Instituto Geográfico Agustín Codazzi Sede Central

RESOLUCIÓN 578 DE 2012 

(Junio 7)

“Por la cual se adoptan las políticas del sistema de gestión de seguridad de la información del instituto”.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

El Director General del Instituto Geográfico “Agustín Codazzi”,

en uso de las facultades legales, en especial de las conferidas por el Decreto 2113 de 1992, y

CONSIDERANDO:

Que mediante Resolución 175 del 23 de febrero del 2012 esta Dirección General adecua el comité antitrámites, de gobierno en línea y seguridad de la información del Instituto Geográfico “Agustín Codazzi” teniendo en cuenta la Ley 489 de 1998, la Ley 962 de 2005, el Decreto 1151 de 2008, el manual para la implementación de la estrategia de gobierno en línea y el modelo de seguridad de la información para la estrategia de gobierno en línea.

RESUELVE:

ART. 1º—Objeto. Establecer la política del sistema de gestión de seguridad de la información (SGSI), soportada en las políticas de gestión de la seguridad de la información, clasificación y control de activos de información, seguridad respecto al recurso humano (entendiendo sus responsabilidades y aptitudes frente a la seguridad de la información), seguridad física, gestión de comunicaciones y operaciones, control de acceso, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de incidentes y riesgos de seguridad de la información, continuidad de actividades y cumplimiento, que representan la posición de la administración del instituto con respecto a todos los activos de información.

PAR.—Se entiende por activo de información el conocimiento y experiencia adquirida por los servidores públicos del instituto, la creación de información, los procesos, las tecnologías de información, incluido el hardware y el software.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 2º—Ámbito de aplicación. Las políticas contenidas en la presente resolución aplican a funcionarios, contratistas, pasantes, practicantes y proveedores del instituto.

El alcance del sistema de gestión de seguridad de la información está enfocado en los procesos misionales de cartografía, agrología, catastro, geografía, la investigación y desarrollo de las tecnologías geoespaciales y en los procesos estratégicos de evaluación y de apoyo. Adicionalmente, son la base para la implementación de controles de seguridad que reduzcan los riesgos y vulnerabilidades de los activos de información.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 3º—Política del sistema de gestión de la seguridad de la información (SGSI). Esta política contiene en su marco normativo a la política de seguridad de la información, y establece:

“En el Instituto Geográfico “Agustín Codazzi” nos comprometemos a producir, proveer y divulgar información y conocimiento confiables y oportunos, preservando la confidencialidad, integridad y disponibilidad de la información en cartografía, agrología, catastro, geografía y tecnologías geoespaciales de acuerdo a las disposiciones legales y técnicas y a las responsabilidades adquiridas para la satisfacción de los clientes y la protección de la información contra amenazas internas, externas, accidentales o deliberadas, mediante la implementación de buenas prácticas en la gestión de riesgos, el fortalecimiento de la capacidad institucional y la aplicación de buenas prácticas profesionales en la operación bajo un sistema de gestión integrado, que mejore continuamente su eficacia, eficiencia y efectividad”.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 4º—Política de la gestión de la seguridad de la información. La dirección general del instituto ha decidido apoyar activamente la definición, implementación, operación y mejora continua de un sistema de gestión de seguridad de la información, siendo esta una responsabilidad compartida por todos los miembros del instituto.

PAR.—Para efectos de desarrollo de la presente política, se efectuará a través del comité antitrámites, gobierno en línea y seguridad de la información, creado bajo Resolución 175 del 23 de febrero del 2012.

Las actividades de la seguridad de la información están coordinadas por la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, quien nombrará un responsable de seguridad de la información perteneciente a esta, y por el comité antitrámites, gobierno en línea y seguridad de la información, de donde se imparten las responsabilidades y directrices, para dar soporte a la seguridad de la información.

La documentación del sistema de gestión de seguridad de la información estará integrada al sistema de gestión integrado del instituto.

La metodología de riesgos institucional debe incluir los riesgos de seguridad de la información evaluando la disponibilidad, integridad y confidencialidad y debe ser definida por la oficina asesora de planeación.

4.1. Proceso de autorización para los servicios de procesamiento de información.

El proceso de adquisición de nuevos servicios de procesamiento de información para el instituto como la instalación de hardware o software nuevo, o la actualización del ya instalado, así como el uso de servicios de procesamiento de información personales o privados, debe cumplir con los estándares técnicos y de seguridad de la información, definidos por el Instituto y es autorizado por la dirección general a través de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

La información debe ser protegida por todos los servidores públicos del instituto de acuerdo a lo ordenado en el Decreto 2113 - artículo 38 del año 1992 y las cláusulas de confidencialidad incluidas en los contratos de los contratistas y en los convenios suscritos con entidades públicas o privadas para autorización de pasantías o prácticas.

Los coordinadores de GIT y/o supervisores con el apoyo de la oficina asesora jurídica, de acuerdo a la estructura orgánica de la entidad, deben definir las cláusulas de los acuerdos de confidencialidad en los contratos de ingreso y en los convenios de cooperación, teniendo en cuenta los siguientes puntos:

• Definición de la información a ser protegida, su responsable y su clasificación.

• Determinar la duración del acuerdo.

• Descripción de las acciones requeridas una vez terminado el acuerdo.

• Descripción de las responsabilidades adquiridas por los firmantes del acuerdo con el fin de evitar la divulgación no autorizada de información.

• Identificar el uso permitido de la información y los derechos adquiridos por los firmantes con respecto a la confidencialidad, integridad y disponibilidad de la información.

• Establecer los derechos para auditar y monitorear el uso de la información.

• Descripción del proceso de notificación y reporte de divulgaciones no autorizadas o violaciones de la confidencialidad.

• Establecimiento de los términos bajo los cuales debe ser retornada o destruida la información una vez finalice el acuerdo.

• Las facultades para tomar acciones en contra de terceros en cuanto a reparación integral de los perjuicios que sufra como consecuencia del incumplimiento del acuerdo.

• Derecho a monitorear y auditar la actividad de los servidores públicos que se encuentran accediendo a la información institucional.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 5º—Política de clasificación y control de activos de información. Los activos de información se clasifican para indicar la necesidad, las prioridades y el grado esperado de protección al manejar la información, por tanto el instituto debe definir controles para salvaguardar la información creada, procesada, transmitida y/o almacenada de sus procesos, con el fin de minimizar impactos financieros, operativos y/o legales debido al uso incorrecto de la información.

5.1. Clasificación de la información.

PAR.—Se define como información a toda comunicación o representación de conocimiento, como datos, en cualquier forma, con inclusiones textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea digital, en papel, en pantallas de computadoras, audiovisual u otro.

Con base en el Decreto 1151 del 14 de abril de 2008 de la estrategia de gobierno en línea, el instituto debe clasificar los datos y la información institucional de acuerdo al siguiente gráfico:

Los datos y la información pública se armonizan con la seguridad de la información, los controles son establecidos según la jerarquía formulada en el siguiente cuadro:

Publicable No publicable Información personal semiprivada
Pública no clasificadaTop SecretSensitiva
Secreta 
ConfidencialEn confianza
Restringida

De acuerdo con el anterior gráfico, el instituto establece los controles de protección a la información.

5.1.1. Datos e información publicable.

Aquellos en los que la ley no ha dado el carácter de reservado y obliga a su publicación, si están definidos como datos abiertos.

5.1.2. Datos e información no publicable.

Aquellos en los que la ley ha otorgado el carácter de reservados y de protección legal, por tal motivo no puede ser publicada.

