas para la protección, configuraciones aceptables e instalación de antivirus para/de los dispositivos móviles de la entidad.

• El grupo TIC debe activar la opción de cifrado para los dispositivos móviles institucionales haciendo imposible la copia o extracción de datos si no se conoce el método de desbloqueo.

• El grupo TIC debe configurar la opción de borrado remoto de información en los dispositivos móviles institucionales, con el fin de eliminar los datos y restaurar los valores de fábrica de manera remota, para evitar divulgación no autorizada de información en caso de pérdida o hurto.

• El grupo TIC debe garantizar las copias de seguridad de la información contenida en los dispositivos móviles institucionales.

• Las partes interesadas deben evitar el uso de los dispositivos móviles institucionales en lugares que no les ofrezcan garantías de seguridad física para evitar pérdida o hurto.

• Las partes interesadas no deben modificar las configuraciones de seguridad, ni desinstalar software o instalar programas en los dispositivos móviles institucionales bajo su responsabilidad.

• Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.

• Se debe controlar los dispositivos personales mediante el uso de una herramienta o solución de administración de dispositivos móviles (MDM) para la entidad.

5.8. Política de teletrabajo.

El oficial de seguridad de la información autorizará las actividades de teletrabajo cuando se implementen los controles de seguridad apropiados, de tal manera que se cumpla con la Ley 1221 de 2008 en el Minminas y las políticas de seguridad de la información definidas para el SGSI.

El lugar en el cual se llevarán a cabo las actividades de teletrabajo, deben contar con la protección física adecuada contra hurto, daño o pérdida del equipo y/o de la información, divulgación no autorizada de información, acceso remoto no autorizado a los sistemas de información de la entidad o un mal uso de los mismos.

El oficial de seguridad de la información debe verificar que las actividades donde se realicen las actividades de teletrabajo resguarden adecuadamente los equipos e información requeridos, así como los mecanismos de seguridad para garantizar la integridad, disponibilidad y confidencialidad de la información.

Los equipos utilizados para el teletrabajo deberán contar como mínimo con la protección de antivirus, requisitos de barreras de firewall y demás soluciones requeridas para salvaguardar adecuadamente la información de la entidad.

Se define con antelación entre el Minminas y las partes interesadas, el trabajo a realizar, la información y los sistemas a los que requiere acceder así como el horario al cual podrá acceder, el cual debe estar documentado y aprobado previamente por el oficial de seguridad de la información.

El oficial de seguridad de la información, realizará revisión periódica a las conexiones remotas sobre los sistemas de información y la plataforma tecnológica del Minminas y emitirá las recomendaciones respectivas para su ejecución y cumplimiento.

Actualmente el oficial de seguridad informática está en cabeza de Selcomp, compañía que tiene vigente el contrato de mantenimiento de la plataforma TIC de la entidad.

5.9. Política pantalla y escritorio limpio.

El Minminas establece las pautas para preservar la información por medio de buenas prácticas en el manejo de documentos físicos y lógicos, medios de almacenamiento removibles y pantallas de los dispositivos de procesamiento de información durante y fuera de la jornada laboral.

Las partes interesadas deben conservar el escritorio libre de documentos o dispositivos de almacenamiento con el fin de evitar acceso no autorizado, pérdida y daño de la información de la entidad.

La información confidencial, ubicada en medios físicos o impresos debe ser guardada bajo llave cuando no está siendo utilizada, especialmente cuando la oficina se encuentre vacía.

Las partes interesadas deben bloquear la pantalla de su computador con el protector de pantalla, cuando no esté utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de trabajo.

Los documentos que contienen información confidencial deberán ser retirados inmediatamente de la impresora, fotocopiadora o fax, por las partes interesadas responsables, no se deben dejar sin custodia o abandonadas, si esto sucede será tratado como un incidente de seguridad de la información.

5.10. Política control de acceso.

El oficial de seguridad de la información debe validar todo acceso a nivel de red, instalaciones físicas, sistemas operativos, bases de datos y aplicaciones, los controles deben estar soportados por una cultura de riesgos y seguridad. Así mismo, limitar el acceso a la información de la entidad al mínimo requerido (principio del mínimo privilegio), para la realización de los roles o funciones. Además, se requiere permitir identificar de manera inequívoca cada parte interesada y hacer un seguimiento periódico o aleatorio de las actividades que estos realizan para la entidad.

