M TI 01 Manual Sistema Seguridad Informacion

MANUAL DE LA POLTICA DE SEGURIDAD PARA LAS TECNOLOGAS DE LA
INFORMACIN Y LAS COMUNICACIONES - TICS
Bogot D.C., Mayo 2016
MANUAL DE LA POLTICA DE SEGURIDAD PARA

LAS TECNOLOGAS DE LA INFORMACIN Y LAS
COMUNICACIONES - TICS
Proceso asociado: Tecnologas de Informacin y Comunicaciones
Cdigo: M-TI-01
Versin 06
TABLA DE CONTENIDO
1.
2.
3.
4.
4.1.
OBJETIVO ------------------------------------------------------------------------------------------- 4
ALCANCE ------------------------------------------------------------------------------------------- 4
TRMINOS Y DEFINICIONES ---------------------------------------------------------------------- 4
POLTICAS, PROCEDIMIENTOS Y CONTROLES ------------------------------------------------ 11
Polticas de seguridad de la informacin ---------------------------------------------------------- 11
4.1.1. Polticas generales de seguridad de la informacin ------------------- Error! Marcador no definido.

4.1.2. Poltica de clasificacin de la informacin ---------------------------------------------------------------------- 13
4.1.3. Polticas de seguridad para los recursos humanos ---------------------------------------------------------- 13
4.1.4. Polticas especficas para usuarios del DAPRE -------------------------------------------------------------- 14
4.1.5. Polticas especficas para funcionarios y contratistas del rea de Tecnologa y Sistemas de
Informacin ------------------------------------------------------------------------------------------------------------- 16
4.1.6. Polticas especficas para Webmaster -------------------------------------------------------------------------- 17
4.1.7. Poltica de Tercerizacin u Outsourcing ------------------------------------------------------------------------ 18
4.1.8. Poltica de retencin y archivo de datos ------------------------------------------------------------------------ 19
4.1.9. Poltica de disposicin de informacin, medios y equipos ------------------------------------------------- 19
4.1.10. Poltica de respaldo y restauracin de informacin ---------------------------------------------------------- 19
4.1.11. Poltica de gestin de activos de informacin ----------------------------------------------------------------- 21
4.1.12. Poltica de uso de los activos -------------------------------------------------------------------------------------- 21
4.1.13. Poltica de uso de estaciones cliente ---------------------------------------------------------------------------- 23
4.1.14. Poltica de uso de Internet ------------------------------------------------------------------------------------------ 24
4.1.15. Poltica de uso de mensajera instantnea y redes sociales ---------------------------------------------- 25
4.1.16. Poltica de uso de discos de red o carpetas virtuales ------------------------------------------------------- 25
4.1.17. Poltica de uso de impresoras y del servicio de Impresin ------------------------------------------------- 26
4.1.18. Poltica de uso de puntos de red de datos (red de rea local LAN) ------------------------------------ 27
4.1.19. Polticas de seguridad del centro de datos y centros de cableado --------------------------------------- 27
4.1.20. Polticas de seguridad de los Equipos -------------------------------------------------------------------------- 29
4.1.21. Poltica de escritorio y pantalla limpia --------------------------------------------------------------------------- 30
4.1.22. Poltica de uso de correo electrnico ---------------------------------------------------------------------------- 30
4.1.23. Poltica de control de acceso -------------------------------------------------------------------------------------- 32
2

Cdigo: M-TI-01
Versin 06
4.1.24. Poltica de establecimiento, uso y proteccin de claves de acceso ------------------------------------- 33

4.1.25. Poltica de adquisicin, desarrollo y mantenimiento de sistemas de informacin -------------------- 34
4.2.
Procedimientos que apoyan la Poltica de Seguridad ---------------------------------------------- 39
4.2.1. Procedimiento de control de documentos ---------------------------------------------------------------------- 39

4.2.2. Procedimiento de control de registros --------------------------------------------------------------------------- 39
4.2.3. Procedimiento de auditora interna ------------------------------------------------------------------------------- 40
4.2.4. Procedimiento de accin correctiva ------------------------------------------------------------------------------ 40
4.2.5. Procedimiento de accin preventiva ----------------------------------------------------------------------------- 40
4.2.6. Procedimiento de revisin del Manual de Poltica de Seguridad ----------------------------------------- 41
4.3.
Gestin de los Incidentes de la Seguridad de la Informacin -------------------------------------- 41
4.4.
Proceso Disciplinario -------------------------------------------------------------------------------- 41
4.5.
Gestin de la Continuidad del Negocio ------------------------------------------------------------- 43
4.6.
Cumplimiento---------------------------------------------------------------------------------------- 44
4.7.
Controles -------------------------------------------------------------------------------------------- 44
4.8.
Declaracin de aplicabilidad ----------------------------------------------------------------------- 44
5.
6.
7.
8.
MARCO LEGAL ------------------------------------------------------------------------------------- 45