5.1.3. Datos e información personal semiprivada.

Datos e información personal que no es de dominio público, pero que ha sido obtenida u ofrecida por orden de una autoridad administrativa en el cumplimiento de sus funciones o en el marco de los principios de administración de datos personales. Esta información puede ser o no sujeta a reserva por su titular.

La clasificación de la información para efectos de su seguridad se define así:

5.1.4. Información que requiere protección por razones de interés público.

Pública no clasificada: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información afecta la imagen de la entidad.

5.1.5. Información que requiere protección por razones de seguridad nacional.

Top secret: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información podría dañar los intereses nacionales de manera grave y tendría un alto impacto sobre el instituto.

Secreta: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información podría dañar los intereses nacionales de manera seria y tendría un medio impacto sobre el instituto.

Confidencial: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información podría dañar los intereses nacionales de manera significativa y tendría un bajo impacto sobre el instituto.

Restringida: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información podría dañar los intereses nacionales y del instituto de manera adversa.

5.1.6. Información que requiere protección por razones de privacidad personal.

Sensitiva: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información podría dañar los intereses del Estado o poner en peligro la seguridad de los ciudadanos.

En confianza: El acceso a la información por parte de personal no autorizado, así como la alteración en la integridad de la información podría perjudicar el mantenimiento de la ley y el orden, impedir la conducta efectiva del gobierno o afectar adversamente la privacidad de sus ciudadanos.

5.2. Acceso a información top secret, secreta, confidencial y restringida.

• Las terceras partes que requieran acceso a información en medio físico y/o electrónico, deben presentar al instituto una autorización por parte del dueño de la información y se debe firmar un acuerdo de confidencialidad indicando las restricciones de uso de dicha información.

• Se deben utilizar los mecanismos apropiados de control de acceso a la información dependiendo de su nivel de clasificación.

• Los servidores públicos, contratistas, pasantes, estudiantes, no pueden tomar información top secret, secreta, confidencial y/o restringida cuando termine su vínculo con el Instituto.

• La destrucción de información top secret, secreta, confidencial y restringida se realizará de acuerdo a métodos aprobados por el responsable de seguridad de la información. El único impedimento para la destrucción de información puede ser una restricción señalada expresamente por parte de la oficina asesora jurídica, de acuerdo a la estructura orgánica de la entidad y/o radicada en las tablas de retención documental.

5.3. Almacenamiento de información.

La información top secret, secreta, confidencial y/o restringida, almacenada en cualquier medio electrónico, o físico, debe ser protegida por medio de mecanismos de cifrado.

Los equipos de cómputo y/o portátiles que almacenan información top secret, secreta, confidencial y restringida, deben estar protegidos con mecanismos de seguridad para evitar que ante la pérdida del equipo una persona no autorizada pueda acceder a la información allí almacenada. Así mismo si son reasignados a usuarios diferentes, se debe borrar la información del disco de forma segura, de acuerdo a los lineamientos dados por el responsable de seguridad de la información.

5.4. Impresión de información.

La información clasificada como top secret, secreta, confidencial y/o restringida, debe ser enviada a la impresora y recogida inmediatamente, evitando que personal no autorizado tenga acceso a esta.

5.5. Divulgación de información a terceros.

Los servidores públicos no deben divulgar información a terceros acerca de las vulnerabilidades de los sistemas lógicos o físicos del instituto, sin la previa autorización por parte de los responsables de seguridad de la información y la firma de un acuerdo de confidencialidad.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 6º—Política de seguridad respecto del recurso humano. “El instituto protegerá su información de las amenazas originadas por parte del personal”.

Las funciones y responsabilidades de los servidores públicos, relacionadas con la seguridad de la información serán definidos por la secretaría general, de acuerdo a la estructura orgánica de la entidad, a través de los grupos internos de trabajo: gestión del talento humano y contratación (egreso), con el objeto de reducir el riesgo de errores humanos, hurtos, fraudes y mal manejo de la información. Las responsabilidades deberán quedar definidas y documentadas.

6.1. Antes del vínculo laboral.

Se realiza la comprobación de los antecedentes judiciales, disciplinarios, fiscales de los candidatos y el seguimiento a la hoja de vida, de acuerdo con el reglamento interno del instituto y las leyes colombianas.

Cualquier tipo de contratación de servicios y de recurso humano que se relacionen con la gestión informática institucional, debe ser informada con anterioridad a la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, para validar la hoja de vida y evaluar los conocimientos del recurso humano.

6.2. Durante la relación laboral o contractual.

Los servidores públicos reciben los recursos informáticos, credenciales de acceso a los sistemas de información e inducción al cargo a desempeñar, según sea pertinente para sus funciones laborales.

El entrenamiento o instrucción en seguridad de la información, es obligatorio, para todos los servidores públicos, y se realiza posterior a la inducción, al menos una vez al año y se actualiza de acuerdo a los cambios en nuevas tecnologías y tipos de incidentes de seguridad.

El nivel de entrenamiento está de acuerdo con las funciones y responsabilidades del funcionario público del instituto, o con las actividades descritas en el contrato de prestación de servicios, de tal forma que la integridad, confidencialidad y disponibilidad de la información pueda ser preservada.

La responsabilidad del entrenamiento o instrucción en seguridad de la información está compartida entre el grupo interno de gestión del talento humano, de acuerdo a la estructura orgánica de la entidad, en cuanto a la inducción y la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, a través del profesional de seguridad de la información durante la relación laboral.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, es el único responsable de asignar, administrar, reasignar la infraestructura tecnológica independientemente del origen de los recursos económicos y el ordenador del gasto.

Los servidores públicos deberán leer al menos una vez al año las políticas y procedimientos de seguridad. Se deben realizar auditorías por parte de la oficina de control interno, de acuerdo a la estructura orgánica de la entidad, sobre el conocimiento de las políticas y procedimientos de seguridad de la información.

6.3. Terminación y/o cambio de la relación laboral.

Es responsabilidad del grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad, la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y del coordinador del GIT y/o jefe inmediato del servidor público, asegurar que en el evento de la terminación y/o cambio de cargo al interior del instituto, el servidor hace la devolución de todos los activos de información y elementos asignados durante su relación.

La vigencia de los derechos de acceso y su revocatoria, debe estar estrechamente relacionados con la finalización de la relación laboral y/o contractual del servidor público. y/o cambio de rol del usuario en el instituto.

En el caso de un cambio de dependencia, el jefe o coordinador de la dependencia, debe informar y solicitar a la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, la eliminación de los accesos físicos y lógicos en los sistemas de información, aplicativos, correo electrónico del instituto, así mismo el jefe o, coordinador de la dependencia donde prestará los servicios, debe solicitar los accesos requeridos.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 7º—Política de seguridad física. “Toda área donde se procesa información debe cumplir con procedimientos de seguridad física, con el fin de evitar accesos no autorizados a la infraestructura tecnológica y a los activos de información”.

PAR.—Se define como área segura, a los espacios físicos donde se almacenan los activos de información catalogados como top secret y secreta.

7.1. Áreas seguras.

Las áreas seguras tienen un responsable, quien debe asegurar que los controles de seguridad definidos sean mantenidos, autorizar el acceso a las áreas seguras y tener una lista actualizada de todas las personas con permisos de ingreso.

Los controles para el acceso a las áreas donde se procesa información deben protegerse, para evitar intrusiones, inundaciones u otro tipo de amenazas que afecten la operación normal.

Los servidores públicos responsables de las áreas seguras tienen la obligación de vigilar y garantizar que se cumplan las siguientes medidas de seguridad:

• Las áreas de producción se catalogan como seguras y deben permanecer cerradas y custodiadas.