Accesos de las partes interesadas (usuarios)

• El oficial de seguridad de la información define los lineamientos para la configuración de contraseñas seguras que aplicarán sobre los usuarios en todos los sistemas de información del Minminas, y la mesa de trabajo de seguridad y privacidad de la información aprueba respectivamente, para lo cual se puede tener en cuenta aspectos como longitud, complejidad, cambio periódico cada 60 días, control histórico, bloqueo por número de intentos fallidos en la autenticación y cambio de contraseña en el primer acceso, entre otros.

• Cada dueño de proceso o dependencia con copia al oficial de seguridad de la información, debe realizar la solicitud al grupo TIC para crear, modificar, bloquear o eliminar cuentas de usuarios sobre las redes de datos, los recursos tecnológicos y los sistemas de información de la entidad, acorde con el procedimiento establecido por el SGSI.

• Los dueños de proceso deben definir los perfiles de usuario y roles y aprobar las solicitudes de acceso a dichos recursos de acuerdo con los perfiles establecidos y diligenciando la matriz de roles y perfiles requerida. Así mismo, deben verificar y ratificar semestralmente todas las autorizaciones sobre sus recursos tecnológicos y sistemas de información.

• Para las partes interesadas, no están autorizadas en compartir sus cuentas de usuario y contraseñas con otros usuarios, por lo que si se detecta esta situación, será gestionado como un incidente de seguridad de la información y con las sanciones pertinentes.

5.11. Accesos a sistemas de información.

• El dueño o jefe de cada dependencia del Minminas, debe aprobar el acceso a los sistemas de información que le competen, de acuerdo con la matriz de roles y perfiles establecida para los usuarios y validados por el oficial de seguridad de la información.

• El dueño de cada proceso debe monitorear periódicamente los roles y perfiles definidos en los sistemas de información y los privilegios asignados a los usuarios que acceden a ellos y solicitar al grupo TIC los cambios necesarios.

5.12. Política manejo de proveedores.

Se establecen mecanismos de control en las relaciones con los proveedores del Minminas, con el objetivo de asegurar el cumplimiento de todas las políticas, normas y procedimientos de seguridad de la información aplicables.

Las partes interesadas, responsables de la gestión de firma de contratos o convenios con los diferentes proveedores del Minminas, deben asegurar que se realice la adecuada divulgación, entendimiento y aceptación de las políticas, normas y procedimientos de seguridad de la información del Minminas a dichas partes sin excepción, esta política se puede anexar como un punto adicional en el contrato establecido y validado previamente por el grupo de gestión contractual.

El oficial de seguridad de la información junto con la parte interesada responsable, realizará una visita anual al proveedor crítico, para revisar en sitio el cumplimiento de la seguridad de la información del objeto contratado. Adicionalmente, realizará el respectivo seguimiento a los planes de acción y remediación en tiempos prudentes definidos en conjunto con el proveedor crítico.

Del mismo modo, se puede apoyar con la oficina de control interno, para solicitar acompañamiento en las visitas, con el fin de verificar el cumplimiento de todos los compromisos del proveedor crítico, y validar que estén de acuerdo con lo requerido por el Minminas.

5.13. Política gestión de riesgos.

Se adopta al SGSI la guía para la administración del riesgo elaborado por el DAFP (Departamento Administrativo de la Función Pública)(1) para la gestión de riesgos integral para el Minminas, que así misma está basada en la ISO 31000 para la gestión del riesgo. A nivel interno se adoptará el procedimiento administración del riesgo AG-P-05(2) de la entidad.

Los riesgos de seguridad de la información identificados en el Minminas, deben tener un tratamiento adecuado que permita minimizarlos. Se debe realizar seguimiento de manera trimestral por el líder o dueño del proceso, para asegurar su correcta gestión y tratamiento.

Los riesgos de seguridad de la información deben ser incluidos en todas las matrices de riesgos de todos los procesos del Minminas.

Los riesgos de seguridad de la información, deben ser tratados en/por la mesa de trabajo de seguridad y privacidad de la información y evidenciar por medio de registros el seguimiento de los mismos, por lo menos dos (2) veces al año.