REQUISITOS TCNICOS ------------------------------------------------------------------------- 45
DOCUMENTOS ASOCIADOS ---------------------------------------------------------------------- 46
RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------- 46

Cdigo: M-TI-01
Versin 06
1. OBJETIVO
Presentar en forma clara y coherente los elementos que conforman la poltica de seguridad que deben conocer y
cumplir todos los directivos, funcionarios contratistas y terceros que presten sus servicios o tengan algn tipo de
relacin con el Departamento Administrativo de la Presidencia de la Repblica.
2. ALCANCE
Las Polticas de Seguridad de la Informacin son aplicables para todos los aspectos administrativos y de control que
deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algn
tipo de relacin con el Departamento Administrativo de la Presidencia de la Repblica - DAPRE, para el adecuado
cumplimiento de sus funciones y para conseguir un adecuado nivel de proteccin de las caractersticas de calidad y
seguridad de la informacin, aportando con su participacin en la toma de medidas preventivas y correctivas, siendo
un punto clave para el logro del objetivo y la finalidad del presente manual. Los usuarios tienen la obligacin de dar
cumplimiento a las presentes polticas emitidas y aprobadas por la Direccin General.
3. TRMINOS Y DEFINICIONES
Accin correctiva: Medida de tipo reactivo orientada a eliminar la causa de una no conformidad asociada a la
implementacin y operacin del SGSI con el fin de prevenir su repeticin.
Accin preventiva: Medida de tipo pro-activo orientada a prevenir potenciales no conformidades asociadas a la
implementacin y operacin del SGSI.
Aceptacin del Riesgo: Decisin de aceptar un riesgo.
Activo: Segn [ISO/lEC 13335-12004]: Cualquier cosa que tiene valor para la organizacin. Tambin se entiende
por cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin.
Es todo activo que contiene informacin, la cual posee un valor y es necesaria para realizar los procesos misionales
y operativos del DAPRE. Se pueden clasificar de la siguiente manera:
-
Datos: Son todos aquellos elementos bsicos de la informacin (en cualquier formato) que se generan,
recogen, gestionan, transmiten y destruyen en el DAPRE. Ejemplo: archivo de Word listado de
personal.docx
Aplicaciones: Es todo el software que se utiliza para la gestin de la informacin. Ejemplo: SIGEPRE.
Personal: Es todo el personal del DAPRE, el personal subcontratado, los clientes, usuarios y en general,
todos aquellos que tengan acceso de una manera u otra a los activos de informacin del DAPRE. Ejemplo:
Pedro Prez.
Servicios: Son tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra,
como los externos, aquellos que la organizacin suministra a clientes y usuarios.
Ejemplo: Publicacin de hojas de vida, solicitud de vacaciones.
4

Cdigo: M-TI-01
Versin 06
Tecnologa: Son todos los equipos utilizados para gestionar la informacin y las comunicaciones
Ejemplo: equipo de cmputo, telfonos, impresoras.
Instalaciones: Son todos los lugares en los que se alojan los sistemas de informacin. Ejemplo: Oficina
Pagadura.
Equipamiento auxiliar: Son todos aquellos activos que dan soporte a los sistemas de informacin y que
no se hallan en ninguno de los tipos anteriormente definidos. Ejemplo: Aire acondicionado, destructora de
papel.
Administracin de riesgos: Gestin de riesgos, es un enfoque estructurado para manejar la incertidumbre relativa
a una amenaza, a travs de una secuencia de actividades humanas que incluyen evaluacin de riesgo, estrategias
de desarrollo para manejarlo y mitigacin del riesgo utilizando recursos gerenciales. Las estrategias incluyen
transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las
consecuencias de un riesgo particular.
Administracin de incidentes de seguridad: Un sistema de seguimiento de incidentes (denominado en ingls
como issue tracking system, trouble ticket system o incident ticket system) es un paquete de software que administra
y mantiene listas de incidentes, conforme son requeridos por una institucin. Los sistemas de este tipo son
comnmente usados en la central de llamadas de servicio al cliente de una organizacin para crear, actualizar y
resolver incidentes reportados por usuarios, o inclusive incidentes reportados por otros funcionarios, contratistas,
colaboradores de la entidad o de terceras partes. Un sistema de seguimiento de incidencias tambin contiene una
base de conocimiento que contiene informacin de cada cliente, soluciones a problemas comunes y otros datos
relacionados. Un sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores (bugtracker)
y, en algunas ocasiones, una entidad de software puede tener ambos, y algunos bugtrackers pueden ser usados
como un sistema de seguimiento de incidentes, y viceversa.
Alcance: mbito de la organizacin que queda sometido al SGSI. Debe incluir la identificacin clara de las
dependencias, interfaces y lmites con el entorno, sobre todo si slo incluye una parte de la organizacin.
Alerta: Una notificacin formal de que se ha producido un incidente relacionado con la seguridad de la informacin
que puede evolucionar hasta convertirse en desastre.
Amenaza: Segn [ISO/lEC 13335-1:2004): causa potencial de un incidente no deseado, el cual puede causar el
dao a un sistema o la organizacin.
Anlisis de riesgos: Segn [ISO/lEC Gua 73:2002): Uso sistemtico de la informacin para identificar fuentes y
estimar el riesgo.
Auditabilidad: Los activos de informacin deben tener controles que permitan su revisin. Permitir la reconstruccin,
revisin y anlisis de la secuencia de eventos.
Auditor: Persona encargada de verificar, de manera independiente, la calidad e integridad del trabajo que se ha
realizado en un rea particular.