• El acceso a áreas seguras donde se procesa o almacena información top secret, secreta, confidencial y restringida, es limitado únicamente a personas autorizadas.

• El acceso a áreas seguras requieren esquemas de control de acceso, como tarjetas, llaves o candados.

• El responsable de un área segura debe asegurar que no ingresen cámaras fotográficas, videos, teléfonos móviles con cámaras, salvo se tenga una autorización expresa del coordinador del GIT y/o jefe de dependencia.

• Se utilizan cámaras de video o planillas de ingreso y egreso para registrar la entrada y salida de personal.

Se restringe el acceso físico a dispositivos como puntos de acceso inalámbricos, puertas de enlace a redes y terminales de red que están ubicados en las áreas seguras.

7.1.1. Centro de datos.

Todo el personal que ingrese al centro de datos, debe cumplir los siguientes requisitos:

• No debe consumir alimento.

• No debe retirar elementos, tales como disquetes, CD, cintas de copias de respaldo a menos que esté autorizado por el responsable del centro de datos.

• No debe emplear los equipos servidores como mesas de trabajo o soporte.

• Los equipos deben quedar bloqueados durante la ausencia del personal que los opera.

• Se debe deshabilitar la cuenta de usuario si este se encuentra en un periodo de vacaciones.

El responsable del centro de datos debe verificar la autorización para el acceso, así como la presencia y/o permanencia de personas en el mismo.

Toda persona ajena al instituto que ingrese al centro de datos, debe estar acompañada durante todo el tiempo que dure su visita por un servidor público del instituto, y se debe diligenciar el ingreso en la “bitácora de acceso”, que contiene los siguientes campos:

• Nombre del visitante.

• Número de identificación.

• Empresa de donde viene.

• Autorización por parte del instituto.

• Fecha y hora de ingreso.

• Fecha y hora de salida.

• Actividad realizada.

• Firma.

7.2. Amenazas hacia las áreas seguras.

El instituto, a través del responsable de seguridad de la información, debe establecer controles ante las diferentes amenazas que puedan afectar la normal operación. Los controles a implementar son:

Medio ambiente: La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y el grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad deben monitorear las variables de temperatura y humedad de las áreas de procesamiento de información.

Identificación de terceros, explosivos y corrosivos: Todos los visitantes o terceras personas, que ingresen a las instalaciones del instituto, deben poseer una identificación a la vista. Por ninguna razón se podrá tener material explosivo o corrosivo dentro o en sitio cercano a áreas definidas como seguras.

Fuego: En los centros de procesamiento deben instalarse detectores de humo, en forma adecuada y en número suficiente, para detectar conato o indicios de incendio. En las áreas seguras no se debe tener material inflamable tales como cajas, manuales, formas continuas, papel.

Los detectores deben probarse, de acuerdo a las recomendaciones del fabricante o al menos una vez cada 6 meses.

Se deben tener extintores de incendios debidamente aprovisionados, con carga vigente y con capacidad de detener fuego generado por equipo eléctrico, papel o químicos especiales.

Inundación:Las instalaciones del agua deben estar ubicadas en forma segura y con dispositivos para evitar su f1ujo descontrolado. Las cañerías de desagüe deben tener válvulas de retención de líquidos que eviten el flujo inverso, para que no sirvan como bocas de inundación por sobreflujos.

Interferencia eléctrica y/o radiación electromagnética:El cableado lógico, debe estar protegido de las interferencias electromagnéticas producidas por equipos eléctricos y/o industriales.

Los cables de potencia deben estar separados de los cables de comunicación, siguiendo las normas técnicas Retie (reglamento técnico de instalaciones eléctricas). Los equipos deben protegerse de fallas de potencia u otras anomalías de tipo eléctrico.

Sistemas de abastecimiento de potencia: El correcto uso de las UPS (Uninterruptable Poweer Supply), se debe probar según las recomendaciones del fabricante, de tal forma que se garantice su operación y el suficiente tiempo para realizar las funciones de respaldo en servidores y aplicaciones.

La planta eléctrica debe probarse regularmente, de acuerdo a las recomendaciones del fabricante y por lo menos, una vez a la semana.

Se deben tener interruptores eléctricos adicionales, localizados cerca de las salidas de emergencia, para lograr un rápido apagado de los sistemas en caso de una falla o contingencia. Las luces de emergencia deben funcionar en caso de fallas en la potencia eléctrica del proveedor de servicio público.

El cableado de la red lógica y eléctrica debe ser instalado y mantenido por ingenieros calificados con el fin de garantizar su integridad, operación y cumplimiento de normatividad de instalación.

Los conectores de pared tales como tomas eléctricas, interruptores de encendido, cajas de iluminación no utilizados, deben ser sellados por el grupo interno de servicios administrativos de acuerdo a la estructura orgánica de la entidad y documentados. En caso de que existan puntos de red en salas de juntas, salas de reuniones o auditorios públicos, estos deben estar deshabilitados o bloqueados y se pondrán en funcionamiento cuando sean requeridos, previa autorización de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

Se deben realizar mantenimientos sobre los equipos de acuerdo a las recomendaciones del fabricante y realizarse únicamente por soporte técnico o personal autorizado. Si se tienen que enviar fuera de las instalaciones del instituto, se debe asegurar la información y verificar la vigencia y alcance de las pólizas de seguro.

7.3. Ingreso a instalaciones físicas.

Los servidores públicos no podrán ingresar a las instalaciones sin portar en un lugar visible el carné y/o la identificación física entregada por el personal del instituto, que lo acredita como funcionario público, contratista, pasantes, practicantes y proveedores.

Los equipos electrónicos que no sean propiedad del instituto se deben registrar en los libros o sistema de información, de ingreso y salida ubicado en la recepción y controlado por el personal de vigilancia.

Se bloquearán los dispositivos y puertos de almacenamiento extraíbles: puertos USB, unidad quemadora de CD/DVD, discos duros externos, correspondientes a los equipos de cómputo, portátiles, estaciones de trabajo y equipos servidores.

Si es requerido el desbloqueo de los puertos de almacenamiento extraíble, el subdirector o jefe de la dependencia debe solicitarlo por la herramienta de soporte técnico al jefe de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, quien debe evaluar la autorización y el desbloqueo si es requerido.

Ningún equipo, información o software se debe retirar sin autorización previa de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y del grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad y previo cumplimiento del procedimiento de ingreso de bienes a almacén y egreso de bienes y manejo de inventarios.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, debe certificar por escrito y firmado por el responsable de la actividad, el borrado seguro de la información top secret, secreta, confidencial y restringida, que los equipos de cómputo posean y que ya no sea necesaria para el instituto.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 8º—Política de gestión de comunicaciones y operaciones.

“El instituto debe controlar la operación de sus procesos, garantizando la seguridad de los recursos tecnológicos y las redes de datos”.

8.1. Procedimientos operacionales y responsabilidades.

Se deben tener asignados los responsables para la operación correcta de los servicios de procesamiento y se deben documentar los procedimientos para la operación de las aplicaciones y /o componentes de red en producción.

El comité antitrámites, gobierno en línea y seguridad de la información debe gestionar el diseño, implementación, prueba y actualización de un plan de respuesta a incidentes de seguridad de la información y de recuperación ante desastres, de todos los sistemas que apoyan los procesos críticos del instituto, para responder de forma metódica y apropiada ante un evento de seguridad de la información.