Toda adquisición de nueva tecnología o soluciones de seguridad informática, debe basarse en los resultados de los riesgos de seguridad de la información realizados en el Minminas previamente, para que tengan una base que sustente las inversiones y los beneficios o el tratamiento al riesgo establecido.

5.14. Política con terceras partes (proveedores).

Se debe firmar sin excepción un acuerdo de confidencialidad entre ambas partes para proteger la información del Minminas, antes de iniciar la ejecución del mismo. El acuerdo debe definir claramente el tipo de información que intercambiarán las partes, los medios, la frecuencia y los procedimientos a seguir. El oficial de seguridad de la información y la oficina de control interno, valida que dichos acuerdos existan de manera periódica con los proveedores críticos del Minminas.

5.14.1. Durante la prestación del servicio.

El oficial de seguridad de la información debe verificar en el momento de la conexión y, cuando se considere pertinente, el cumplimiento de las condiciones de seguridad mínimas de los equipos tecnológicos y los dispositivos móviles de los proveedores críticos en la red de datos de la entidad.

El oficial de seguridad de la información debe verificar las condiciones y configuraciones de comunicación segura, cifrado y transmisión de información desde y hacia los proveedores críticos de servicios.

Los supervisores y/o interventores de los contratos y con apoyo del oficial de seguridad de la información, deben monitorear periódicamente los proveedores críticos de la entidad, revisar el cumplimiento de los acuerdos de niveles de servicio, los acuerdos de confidencialidad, los acuerdos de intercambio de información, procedimientos de entrega o eliminación de la información, gestión de riesgos y los compromisos de seguridad de la Información para que se cumplan sin excepción.

5.15. Política de recurso humano.

En toda vinculación de personal al Minminas, la subdirección de talento humano debe verificar que la documentación anexa a la hoja de vida sea veraz y acorde al cargo requerido, especialmente para los cargos críticos de la entidad(3), también se recomienda realizar estudios previos de seguridad física, para las partes interesadas que por sus funciones, responsabilidades y acceso a la información clasificada como pública reservada lo ameriten.

Se debe garantizar la firma de un acuerdo de confidencialidad antes de iniciar labores o actividades dentro del Minminas, para todas las partes interesadas, el cual se hace extensivo a aquellos proveedores críticos que tengan acceso a la información reservada de la entidad.

Se debe divulgar y capacitar a todas las partes interesadas cuando se vinculan o ingresan al Minminas y anualmente en temas de seguridad de la información, en los diferentes procedimientos de protección de la información existente en la entidad, resultado de la implementación del SGSI en el Minminas. Así mismo lograr el compromiso y adaptación de una cultura basada en riesgos de seguridad de la información, para lo cual se puede consultar al oficial de seguridad de la información, en caso de duda o desconocimiento de un procedimiento formal de seguridad, ya que esto no exonerará del proceso disciplinario correspondiente a las violaciones de las políticas o normas de seguridad de la información que existan publicadas en el sistema de información SIGME del Minminas.

5.16. Política de gestión de incidentes de seguridad.

El Minminas incentivará a que todas las partes interesadas que gestionen activos de información, reporten incidentes de seguridad o cualquier evento que pueda afectar los criterios de confidencialidad, integridad, disponibilidad y privacidad de la información o aquellos aspectos que sean sospechosos o derivados del mal uso de los mismos en la entidad.

Se asigna como responsable para la entidad de la gestión de los incidentes de seguridad al oficial de seguridad de la información y la mesa de trabajo de seguridad y privacidad de la información para toma de decisiones, quienes deben asegurar que se realiza una adecuada evaluación del impacto en el ministerio, de los incidentes de seguridad presentados y relevantes, así como definir los procedimientos de preparación, detección y análisis, contención/respuesta, erradicación y recuperación del manejo dado al incidente para el restablecimiento de la plataforma y/o servicio afectado.

La alta dirección es la única dependencia autorizada para reportar los incidentes de seguridad de la información ante las autoridades competentes previa validación de la oficina asesora jurídica del Minminas, así como de hacer pronunciamientos oficiales a las partes interesadas.