Cdigo: M-TI-01
Versin 06
Auditoria: Proceso planificado y sistemtico en el cual un auditor obtiene evidencias objetivas que le permitan emitir
un juicio informado sobre el estado y efectividad del SGSI de una organizacin.
Autenticacin: Proceso que tiene por objetivo asegurar la identificacin de una persona o sistema.
Autenticidad: Los activos de informacin solo pueden estar disponibles verificando la identidad de un sujeto o
recurso, Propiedad que garantiza que la identidad de un sujeto o recurso es la que declara, Se aplica a entidades
tales como usuarios, procesos, sistemas de informacin.
Base de datos de gestin de configuraciones (CMDB, Configuration Management Database): Es una base de
datos que contiene toda la informacin pertinente acerca de los componentes del sistema de informacin utilizado
en una organizacin de servicios de TI y las relaciones entre esos componentes. Una CMDB ofrece una vista
organizada de los datos y una forma de examinar los datos desde cualquier perspectiva que desee. En este contexto,
los componentes de un sistema de informacin se conocen como elementos de configuracin (CI). Un CI puede ser
cualquier elemento imaginable de TI, incluyendo software, hardware, documentacin y personal, as como cualquier
combinacin de ellos. Los procesos de gestin de la configuracin tratan de especificar, controlar y realizar
seguimiento de elementos de configuracin y los cambios introducidos en ellos de manera integral y sistemtica.
B57799: Estndar britnico de seguridad de la informacin, publicado por primera vez en 1995. En 1998, fue
publicada la segunda parte. La parte primera es un conjunto de buenas prcticas para la gestin de la seguridad de
la informacin no es certificable- y la parte segunda especifica el sistema de gestin de seguridad de la informacin
-es certificable-o La parte primera es el origen de ISO 17799 e ISO 27002 Y la parte segunda de ISO 27001. Como
tal el estndar, ha sido derogado ya, por la aparicin de estos ltimos.
Caractersticas de la Informacin: las principales caractersticas son la confidencialidad, la disponibilidad y la
integridad.
Checklist: Lista de apoyo para el auditor con los puntos a auditar, que ayuda a mantener claros los objetivos de la
auditora, sirve de evidencia del plan de auditora, asegura su continuidad y profundidad y reduce los prejuicios del
auditor y su carga de trabajo, Este tipo de listas tambin se pueden utilizar durante la implantacin del SGSI para
facilitar su desarrollo.
CobiT - Control Objectives for Information and related Technology: Publicados y mantenidos por ISACA. Su
misin es investigar, desarrollar, publicar y promover un conjunto de objetivos de control de Tecnologa de
Informacin rectores, actualizados, internacionales y generalmente aceptados para ser empleados por gerentes de
empresas y auditores.
Compromiso de la Direccin: Alineamiento firme de la Direccin de la organizacin con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.
Cmputo forense: El cmputo forense, tambin llamado informtica forense, computacin forense, anlisis forense
digital o exanimacin forense digital es la aplicacin de tcnicas cientficas y analticas especializadas a
infraestructura tecnolgica que permiten identificar, preservar, analizar y presentar datos que sean vlidos dentro de
un proceso legal.