El responsable de seguridad de la información, debe ejecutar jornadas de socialización, sensibilización en el instituto, acerca de los riesgos de la infección de virus provenientes de correos electrónicos, páginas web y el intercambio de archivos.

Los cambios a los datos, programas, sistemas de información y/o aplicaciones en producción se deben realizar por personal autorizado por la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y de acuerdo al procedimiento que se establezca para el control de cambios.

La administración y operación del sistema eléctrico regulado y comunicaciones debe ser responsabilidad de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, debe garantizar el servicio de transmisión de datos e internet a nivel nacional.

El grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad, debe garantizar el servicio de telefonía fija.

La administración y operación del sistema eléctrico no regulado debe ser responsabilidad del grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad.

El grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad debe proveer los insumos para el mantenimiento y correcto funcionamiento de fotocopiadoras, impresoras y plotters.

PAR.—Se entiende por cifrado a un método de codificación de la información. Se entiende por cuenta la unión de un usuario y una contraseña, para realizar una autenticación en un sistema. Se entiende por red pública a la cual todos pueden tener acceso y red privada a la cual solo puede ser usada por personas autorizadas por medio de una clave de acceso personal. Se entiende por registro histórico a las notificaciones que el sistema de información registra en su sistema de las operaciones que realiza.

8.1.1. Tareas de administración de sistemas.

La administración de toda la plataforma tecnológica institucional y el sistema de comunicaciones unificado, debe estar a cargo de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

El acceso por parte de usuarios con el rol de administrador, para configurar los sistemas de información del instituto, se debe realizar utilizando tecnologías de cifrado.

Los equipos de cómputo del instituto deben ser asegurados de tal forma que se remuevan todas las funcionalidades innecesarias para las actividades encargados a los servidores públicos, así como asignación de contraseñas al BIOS y a los perfiles de administrador.

La información top secret, secreta, confidencial y restringida almacenada en los dispositivos removibles debe estar protegida por un mecanismo de cifrado.

Se debe efectuar un monitoreo de los registros históricos generados por las herramientas de software y la información diligenciada por los operadores de las plataformas de los sistemas de información, mediante la utilización de una herramienta de consolidación de registros históricos de todos los sistemas de producción del instituto.

Se deben conservar los registros históricos por un periodo determinado y debe contener la siguiente información básica de fecha, hora, detalle del evento, identificación del usuario asociado con el evento, ubicación, localización en la red (origen y/o destino), registro de accesos exitosos y no exitosos a los sistemas, cambios a la configuración de los sistemas, recursos afectados y tipo de acceso, de acuerdo a las tablas de retención documental institucionales.

Se debe proteger el ingreso a los sistemas y a la información contra sabotajes y accesos no autorizados, por medio de controles de autenticación.

Los relojes de los sistemas de procesamiento de información dentro del instituto, deben estar apropiadamente sincronizados con la hora oficial de Colombia.

La documentación de los sistemas de información y guías técnicas, son considerados como información confidencial, por tanto debe estar protegida contra el acceso no autorizado.

8.1.2. Perfiles de usuarios.

Las funciones de acceso asignadas para cada perfil que interviene en la operación y desarrollo de los sistemas de información del instituto son:

• Usuarios finales: Acceso según su perfil a los sistemas e información del ambiente de producción.

• Administrador de redes lógicas, eléctricas: Administración de los recursos de comunicaciones de datos.

• Administrador de telefonía: Administración de los recursos de voz fija.

• Usuarios de desarrollo:

— Acceso a las librerías de desarrollo según su perfil.

— Lectura a las librerías de los programas fuente de producción y pruebas según su perfil.

• Operadores: Lectura a las librerías de ejecutables y acceso a las librerías de datos para realizar tareas de respaldo y restablecimiento.

• Administrador de plataforma:

— Acceso a los comandos del sistema operativo necesarios para cumplir con sus funciones.

— Acceso a la administración del software de la plataforma tecnológica que administre y verificación de log’s de seguridad.

• Responsable de seguridad: Acceso justificado a los datos de producción y en caso que se requiera hacer alguna actividad sobre estos, directamente debe ser aprobado por el responsable de la información.

De acuerdo a las limitantes de personal en el instituto, las funciones del perfil de administrador y operador pueden ser unificadas, previa autorización del jefe de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

Los perfiles de administrador de redes lógicas, eléctricas y telefonía, operadores, administrador de plataforma y responsable de seguridad debe registrar las actividades ejecutadas en la bitácora de servidores y dispositivos de red.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, debe ser el único responsable por el monitoreo de los servicios prestados por los servidores de producción.

Se deben asignar controles de acceso lógico y mantener el principio de segregación de funciones en la asignación de usuarios y accesos a los sistemas de información, aplicaciones, equipos de gestión de red.

Las aplicaciones deben implementar los controles necesarios para que ningún servidor público pueda independientemente controlar todos los aspectos de un proceso o sistema.

8.2. Versiones de software.

Con base en estudios técnicos, se debe tender a mantener actualizada la infraestructura técnica de la entidad, de acuerdo a los requerimientos y necesidades institucionales.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, debe velar porque se actualice con el último software liberado por el fabricante, tales como software de integración de bases de datos, de desarrollo de software, de ofimática, de seguridad, de comunicaciones y de sistemas operacionales, de acuerdo a las pruebas de aceptación, ejecutadas previamente, y el análisis de las implicaciones que puede traer la actualización, sobre las aplicaciones y servicios disponibles institucionales.

Debe existir una separación de los ambientes de producción, desarrollo y pruebas para garantizar que no haya cambios, de manera incorrecta, accidental o intencional.

El personal de cada ambiente debe ser distinto y no podrán intercambiar sus roles. Así mismo, se debe seguir un procedimiento que identifique los pasos a seguir en un sistema de información, portal y/o aplicación, desde su diseño hasta su puesta en producción con sus correspondientes responsables y procesos de autorización.

De acuerdo a cada ambiente de producción, desarrollo y pruebas se deben identificar tres funciones:

• Operación: Las tareas de operación llevan a cabo los procesos en lotes necesarios para la operación de las aplicaciones. El personal de operación no debe tener acceso a las aplicaciones en línea, ni a las funciones de administración de la plataforma.

• Acceso a los datos por parte del usuario final: Los usuarios finales no deben tener acceso a los comandos de los sistemas operativos o plataforma de software sobre la cual corre la aplicación.

• Administración: La función de administración comprende la instalación, actualización y mantenimiento de los sistemas operativos y software de la plataforma tecnológica. Los usuarios que tengan este perfil no deben tener acceso a datos ni a los sistemas de los procesos del instituto.

Los cambios de versión, módulo o programa deben estar autorizados formalmente por el responsable de la información.

8.3. Gestión de la prestación de servicio por terceras partes.

Los contratos a ejecutarse para el instituto, deben contar con lineamientos claros para la prestación del servicio, donde se definen, acuerdos de confidencialidad, propiedad de la información, restricciones sobre el software empleado, procedimientos a seguir en casos de incidentes de seguridad, planes de contingencia y continuidad, procedimientos y controles para entrega, manejo y destrucción de información suministrada por el instituto, los niveles de prestación del servicio y las políticas de seguridad de la información definidas en el instituto, para su respectivo cumplimiento. Los lineamientos deben ser dados por los jefes de dependencia y coordinadores de los GIT, de acuerdo a los contratos responsabilidad de estos y la asesoría del responsable de seguridad de la información.