Cualquier parte interesada debe informar los incidentes de seguridad de la información que identifique o que reconozca su posibilidad de materialización, para lo cual se informa vía telefónica, correo electrónico o de manera verbal al coordinador del grupo TIC del Minminas, quien a través del oficial de seguridad informática, rol actualmente vigente en el contrato de mantenimiento vigente, se prioriza su recepción, tratamiento y solución, acorde con el uso de las buenas prácticas y recomendaciones para estos casos. A nivel transversal y para contemplar no solo, el tratamiento y manejo de los incidentes informáticos, sino también los eventos relacionados con incidentes de información que no son digitales o electrónicos, será implementado un procedimiento avalado por oficial de seguridad de la información y la oficina de control interno, por los canales destinados para ello, que le permita a la entidad contar con una herramienta o mecanismo de registro canalización, trazabilidad y solución apropiada para este fin.

El oficial de seguridad de la información y la mesa de trabajo de seguridad y privacidad de la información del Minminas, deben registrar todos los incidentes presentados, gestionar métricas y generar recomendaciones de mejora sobre los mismos, con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta para los incidentes futuros.

Los incidentes de seguridad de la información reportados y gestionados deben ser presentados a la mesa de trabajo administrativo institucional de manera trimestral, para la toma de decisiones y seguimiento de cierre o solución de manera oportuna y eficaz.

Se recomienda al Minminas adoptar la ISO 27035:2011 referente a la implementación de los procedimientos de gestión de incidentes de seguridad necesarios para evidenciar calidad y mejora continua al respecto, tales como:

— Identificar, comunicar y evaluar los incidentes de la seguridad de la información.

— Contestar, gestionar los incidentes de la seguridad de la información.

— Identificar, examinar y gestionar las vulnerabilidades de seguridad de la información.

— Aumentar la mejora de la continuidad de la seguridad de la información y de la gestión de los incidentes, como respuesta a la gestión de incidentes de la seguridad de la información y de las vulnerabilidades en el Minminas.

5.17. Política gestión del cambio.

El Minminas garantiza que cualquier cambio a los equipos o sistemas de información se realice de manera gestionada y controlada, evaluando los riesgos previamente y acorde a las necesidades y requerimientos de la entidad bajo la metodología de ISO 20000 o ITIL.

Todo requerimiento de creación, mejora o reporte que genere un cambio en los sistemas de información del Minminas, debe ser solicitado o notificado formalmente al grupo TIC previamente para su validación y se aprobará por el dueño del proceso afectado en el cambio.

El Minminas conforma una mesa de trabajo de cambios para la entidad, para que el oficial de seguridad de la información y junto con el grupo TIC, evalúen y autoricen la instalación, cambio o eliminación de componentes de la plataforma tecnológica y los sistemas de información de la entidad.

El grupo TIC garantiza que la implementación de los cambios se lleve a cabo sin generar discontinuidad de la operatividad y la alteración de los procesos para el cumplimiento de la misión institucional.

Los responsables de los cambios deben informar antes de la implementación de un cambio a las dependencias o partes interesadas, que puedan verse afectados, con el fin de evitar falta de operatividad.

Todo cambio realizado a un recurso informático y/o sistemas de información debe quedar formalmente documentado desde la solicitud hasta su evaluación, lo cual proveerá un mecanismo de trazabilidad y seguimiento al cumplimiento de los procedimientos establecidos.

5.18. Política respaldo y copias de seguridad.

El Minminas garantiza la generación continua de copias de respaldo y almacenamiento seguro de la información crítica, proporcionando los recursos para medios de respaldo adecuados y estableciendo los procedimientos y mecanismos para la realización de estas actividades de manera efectiva, con el fin de asegurar que toda la información esencial de la entidad pueda ser restaurada en caso de ser necesario.

El almacenamiento de la información del Minminas se debe realizar de manera interna y externa, de acuerdo a su clasificación y con previa validación del oficial de seguridad de la información.

Las copias de respaldos se deben almacenar en un sitio lejano con protección física, lógica y ambiental, a una distancia suficiente para escapar a cualquier daño causado por desastres. El sitio externo donde se resguarden las copias de respaldo debe contar con los controles de seguridad física y medioambiental apropiados y en lo posible estar certificados en la gestión de seguridad de la información.

Se recomienda usar otra locación externa o ver la viabilidad de uso de empresas en el mercado que se dedican a esto de manera segura y confiable.