Cdigo: M-TI-01
Versin 06
Confiabilidad: Se puede definir como la capacidad de un producto de realizar su funcin de la manera prevista, De
otra forma, la confiabilidad se puede definir tambin como la probabilidad en que un producto realizar su funcin
prevista sin incidentes por un perodo de tiempo especificado y bajo condiciones indicadas.
Confidencialidad: Acceso a la informacin por parte nicamente de quienes estn autorizados, Segn [ISO/lEC
13335-1:2004]:" caracterstica/propiedad por la que la informacin no est disponible o revelada a individuos,
entidades, o procesos no autorizados.
Control: Las polticas, los procedimientos, las prcticas y las estructuras organizativas concebidas para mantener
los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido, (Nota: Control es tambin utilizado
como sinnimo de salvaguarda).
Control correctivo: Control que corrige un riesgo, error, omisin o acto deliberado antes de que produzca prdidas.
Supone que la amenaza ya se ha materializado pero que se corrige.
Control detectivo: Control que detecta la aparicin de un riesgo, error, omisin o acto deliberado. Supone que la
amenaza ya se ha materializado, pero por s mismo no la corrige.
Control disuasorio: Control que reduce la posibilidad de materializacin de una amenaza, p.ej., por medio de avisos
disuasorios.
Control preventivo: Control que evita que se produzca un riesgo, error, omisin o acto deliberado. Impide que una
amenaza llegue siquiera a materializarse.
Declaracin de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organizacin -tras
el resultado de los procesos de evaluacin y tratamiento de riesgos- adems de la justificacin tanto de su seleccin
como de la exclusin de controles incluidos en el anexo A de la norma.
Denegacin de servicios: Accin iniciada por una persona u otra causa que incapacite el hardware o el software, o
ambos y despus niegue el servicio.
Desastre: Cualquier evento accidental, natural o malintencionado que interrumpe las operaciones o servicios
habituales de una organizacin durante el tiempo suficiente como para verse la misma afectada de manera
significativa.
Directiva: Segn [ISO/lEC 13335-1: 2004): una descripcin que clarifica qu debera ser hecho y cmo, con el
propsito de alcanzar los objetivos establecidos en las polticas.
Disponibilidad: Segn [ISO/lEC 13335-1: 2004): caracterstica o propiedad de permanecer accesible y disponible
para su uso cuando lo requiera una entidad autorizada.
Evaluacin de riesgos: Segn [ISO/lEC Gua 73:2002]: proceso de comparar el riesgo estimado contra un criterio
de riesgo dado con el objeto de determinar la importancia del riesgo.
Evento: Segn [ISO/lEC TR 18044:2004]: Suceso identificado en un sistema, servicio o estado de la red que indica
una posible brecha en la poltica de seguridad de la informacin o fallo de las salvaguardas, o una situacin anterior
desconocida que podra ser relevante para la seguridad.
7

Cdigo: M-TI-01
Versin 06
Evidencia objetiva: Informacin, registro o declaracin de hechos, cualitativa o cuantitativa, verificable y basada en
observacin, medida o test, sobre aspectos relacionados con la confidencialidad, integridad o disponibilidad de un
proceso o servicio o con la existencia e implementacin de un elemento del sistema de seguridad de la informacin.
Gestin de claves: Controles referidos a la gestin de claves criptogrficas.
Gestin de riesgos: Proceso de identificacin, control y minimizacin o eliminacin, a un coste aceptable, de los
riesgos que afecten a la informacin de la organizacin. Incluye la valoracin de riesgos y el tratamiento de riesgos.
Segn [ISO/lEC Gua 73:2002]: actividades coordinadas para dirigir y controlar una organizacin con respecto al
riesgo.
Gusanos: Es un programa de computador que tiene la capacidad de duplicarse a s mismo. A diferencia del virus,
no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a s mismo. Siempre daan
la red (aunque sea simplemente consumiendo ancho de banda).
Impacto: Resultado de un incidente de seguridad de la informacin.
Incidente: Segn [ISO/lEC TR 18044:2004]: Evento nico o serie de eventos de seguridad de la informacin
inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio
y amenazar la seguridad de la informacin.
Informacin: La informacin constituye un importante activo, esencial para las actividades de una organizacin y,
en consecuencia, necesita una proteccin adecuada. La informacin puede existir de muchas maneras. Puede estar
impresa o escrita en papel, puede estar almacenada electrnicamente, ser transmitida por correo o por medios
electrnicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.
Ingeniera Social: En el campo de la seguridad informtica, es la prctica de obtener informacin confidencial a
travs de la manipulacin de usuarios legtimos ganando su confianza muchas veces. Es una tcnica que pueden
utilizar investigadores privados, criminales, delincuentes computacionales (conocidos como cracker) para obtener
informacin, acceso o privilegios en sistemas de informacin que les permiten realizar algn acto que perjudique o
exponga a la persona o entidad a riesgos o abusos.
Integridad: Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ISOIIEC
13335-1: 2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos.
Inventario de activos: Lista de todos aquellos recursos (fsicos, de informacin, software, documentos, servicios,
personas, reputacin de la organizacin, etc.) dentro del alcance del SGSI, que tengan valor para la organizacin y
necesiten por tanto ser protegidos de potenciales riesgos.
IPS: Sistema de prevencin de intrusos. Es un dispositivo que ejerce el control de acceso en una red informtica
para proteger a los sistemas computacionales de ataques y abusos.
ISO: Organizacin Internacional de Normalizacin, con sede en Ginebra (Suiza). Es una agrupacin de
organizaciones nacionales de normalizacin cuyo objetivo es establecer, promocionar y gestionar estndares.