Los equipos eléctricos, de cómputo, almacenamiento, impresión y comunicaciones deben ser monitoreados periódicamente, con el fin de identificar el consumo de canales de comunicación, de energía, de procesamiento de cada plataforma y prever su crecimiento de manera planificada, evitando riesgos en su disponibilidad.

8.4. Erradicación de virus.

Si el usuario sospecha de la infección de virus en su computador, debe desconectar el equipo de la red y debe comunicar oportunamente por medio de la herramienta de soporte técnico a la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

La herramienta de antivirus institucional siempre debe estar instalada y activa. Si se observa que está fallando o fue desinstalada, se debe reportar a la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, por medio de la herramienta de soporte técnico.

El software instalado en todo equipo de cómputo de la entidad debe ser aprobado, instalado y revisado exclusivamente por la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

El hardware y software original no debe ser alterado en ninguno de sus componentes por ningún servidor público ajeno a la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

Los medios magnéticos originales de software, documentos o claves entregadas por los proveedores de software, y las licencias adquiridas por dependencias diferentes a la oficina de informática y telecomunicaciones de acuerdo a la estructura orgánica de la entidad, deben ser entregados a esta dependencia, para la administración y custodia de estos medios.

Los usuarios no deben escribir, generar, procesar, copiar, propagar, ejecutar o introducir código de programación diseñado para autorreplicarse, dañar o afectar el desempeño de equipos de cómputo y/o equipo de red del instituto.

Los equipos servidores de antispam y antivirus del instituto deben analizar todo el tráfico de correo entrante y saliente y rechazar los mensajes que contienen virus y/o palabras restringidas. Cuando un mensaje es rechazado se debe enviar una notificación al destinatario del mensaje. Los virus se deben tratar de acuerdo al procedimiento descrito para tal fin.

8.5. Manejo de medios de almacenamiento.

Los equipos de cómputo que tienen autorizado el manejo de USB y unidades reproductoras de CD/ DVD, deben cumplir los siguientes requisitos:

• Tener habilitado el escaneo automático de virus.

• Tener configurada en la herramienta de antivirus institucional, el bloqueo de la reproducción automática de archivos ejecutables.

8.6. Respaldo de información.

La información que se encuentre almacenada en medio digital como: sistemas de información, aplicaciones, bases de datos, código fuente y software que incluya configuración y parametrización inicial. Proyectos, investigaciones, análisis, publicaciones y estudios técnicos y contenidos publicados en los portales web institucionales, debe ser respaldada y restaurada de acuerdo a la criticidad, y rotación de los medios físicos y/o virtuales, establecida por el responsable de la Información la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

El responsable de seguridad debe verificar periódicamente la realización de las copias de respaldo de acuerdo a la programación establecida en el aplicativo: “administración copias de respaldo de información”.

8.7. Gestión de la seguridad en las redes.

Las conexiones de redes externas (cableadas o inalámbricas, públicas o privadas) hacia equipos de cómputo en la red interna del instituto y viceversa, deben pasar por un conjunto de dispositivos de seguridad perimetral, los cuales deben garantizar la confidencialidad, integridad y disponibilidad de la información. Estos dispositivos deben restringir protocolos, rutas y servicios innecesarios.

El instituto al momento de publicar la información en internet, debe garantizar que la dirección lógica privada no sea revelada.

Los servicios, puertos y protocolos autorizados deben estar documentados y justificados, así como el uso de servicios, puertos y/o protocolos no seguros.

Los archivos de configuración de equipos activos de red, se deben asegurar y sincronizarse periódicamente, para proteger su integridad y disponibilidad.

La información top secret, secreta, confidencial y restringida debe ser transmitida entre las sedes del instituto y las entidad estatales, por la Ravec (Red de Alta Velocidad del Estado colombiano), siempre y cuando sea posible y no se tengan límites de cubrimiento territorial.

PAR.—Se entiende por firewall a un dispositivo de red que permite o deniega la comunicación de una red a otra, de acuerdo a lineamientos de seguridad establecidos por el instituto.

8.8. Configuración del firewall y dispositivos de red.

Debe estar instalado en un área segura, donde solo pueden tener acceso físico los administradores y operadores.

Todos los firewalls del instituto conectados a internet, deben ser operados exclusivamente por la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y configurados de acuerdo a lo requerido por el instituto.

La modificación, adición o eliminación de reglas en la configuración del firewall son efectuadas por el operador y deben ser documentadas y aprobadas por el jefe de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, así como por el responsable de seguridad y deben cumplir con el procedimiento de control de cambios.

Los equipos servidores de bases de datos que tienen información top secret, secreta, confidencial y restringida, deben estar en una zona de red interna aislada, y no deben hacer parte de la red perimetral.

El firewall debe estar configurado para realizar el filtrado dinámico de la información, en donde solo se permita la entrada de conexiones establecidas.

Las copias de seguridad de la configuración del firewall, equipos activos de red, archivos, permisos y procesos de administración del sistema, deben estar disponibles en lugares, donde solo los usuarios autorizados tienen acceso, y son realizadas por el operador.

Las reglas del firewall deben ser revisadas por el administrador del firewall y se debe llevar un registro de los cambios realizados, copias de las autorizaciones para dichos cambios y una copia de la configuración anterior y la vigente.

La configuración de las normas del firewall y de los dispositivos de red del instituto se debe revisar como mínimo semestralmente por el responsable de seguridad.

PAR.—Se entiende por log un archivo histórico que guarda la trazabilidad de las operaciones efectuadas sobre un sistema.

8.9. Habilitación y revisión de registros de auditoría (logs).

Los archivos históricos deben tener un tamaño apropiado para almacenar los eventos de un periodo determinado de tiempo y deben estar configurados para que no sean sobrescritos cuando alcancen el máximo de extensión. Así mismo deben ser respaldados por el tiempo definido por el responsable de seguridad de la información.

8.10. Acceso y uso de internet.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad debe autorizar y tramitar la adquisición de servicios de transmisión de datos y voz.

El acceso a internet se debe realizar mediante la conexión y los equipos de comunicaciones instalados por el instituto para ese fin. Todo servidor público debe tener asignada una cuenta de acceso al dominio con su respectiva contraseña para navegar en internet ilimitado o limitado, esta es personal e intransferible.

El instituto cuenta con un diagrama actualizado de la red con todas las conexiones que acceden a datos sensibles del instituto. Este plano incluye información de la red cableada e inalámbrica, así como todos los componentes de interconectividad que la componen.

El acceso a internet es utilizado únicamente para el desarrollo de las funciones de los servidores públicos. El responsable de seguridad de la información, informa a todos los servidores públicos con acceso a internet, los riesgos, amenazas y responsabilidades del uso inadecuado de este recurso.

Cuando el usuario final haga uso del servicio de internet, deberá mantener un comportamiento de acuerdo con los principios éticos, esto es, abstenerse de realizar una o varias de las actividades que a continuación se describen:

• Realizar cualquier actividad intencional que provoque problemas con el funcionamiento de las redes, con otros usuarios, canales de comunicación, sistemas y equipos. Está prohibido propagar un virus informático.

• Compartir o divulgar números de cuenta, claves de acceso y número de identificación personal u otra información confidencial o sensible para el instituto o que viole la ley de transparencia y acceso a la información pública.

• Obtener de internet cualquier material en contravención con los derechos de autor.

• Visitar sitios de chat, escuchar y/o descargar música o ver y/o descargar videos que no tengan relación con actividades propias del instituto.

El servidor público responsable del equipo de cómputo, debe preservar la integridad, y no instalar o permitir la instalación y permanencia de software pirata en el mismo.