Se definen procedimientos de restauración para los medios de respaldo, se verificarán y probarán trimestralmente para garantizar la disponibilidad de la información en caso de contingencia o desastre y se deben reportar los resultados al oficial de seguridad de la información y a la oficina de control interno.

Nota: actualmente, las cintas de los backups de respaldo se guardan en la cintoteca del archivo central, a la cual se le invirtieron recursos importantes para que cumpliera con los estándares mínimos.

5.19. Políticas de eliminación y destrucción de información.

El Minminas establece los lineamientos para que la eliminación, destrucción o borrado seguro de la información, se realice de forma adecuada en el activo de información que la contenga. La eliminación segura de información es un mecanismo de control para prevenir la divulgación de información confidencial de la entidad.

La eliminación segura de medios físicos (USB, discos duros, entre otros), se puede realizar con diversos mecanismos técnicos tales como: sobreescritura, desmagnetización o destrucción física. De acuerdo al medio, se establece la herramienta adecuada y el procedimiento a seguir, tanto de información en medio físico o lógico, se recomienda en la fase de implementación aplicar un procedimiento, basado en las mejores prácticas según las directrices de NIST 800-88, referente al borrado seguro de datos.

El oficial de seguridad de la información con apoyo de la oficina de control interno, puede validar y revisar de manera semestral, la ejecución correcta del procedimiento por el proveedor de alistamiento de equipos.

5.20. Política transferencia de información y cifrado.

El Minminas asegura la protección de la información en el momento de ser transferida o intercambiada internamente y externamente con cualquier otra organización, por lo cual establece procedimientos y controles mínimos requeridos para garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información.

La entidad define modelos de acuerdos de confidencialidad y/o de intercambio de información con los proveedores (terceras partes), que incluyan los compromisos adquiridos y penalidades por el incumplimiento de dichos acuerdos. Entre los aspectos más importantes se consideran los siguientes:

• Responsabilidades y procedimientos para controlar la transmisión y recepción de información.

• Procedimientos para garantizar la trazabilidad y no repudio.

• Responsabilidades en caso de incidentes de seguridad de la información.

• Políticas, procedimientos y normas para proteger la información y los medios contenedores.

• Prohibición de divulgar la información entregada.

• Destrucción segura de la información una vez cumpla el objeto del contrato.

La mesa de trabajo de seguridad y privacidad de la información y el oficial de seguridad de la información definen y establecen procedimientos de intercambio de información segura con las diferentes partes interesadas, que hacen parte de la operación del Minminas, teniendo en cuenta la utilización de medios de transmisión confiables y la adopción de controles y herramientas seguras, con el fin de proteger la confidencialidad e integridad de la información.

La información pública clasificada y pública reservada en medio impreso o físico, debe permanecer en cajones cerrados bajo llave, entrega en mano, embalaje con sellos de seguridad, entre otros mecanismos de seguridad requeridos para proteger la información allí contenida.

Las partes interesadas deben evitar tener conversaciones confidenciales sobre información de la entidad en lugares públicos, oficinas abiertas, ascensores y lugares de reunión social para evitar la escucha o interceptación de información no autorizada.

No está permitido el intercambio de información pública clasificada y reservada de la entidad, por medio telefónico o por correo electrónico, sin las debidas protecciones y controles necesarios que la ameritan por su nivel de clasificación.

Para tal fin, se pueden apoyar en soluciones tecnológicas de cifrado para la información en medio digital. La información física, no se debe dejar abandonada en impresoras, en el puesto de trabajo o un área de circulación alta de personas.

Para el tratamiento de información tipo verbal, se debe tener reserva y solo comentarla en áreas o zonas seguras dentro de la entidad.

5.21. Política gestión de contraseñas.

Para controlar el acceso de la información y restringirla solo al personal autorizado conforme el perfil de acceso, el oficial de seguridad de la información, define los lineamientos para la administración adecuada de contraseñas para la entidad.

Siendo las contraseñas un medio de validación de la identidad digital de un usuario (partes interesadas) y por ende un medio para establecer derechos de acceso a los sistemas de información, el Minminas garantiza la ejecución de actividades que promuevan la conciencia e implementación de mecanismos que permitan controlar que los usuarios siguen buenas prácticas de seguridad en la selección, uso y protección de contraseñas.

Las partes interesadas son responsables del uso de las contraseñas de acceso que se le asignen, para la utilización de los sistemas de información de la entidad, cualquier anomalía al respecto será tratada como incidente de seguridad de la información.