8.11. Intercambio de información.

La seguridad de la información y del software que se intercambia al interior del instituto y con entidades externas se debe proteger contra los accesos no autorizados.

El uso de recursos como el internet, correo electrónico y mensajería instantánea, se soportan por los sistemas de comunicaciones e infraestructura tecnológica del instituto, razón por la cual toda la información generada o transmitida a través de los sistemas antes mencionados, se considera como información propia del instituto. Con el fin de determinar el uso inadecuado de los recursos informáticos se deben efectuar revisiones periódicas por parte de las oficinas de informática y telecomunicaciones, control interno y el responsable de seguridad de la información.

8.12. Uso de claves telefónicas.

La administración de la telefonía análoga debe ser responsabilidad del grupo interno de trabajo de servicios administrativos, de acuerdo a la estructura orgánica de la entidad.

Toda solicitud para el alta, baja o modificación de claves debe ser realizada por parte del responsable de la dependencia solicitante y se ejecutará en coordinación con el grupo interno de trabajo de servicios administrativos y la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

8.13. Uso del correo electrónico.

Se deben asignar a los usuarios internos y/o externos una cuenta de correo electrónico institucional para cumplir con las funciones encargadas a los servidores públicos y/o terceras partes, solo por el tiempo que dure la relación contractual y/o convenio, entre el usuario y el instituto.

El administrador del correo electrónico junto con el responsable de seguridad de la información y el jefe de oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, define los procedimientos de respaldo, retención y destrucción de los mensajes de correo electrónico y sus correspondientes registros de actividad.

• Los usuarios son responsables de todas las actividades realizadas con las cuentas de correo electrónico proporcionadas por el instituto. No están permitidos los mecanismos y sistemas que intenten ocultar la identidad del emisor de correo.

• Está prohibida la suplantación de identidad de otra persona en el envío de mensajes de correo electrónico.

• Los correos electrónicos que vengan de personas desconocidas deben ser tratados con precaución y no son abiertos ni respondidos.

• Asegurar que en el reenvío de correos electrónicos, la dirección de destino es correcta, de manera que esté siendo enviado a las personas apropiadas.

• No se deben abrir los archivos anexos a los correos electrónicos, cuyo origen es desconocido o si el mensaje no tiene una relación con las actividades del instituto.

Los usuarios no deben reenviar fuera del instituto mensajes con información top secret, secreta, confidencial y restringida sin los controles estipulados.

Todos los mensajes de correo electrónico provenientes de internet, son examinados por un antivirus para detectar código malicioso.

Está completamente prohibido la difusión de contenido ilegal por naturaleza (todo el que constituya complicidad con hechos delictivos). Ejemplos: apología al terrorismo, programas piratas, amenazas, estafas, esquemas de enriquecimiento piramidal, virus, correo no deseado (SPAM) o código malicioso.

Todos los mensajes de correo electrónico corporativo enviados, deben contener el nombre del usuario que envía el mensaje, cargo, dependencia a la que pertenece y número telefónico con extensión.

No está permitido el envío masivo de mensajes de correo electrónico por usuarios no autorizados.

Los usuarios no deben utilizar cuentas de correo personales con un proveedor de servicio externo, para el envío de mensajes relacionados con el instituto.

Las cuentas de correo electrónico que hacen referencia a grupos o aéreas, deben tener un único responsable.

Las cuentas de correo electrónico y los correos de los ex funcionarios del instituto deben ser desactivados y eliminados del servidor.

El responsable de seguridad de la información debe efectuar al menos una revisión cada dos meses, de las cuentas de correo institucionales creadas e inactivas.

8.14. Comercio electrónico y transacciones en línea.

Toda información transmitida por internet, relacionada con el comercio electrónico, transacciones en línea y/o información que se pone a disposición de los ciudadanos, debe estar protegida contra actividades fraudulentas, transmisión incompleta, enrutamiento inadecuado y divulgación o modificación.

Se deben implementar controles para:

• Prevenir que un usuario niegue la responsabilidad de una transacción o que terceras personas falsifiquen una transacción que supuestamente proviene de un usuario.

• Verificar la autenticidad de la información generada por el sistema y prevenir que los usuarios reclamen por la autenticidad de la información recibida.

• Proveer evidencia de que la transacción enviada a un usuario, fue realmente recibida por el usuario y el recibo no puede ser negado por dicho usuario.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 9º—Política de control de acceso.

“El instituto implementará controles de acceso a la información, sistemas y recursos de red”.

PAR.—Este artículo indica los controles que deben ser establecidos para controlar el acceso a la información, servicios de red, sistemas operativos, sistemas de información. Se entiende por perfil, al conjunto de rasgos distintivos que caracterizan a un usuario.

Los controles de acceso deben garantizar que a los usuarios únicamente se les asignen los privilegios y derechos necesarios mínimos para el desarrollo de sus funciones.

La vigencia de los derechos de acceso y su revocatoria, debe estar relacionada con la finalización de la relación laboral y/o contractual del servidor público, ausencia por vacaciones, licencias, incapacidades, compensatorios y/o cambio de rol del usuario en el instituto.

Se deben documentar los roles y privilegios de acceso a la información y mantener un registro de auditoría, de las creaciones, modificaciones y desactivaciones de las cuentas de los usuarios.

Todas las cuentas de usuario deben tener asignado un perfil, que le permite acceder a la información en cumplimiento de las funciones encargadas (usuario interno), o acceder únicamente a los servicios que el instituto ofrece a terceros (usuario externo).

El jefe de la dependencia, coordinador del GIT y/o supervisor, del usuario y/o el responsable de la seguridad de la información, deben autorizar la asignación de privilegios a las cuentas de usuario en los sistemas de información y aplicaciones, que van más allá de lo requerido normalmente por los usuarios, para funciones o misiones especiales.

Las cuentas de usuario inactivas se deshabilitan para evitar el uso no autorizado por un tercero, esta revisión debe realizarse al menos cada 30 días por el responsable de seguridad de la información.

Las contraseñas de los usuarios tanto internos como externos son únicas e intransferibles y deben tener las siguientes características mínimas:

• La contraseña inicial es cambiada por el usuario después de ser asignada por el administrador de la plataforma en la primera autenticación en el sistema, dicha contraseña inicial es única para cada usuario.

• Para el almacenamiento y/o transmisión de contraseñas se utilizan mecanismos de cifrado de datos.

• Las contraseñas son cambiadas regularmente como mínimo cada 90 días, y son diferentes al nombre del usuario.

• Se maneja un histórico de contraseñas de manera que una persona no introduzca una contraseña nueva igual a cualquiera de las últimas cuatro contraseñas utilizadas.

• No son visibles, en el momento de ser ingresadas.

• Las contraseñas de las cuentas privilegiadas de los sistemas operacionales, software base o aplicaciones son almacenadas en sobre cerrado en una caja fuerte o en un sitio seguro externo, fuera de las instalaciones del instituto.

• Las contraseñas deben contener: caracteres numéricos, alfabéticos y especiales tales como: #, $, %, &, entre otros.

• La longitud de la contraseña es mínimo de ocho caracteres.

• No utilizar palabras de diccionario.

• En caso de sospecha de uso de su cuenta por un tercero, cambiar inmediatamente su contraseña y reportar un posible incidente de seguridad de la información.

• Los usuarios servidores públicos no deben retirarse de sus computadores y/o estaciones de trabajo, sin antes cerrar la sesión o bloquear el equipo de cómputo.

El restablecimiento de contraseñas de los usuarios en caso de olvido, o bloqueo por intentos fallidos, se debe efectuar a través de un procedimiento de gestión de roles, usuarios y contraseñas.