Para la gestión de contraseñas, se define:

• Asignar el uso de contraseñas individuales por cada parte interesada, para determinar responsabilidades por persona.

• Queda prohibido la asignación de contraseñas de acceso compartidas y el uso de cuentas genéricas en los sistemas de información.

• Se permite que los usuarios seleccionen y cambien sus propias contraseñas.

• Las contraseñas deben ser complejas y no deben ser palabras comunes ni tener información personal, por ejemplo: fechas de cumpleaños, nombre de los hijos, placas de automóvil, etc.

• Se debe cambiar la contraseña obligatoriamente la primera vez que el usuario ingrese al sistema de información.

• Se debe cambiar obligatoriamente la contraseña cada 60 días o cuando lo establezca el oficial de seguridad de la información, por temas de incidentes de seguridad.

• Se debe mantener un registro de las últimas 6 contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas.

• Se debe evitar mostrar las contraseñas en pantalla, cuando son ingresadas.

• Las contraseñas no deben registrarse en papel, archivos digitales o dispositivos móviles, a menos que se puedan almacenar de forma segura y el método de almacenamiento seguro esté aprobado por el oficial de seguridad de la información.

• Se requiere modificar todas las contraseñas predeterminadas que por defecto vienen asignadas por los fabricantes en el software y el hardware nuevo y existente (por ejemplo: contraseñas en impresoras, firewall, router, switch, apache, entre otros).

5.22. Política seguridad ambiental.

El Minminas provee, implementa y realiza seguimiento a los mecanismos de seguridad física y control de acceso que aseguren las zonas y perímetros de sus instalaciones físicas y aquellos que le permiten controlar y disminuir los riesgos frente a las amenazas físicas externas e internas y las condiciones medioambientales de los espacios físicos de la entidad.

Las áreas físicas destinadas para el procesamiento o almacenamiento de información pública clasificada o reservada, así como aquellas en las que se encuentren los equipos y sistemas de información y comunicaciones, se consideran áreas o zonas seguras.

Los ingresos y egresos de todo el personal a las instalaciones físicas del Minminas deben ser registrados sin excepción, es decir, que las partes interesadas, deben cumplir completamente con los controles físicos implantados en la entidad.

Todas las partes interesadas del Minminas deben portar el carné siempre en un lugar visible, al igual que los visitantes, mientras se encuentren en las instalaciones de la entidad. En caso de pérdida del carné o tarjeta de acceso a las instalaciones, deben reportarlo a la mayor brevedad posible al grupo de servicios administrativos.

Las solicitudes de acceso a las áreas seguras deben ser aprobadas por el responsable del área física e informar al oficial de seguridad de la información para todas las partes interesadas y visitantes; adicionalmente, siempre debe estar acompañado de un funcionario de dicha dependencia durante toda la visita.

Así mismo, se debe registrar el ingreso de los visitantes a las áreas seguras en una bitácora física ubicada en la entrada de estos lugares de forma visible o mediante un software de control de visitantes.

Todos las partes interesadas y visitantes deben portar una cinta y carné visible mientras permanezcan en las instalaciones del Minminas, sin excepción.

Las personas que se detecten sin el carné, se tratarán como un incidente de seguridad de la información y se hará su respectivo llamado de atención por el incumplimiento de las políticas establecidas por el Minminas.

5.23. Política de seguridad física.

La protección física se llevará a cabo mediante la creación de diversas barreras o medidas de control físicas alrededor de las dependencias donde se encuentran instalados los dispositivos de procesamiento y almacenamiento de la información de la entidad.

El Minminas define los perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado y cualquier otra condición crítica para el correcto funcionamiento de los equipos y sistemas de información.

Un perímetro de seguridad está delimitado por una barrera, por ejemplo, una pared, una puerta de acceso controlado por dispositivo de autenticación como una tarjeta o una sala de recepción atendida por personas. La implementación y la fortaleza de cada barrera estarán definidas por el responsable del área, con el asesoramiento del oficial de seguridad de la información y empresas externas especializadas, de acuerdo a los resultados de la evaluación de riesgos físicos que se debe realizar cada año.

5.23.1. Protección contra amenazas internas y externas.

En la selección de los mecanismos de protección de un área segura se tendrá en cuenta la posibilidad de daño producido por incendio, inundación, explosión, agitación civil y otras formas de desastres naturales o provocados.

De igual manera, se tomarán en cuenta las disposiciones y normatividad asociada a la seguridad física y se considerarán las amenazas a la seguridad que representan los edificios y zonas cercanas.

Se deben realizar estudios externos de seguridad física por entes especializados de manera anual y en acompañamiento del oficial de seguridad de la información.

En la selección de los mecanismos de protección lógica, se deben tener en cuenta amenazas como la ingeniería social, el robo de información, destrucción de información, saboteo a sistemas de información, suplantación de identidad, estafas digitales, código malicioso, denegación de servicio, ataques a los servicios de red, alteración de la página web del Minminas, suplantación de cuentas de correo, ataques de correo no deseado (spam), archivos manipulados con código para explotación, herramientas de acceso remoto no autorizado, entre otros, por lo cual el análisis de riesgos de seguridad de la información y la implementación de controles adecuados pueden reducir la posibilidad de las mismas.

5.23.2. Trabajo en áreas seguras.

La información sobre la naturaleza, localización y disposición de los sistemas de procesamiento y almacenamiento de información del Minminas, es de carácter clasificado y reservado, solo debe ser divulgado a quienes demuestren la necesidad de conocer y sean autorizados por el responsable del área segura y validado por el oficial de seguridad de la información.

Está prohibido el ingreso de equipos de grabación de video y/o audio, fotografía o dispositivos móviles inteligentes que incluyan esas aplicaciones, sin autorización previa del responsable del área segura y validado por el oficial de seguridad de la información.

Se debe diseñar y aplicar protección física y pautas para trabajar en las áreas definidas como seguras en el Minminas, como por ejemplo el centro de cómputo del piso 4, el área de gestión documental, el área de archivo de cada dependencia, el área de equipos de CCTV del primer piso, las oficinas con acceso restringido, como por ejemplo: el despacho del ministro, el cuarto de la planta eléctrica y UPS, el archivo central, el almacén del primer piso, la ventanilla de atención al ciudadano, terraza del edificio (antenas de comunicación), entre otros, como por hacer alusión a los más importantes.

Esas zonas o áreas seguras deben estar demarcadas y con el aviso de acceso restringido, como recomendación.

5.24. Política acciones correctivas.

Se integra el SGSI al sistema de gestión de calidad ISO 9001:2008 existente en la entidad, para la gestión de las directrices para eliminar la causa de no conformidades asociadas con los requisitos de la política de seguridad de la información del Minminas; para identificar, registrar, controlar, desarrollar, implementar y realizar seguimiento a las acciones correctivas necesarias para evitar que se repita la no conformidad, con el apoyo del oficial de seguridad de la información de la entidad.

De acuerdo a la correspondencia y a los vínculos técnicos entre las normas ISO 9001:2008 e ISO 27001:20013, se utiliza el procedimiento de mejora continua AG-P-04 del Minminas que se encuentra aprobado y publicado en el aplicativo web Sigme.

Las acciones correctivas deben ser puestas en conocimiento de la mesa de trabajo de seguridad y privacidad de la información. La oficina de control interno puede hacer el seguimiento al cumplimiento de las mismas. Esto es para conciliar con la oficina de planeación, las acciones correctivas que se pretenden adoptar.

Glosario

Activo de información: cualquier recurso de valor para el Minminas, representado en una persona, proceso o tecnología aplicada, de relevancia e importancia que le permiten cumplir con su rol misional, funcional y operacional.

Alta dirección del Ministerio de Minas y Energía: se refiere al staff del Ministerio de Minas y Energía, conformado por el ministro, viceministros y secretario general.

Áreas seguras: zonas, sitios o locaciones delimitadas con esquemas, sistemas y mecanismos de seguridad (física, electrónica, digital y/o combinada), donde se salvaguardan y protegen activos críticos de una organización, restringiendo su acceso únicamente al personal autorizado, quien está sujeto a protocolos de acceso, vigilancia y control.

Dueño del proceso: hace referencia a la persona, dependencia, funcionario, servidor público, contratista que tiene a su haber actividades o funciones directamente relacionadas con la razón de ser de un proceso o dependencia clave dentro del Minminas.