Si un sistema multiusuario emplea contraseñas fijas, como su mecanismo de control de acceso y se detecta que el sistema ha sido comprometido en su seguridad, se deben cambiar todas las contraseñas de los usuarios en el sistema y en los equipos que utilizan las mismas cuentas.

En caso que existan más de tres intentos de ingreso fallidos a un sistema de información, portal o aplicación, se bloquea de forma automática dicha cuenta de usuario, la duración del bloqueo se establece en un mínimo de 10 minutos o hasta que el administrador habilite de forma manual la cuenta del usuario.

La dirección general del instituto por medio de las auditorías internas que son efectuadas por la oficina de control interno, de acuerdo a la estructura orgánica de la entidad, lleva a cabo revisiones anuales de los perfiles definidos, con el fin de asegurar que no hay perfiles o roles asignados a los usuarios no autorizados, desactualizados o privilegios no necesarios para el desarrollo de su función.

Los usuarios deben mantener los escritorios y otras áreas de trabajo despejados de papeles y cualquier otro medio de almacenamiento conectado a los equipos.

Las pantallas de los computadores se mantienen limpias de información confidencial cuando no están siendo vigiladas, con el protector de pantalla institucional y el escritorio digital limpio.

Los responsables de la infraestructura tecnológica deben realizar una evaluación periódica de los riesgos de acceso no autorizado, y junto con la asesoría del responsable de seguridad de la información deben definir controles para minimizarlos.

Las contraseñas de las cuentas de los administradores de los sistemas de información, aplicaciones y portales, permanecen bajo custodia de quien designe la oficina de informática y telecomunicaciones de acuerdo a la estructura orgánica de la entidad.

Los usuarios no deben leer, modificar, borrar o copiar archivos pertenecientes a otros usuarios, sin el permiso previo del responsable del archivo.

9.1. Servicios de red.

Los usuarios no deben usar aplicaciones públicas de mensajería instantánea o redes que permitan el intercambio directo de información con equipos de cómputo de redes externas y diferentes a las del instituto.

El acceso remoto a los equipos de cómputo, almacenamiento y dispositivos de red activos, está restringido. Solo los usuarios autorizados por el jefe de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, puede acceder remotamente a la infraestructura tecnológica del instituto, por el tiempo autorizado y manteniendo un control de acceso de dos autenticaciones.

El responsable de seguridad de la información debe revisar los log’s de ingreso remoto a los servidores al menos una vez cada dos meses. No deben existir puntos de red habilitados en lugares de acceso público o puestos de trabajo que no están siendo utilizados.

La red inalámbrica, debe ser configurada con mecanismos de cifrado para la autenticación y la transmisión de datos.

La configuración de los dispositivos inalámbricos se efectúa ele acuerdo a las necesidades del instituto.

La contraseña de acceso a la red inalámbrica debe ser cambiada una vez cada dos meses.

9.2. Bases de datos.

Se deben instalar solo los componentes que son requeridos en el momento de la instalación y se debe deshabilitar los servicios innecesarios o dejarlos en modo manual.

9.3. Ambiente de producción y pruebas.

Ningún usuario final interno debe tener acceso directo a comandos, servicios y utilitarios de software de la plataforma tecnológica, que permitan modificar datos del ambiente de producción o pruebas.

Los desarrolladores no deben construir o desarrollar contraseñas secretas que tengan privilegios especiales en el software de usuario y que no estén documentadas en la aplicación, sistema de información y portal.

Sin la respectiva aprobación del dueño del sistema, los administradores de los sistemas o aplicaciones no conceden privilegios a los usuarios.

Los desarrolladores no deben administrar un sistema de información, portal, aplicación, base de datos, servidor, que se encuentre en un ambiente de producción.

La información almacenada en los equipos portátiles debe estar protegida, mediante mecanismos de cifrado y copias de respaldo de forma periódica: se deben utilizar guayas de seguridad para incrementar la seguridad física.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 10.—Política de adquisición, desarrollo y mantenimiento de sistemas de información.

“Garantizar que la seguridad sea parte integral del ciclo de vida de los sistemas de información, en las fases de adquisición, desarrollo y mantenimiento”.

El desarrollo de software debe evolucionar a la creación y mantenimiento de un centro de desarrollo de software unificado institucional, bajo estándares, mejores prácticas, y gerencia de proyectos, liderado por la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

El centro de desarrollo de software unificado institucional debe tener un comité tecnológico, el cual debe autorizar la creación, adaptación o adquisición de software de desarrollo para la entidad.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad debe definir y establecer formalmente la documentación requerida en las diferentes etapas del ciclo de vida del software.

Los requisitos de seguridad existentes para nuevos sistemas de información o actualizaciones a los sistemas existentes, se deben identificar y documentar, basados en las mejores prácticas de la industria a través de todo el ciclo de desarrollo de software.

10.1. Procesamiento correcto de los sistemas de información y aplicaciones.

Se deben validar los datos de entrada para asegurar que son correctos y apropiados, e implementar controles de verificación con el fin de detectar la alteración de la información, por errores de procesamiento o actos deliberados.

Los controles incluyen:

• Uso de medios automáticos y manuales de verificación y comprobación de datos.

• Definición de responsabilidades y procedimientos para responder a los errores detectados.

• Diseño de las aplicaciones de tal manera que ellas internamente realicen validaciones de datos.

• Uso de programas correctivos, que en caso de falla puedan garantizar el correcto procesamiento de los datos.

• Validación de los datos generados por el sistema.

• Revisión de la integridad de los datos o software, una vez se haya realizado una transferencia de los mismos entre un computador local y uno remoto.

• Validación del control de acceso a los datos y funciones de los sistemas, teniendo un enfoque basado en roles.

PAR.—Se entiende por librería a un conjunto de subprogramas utilizados para desarrollar software. Se entiende por código fuente al conjunto de sentencias de un lenguaje de programación, interpretadas como instrucciones que debe seguir el computador para ejecutar un programa.

10.2. Gestión de desarrollo de software.

La gestión de los sistemas de información y aplicaciones es responsabilidad de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad. En la gestión del desarrollo de software se deben contemplar los siguientes controles:

• Todos los cambios propuestos al software, se deben someter a pruebas antes de su puesta en producción para verificar la validez del cambio y asegurar que no causa un impacto negativo.

• Se deben registrar los cambios hechos en el código fuente y se deben conservar las versiones anteriores de software en caso de contingencias.

• Se debe mantener un contenedor institucional, por versiones de software de acuerdo a cada sistema de información, portal desarrollado, antes de su paso a producción.

• Se deben definir responsables de administración de las librerías y mantener registros de las bitácoras de acceso.

• Se debe tener un procedimiento de control de cambios para todas las actualizaciones de software en producción.

• Deben existir ambientes y roles separados para desarrollo, pruebas y producción.

• El código fuente de las aplicaciones no debe estar en los equipos destinados a los ambientes de producción.

• Se deben tener procedimientos documentados sobre la realización de las actividades de desarrollo de software.

10.3. Protección de los datos de prueba del sistema de información o aplicación.

No se deben utilizar datos del ambiente de producción en pruebas y desarrollo. En caso de ser necesario el dueño de la información debe autorizar su uso e implementar junto con la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, los controles de protección.

Se deben eliminar cuentas, contraseñas y cualquier otro dato de prueba antes del paso del sistema a producción.

Se deben crear cuentas de usuario y contraseñas para cada tipo de ambiente de pruebas, desarrollo y producción.