Firma de pie de página: corresponde a la información al final de cada correo electrónico, donde se identifican los campos de: nombre de la persona que escribe y envía el correo, cargo, profesión, entidad a la que pertenece, dirección, teléfonos (fijo y móvil), ciudad y país, entre otros.

Hacktivismo: acrónimo de hacker y activismo. Hace referencia a “la utilización no-violenta de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines políticos. Estas herramientas incluyen desconfiguraciones de los portales web, redirecciones, ataques de denegación de servicio, robo de información, parodias de sitios web, sustituciones virtuales, sabotajes virtuales y desarrollo de software”. A menudo se entiende por la escritura o reescritura de programas informáticos, a efectos de directa o indirectamente promover o privilegiar una ideología política, y por lo general potenciando estrategias o políticas tales como libertad de expresión, derechos humanos, y ética de la información [Fuente: Wikipedia].

Líderes funcionales: personal que tiene el rol temático dentro las tareas y actividades propias de su dependencia, que conoce en esencia la razón de ser de función dentro de su proceso, sustentada en sus conocimientos, competencias, habilidades, destrezas, experticia, y que además tiene dominio sobre la herramienta TIC de su resorte o dominio, si aplica.

Información crítica: hace referencia a aquellos activos de información (física, impresa o digital), documentos, proyectos, sistemas de información y hasta recursos humanos, que son vitales y de suma importancia, para la gestión misional y operacional del Minminas.

Información etiquetada: información que en algún momento puede ser o estar en el estado de privada, clasificada o reservada y para su control y manejo (copia, publicación) deberá mediar un permiso o autorización especial de su dueño o custodio.

Minminas: abreviación para definir de manera corta al Ministerio de Minas y Energía.

Oficial de seguridad de la información: dentro de una organización, el oficial de seguridad de la información o director de seguridad de la información, del inglés, CISO (Chief Information Security Officer “oficial principal de seguridad de la información”), es el responsable máximo en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.

Los obstáculos y los riesgos de seguridad que las organizaciones confrontan se resuelven con la misma velocidad con los que surgen nuevos, más complejos. El oficial de seguridad de la información, responsable de proteger los negocios del impacto de esos riesgos, necesita de políticas, productos y servicios para dirigir el desafío de mantener la seguridad [Fuente: Wikipedia].

Partes interesadas: en el presente contexto, se refiere a dos actores: a) el Minminas, con la alta dirección a la cabeza, sus delegados o designados en su representación, y b) funcionarios y/o servidores públicos, contratistas, proveedores, operadores TIC al servicio del Minminas, stakeholders.

Proveedores críticos: son aquellas entidades (personas jurídicas) o personas naturales que bajo cualquier modalidad de contratación se encuentran vinculadas con el Minminas, prestando un servicio básico y/o esencial para la funcionalidad y operación de alguno de sus procesos, y donde se les ha delegado, entregado o dejado en custodia parte de sus activos de información relevante o crítica, para el cumplimiento de las labores encomendadas.

Redes externas: cualquier otro vínculo, enlace, sitio web no referenciado o validado por la plataforma de seguridad TIC y fuera del alcance del dominio del Minminas.

Responsable de área segura: persona con conocimientos certificados y acreditados en temas de seguridad física e informática, seguridad de la información, ethical hacking, centros de datos seguros, zonas seguras, entre otros.

Terceros o proveedores: es toda persona, proveedor, que está implicada directamente con vínculo contractual en el Minminas, y tiene a su cargo o responsabilidad el manejo y uso de información para el cumplimiento de las funciones y compromisos adquiridos. Los terceros, también se refiere a todas aquellas personas y/u organismos que interactúan e intercambian información con la entidad a través de cualquiera de sus procesos vigentes.

1 La guía se puede consultar en el siguiente link: http://www.funcionpublica.gov.co/documents/418537/506911/1592.pdf/73e5a159-2d8f-41aa- 8182-eb99e8c4f3ba

2 El procedimiento se puede consultar en el siguiente link: https://www.minminas.gov.co/procesos-y-procedimientos/ Mapa de procesos/ Proceso estratégico “Administración del sistema integrado de gestión”/ Consulta de documentos.

3 Documento consultoría: “Informe análisis impacto al negocio_BIA V2.docx”.