Debe existir un procedimiento para controlar la planeación e implementación de los cambios en el ambiente de producción, la evaluación del cambio debe incluir el análisis del impacto, pruebas de funcionalidad operacional, procedimientos de retorno a la operación normal y una firma de aprobación por parte de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y del dueño del proceso.

La oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, debe supervisar y hacer seguimiento al desarrollo de software efectuado internamente y contratado externamente.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 11.—Política de gestión de incidentes de seguridad de la información.

“Garantizar que los incidentes de seguridad de la información se reportan, se toman acciones correctivas para su solución y se documentan de manera oportuna”.

PAR.—Un plan de continuidad de negocio está orientado a la operación continua de los procesos críticos del instituto, después de un incidente no planificado. Por cada proceso crítico se debe identificar los impactos potenciales que amenazan al instituto, estableciendo un plan que permita continuar con las actividades en caso de una interrupción.

Se deben revisar las vulnerabilidades técnicas de los sistemas de información y la infraestructura del instituto, para identificar el nivel de riesgo, tomar las acciones necesarias para tratar estos riesgos y responder oportunamente. Los escaneos de vulnerabilidad (internos) se deben ejecutar como mínimo trimestralmente y/o después de cada cambio significativo en la red.

Se deben identificar las vulnerabilidades de las aplicaciones e infraestructura mediante el uso de herramientas para su detección y el acceso a la información de los proveedores. La instalación de parches se debe realizar de acuerdo al proceso de control de cambios.

Todos los servidores públicos proveedores (contratistas), terceros y demás personas que puedan tener acceso a los sistemas y servicios de información deben:

• Reportar cualquier debilidad observada o que se sospeche en la seguridad de los servicios o sistemas, por medio de la herramienta de soporte técnico y/o mesa de ayuda.

• Participar en las campañas de sensibilización en materia de seguridad de los activos de información del instituto.

Se debe tener definido un manual de procedimiento de gestión de incidentes de seguridad de la información con las responsabilidades y niveles de escalamiento, para asegurar una respuesta rápida, eficaz, eficiente y metódica a los incidentes de seguridad de la información.

Este procedimiento debe incluir:

• Funciones, responsabilidades y estrategias de comunicación contacto en caso de un compromiso de seguridad, incluyendo notificación al usuario.

• Análisis de los requisitos legales del informe del suceso que afectó la seguridad.

• Las acciones, correcciones y pasos a seguir frente a la atención de incidentes de seguridad debe ser comunicada a los líderes de proceso, jefes de dependencia y responsables de los activos de información involucrados.

• Acuerdos de confidencialidad, en caso de requerirse apoyo de entes externos o terceros para la atención de incidentes de seguridad.

La ejecución del plan de tratamiento de incidentes de seguridad debe estar a cargo del responsable de la seguridad de la información.

Todos los incidentes de seguridad, sus efectos y las acciones tomadas deben ser reportados periódicamente al comité antitrámites, gobierno en línea y seguridad de la información por el responsable de seguridad de la información.

El procedimiento de manejo de los incidentes, debe ser revisado una vez al año por el comité antitrámites, gobierno en línea y seguridad de la información, para realizar el mejoramiento continuo del procedimiento y para verificar que los criterios establecidos estén acordes con el actual funcionamiento del instituto y con la legislación vigente.

11.1. Recolección de evidencia.

La evidencia se debe recolectar, retener y presentar, de acuerdo al procedimiento de manejo de evidencias involucrado en el procedimiento de gestión de incidentes de seguridad de la información.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 12.—Política de continuidad de actividades.

“Garantizar la disponibilidad de los procesos críticos del instituto la continuidad de su operación, con base en los tiempos de recuperación y el impacto que puedan generar los eventos”.

Se debe contar con un plan de contingencias tecnológico y de continuidad del instituto, debidamente probado y actualizado periódicamente, que garantice la continuidad de los sistemas de misión crítica en la plataforma de la entidad, debe cubrir desde aplicativos y máquinas hasta sitio de operación alterno, manteniendo la disponibilidad de información en los niveles y tiempos requeridos.

Se deben identificar los eventos que puedan causar interrupciones a los procesos del instituto, junto con la probabilidad y el impacto de cada interrupción y las consecuencias en la seguridad de la información. Los servidores públicos del Instituto deben conocer el plan de continuidad del instituto y su respectiva función dentro de él.

Se deben proteger los servicios del instituto contra daños o denegación del servicio, por atacantes externos y/o fallas internas de los equipos.

Se debe implementar redundancia en los servicios teleinformáticos, acorde con la importancia de la provisión continua del servicio y la capacidad para realizar reparaciones rápidas.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 13.—Política de cumplimiento.

“Garantizar el cumplimiento de las obligaciones legales, regulatorias y contractuales establecidas, en referencia a la seguridad de la información”.

13.1. Derechos de propiedad intelectual.

Se deben incluir en todos los contratos las cláusulas que indiquen las responsabilidades de tipo legal con relación a los derechos de autor, para precaver las posibles violaciones a la legislación.

Para el cumplimiento del licenciamiento de software se debe cumplir lo siguiente:

• Se debe tener una herramienta o procedimiento que permita controlar las licencias vigentes del software utilizado por el instituto, bajo la responsabilidad de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad.

• Se debe mantener evidencia de las licencias que son propiedad del instituto.

• No se debe exceder el número de usuarios permitidos por una licencia.

• Se debe hacer al menos una revisión anual, que garantice que solo se tiene software licenciado.

• Antes de enviar información por correo electrónico, se debe tener la respectiva aprobación del titular de los derechos de autor.

13.2. Protección de los registros de información.

Se deben tener definidos los periodos de retención, los tipos de medio de almacenamiento y los procedimientos de destrucción, de acuerdo con las tablas de retención documental y la clasificación de la información.

13.3. Protección de datos y privacidad de la información personal.

El manejo de la información personal y privada debe ser acorde con los reglamentos y la legislación correspondientes.

El monitoreo o grabación de cualquier tipo de información, debe requerir del previo aviso y autorización de las partes involucradas.

Las sanciones por el uso indebido de los recursos y servicios informáticos, son las previstas en los regímenes disciplinario o contractual.

La evaluación del cumplimiento de las políticas de seguridad de la información debe ser responsabilidad de la oficina de control interno, de acuerdo a la estructura orgánica de la entidad y debe ser de carácter obligatorio para todos los servidores públicos del instituto.

Se debe tener un procedimiento de auditoría, para evaluar el cumplimiento de las políticas de seguridad, de los requisitos legales y de las obligaciones contractuales, así como de terceros.

El seguimiento y monitoreo del cumplimiento de las políticas de seguridad de la información y su aplicación en los sistemas de información y la infraestructura tecnológica del instituto, debe ser responsabilidad de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, liderado por el responsable de seguridad de la información.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)

ART. 14.—Responsabilidad. Todas las dependencias del instituto son responsables del desarrollo y cumplimiento de las políticas expuestas en esta resolución, bajo la coordinación de la oficina de informática y telecomunicaciones, de acuerdo a la estructura orgánica de la entidad, y el responsable de seguridad de la información.

Dentro del año y medio siguiente a la expedición de esta resolución se implementará y verificará el cumplimiento de la política del sistema de gestión de seguridad de la información, que deberá actualizarse y mejorarse continuamente.

Publíquese, comuníquese y cúmplase.

Dada en Bogotá, D.C., a 7 de junio de 2012.

(Nota: Derogada por la Resolución 234 de 2016 artículo 11 del Instituto Geográfico Agustín Codazzi)