Cdigo: M-TI-01
Versin 06
ISO 17799: Cdigo de buenas prcticas en gestin de la seguridad de la informacin adoptado por ISO transcribiendo
la primera parte de BS7799. A su vez, da lugar a ISO 27002 por cambio de nomenclatura el 1 de Julio de 2007. No
es certificable.
ISO 19011: "Guidelines for quality and/or environmental management systems auditing". Gua de utilidad para el
desarrollo de las funciones de auditor interno para un SGSI.
ISO 27001: Estndar para sistemas de gestin de la seguridad de la informacin adoptado por ISO transcribiendo la
segunda parte de BS 7799. Es certificable. Primera publicacin en 20005.
ISO 27002: Cdigo de buenas prcticas en gestin de la seguridad de la informacin (transcripcin de ISO 17799).
No es certificable. Cambio oficial de nomenclatura de ISO 17799:20005 a ISO 27002:20005 el 1 de Julio de 2007.
ISO 9000: Normas de gestin y garanta de calidad definidas por la ISO.
ISO/lEC TR 13335-3: "Information technology. Guidelines for the management of IT Security .Techniques for the
management of IT Security." Gua de utilidad en la aplicacin de metodologas de evaluacin del riesgo.
ISO/lEC TR 18044: "Information technology. Security techniques. Information security incident management". Gua
de utilidad para la gestin de incidentes de seguridad de la informacin.
ITIL IT Infrastructure Library: Un marco de gestin de los servicios de tecnologas de la informacin.
Keyloggers: Aplicaciones que registran el teclado efectuado por un usuario.
Legalidad: El principio de legalidad o Primaca de la ley es un principio fundamental del Derecho pblico conforme
al cual todo ejercicio del poder pblico debera estar sometido a la voluntad de la ley de su jurisdiccin y no a la
voluntad de las personas (ej. el Estado sometido a la constitucin o al Imperio de la ley). Por esta razn se dice que
el principio de legalidad establece la seguridad jurdica, Seguridad de Informacin, Seguridad informtica y garanta
de la informacin.
No conformidad: Situacin aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algn
aspecto de un requerimiento de control que permita dudar de la adecuacin de las medidas para preservar la
confidencialidad, integridad o disponibilidad de informacin sensible, o representa un riesgo menor.
No conformidad grave: Ausencia o fallo de uno o varios requerimientos de la ISO 27001 que, basada en evidencias
objetivas, permita dudar seriamente de la adecuacin de las medidas para preservar la confidencialidad, integridad
o disponibilidad de informacin sensible, o representa un riesgo inaceptable.
No repudio: Los activos de informacin deben tener la capacidad para probar que una accin o un evento han tenido
lugar, de modo que tal evento o accin no pueda ser negado posteriormente.
PDCA Plan-Do-Check-Act: Modelo de proceso basado en un ciclo continuo de las actividades de planificar
(establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar
(mantener y mejorar el SGSI).

Cdigo: M-TI-01
Versin 06
Phishing: Tipo de delito encuadrado dentro del mbito de las estafas, que se comete mediante el uso de un tipo de
ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser
una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria).
Plan de continuidad del negocio (Bussines Continuity Plan): Plan orientado a permitir la continuacin de las
principales funciones de la Entidad en el caso de un evento imprevisto que las ponga en peligro.
Plan de tratamiento de riesgos (Risk treatment plan): Documento de gestin que define las acciones para reducir,
prevenir, transferir o asumir los riesgos de seguridad de la informacin inaceptables e implantar los controles
necesarios para proteger la misma.
Poltica de seguridad: Documento que establece el compromiso de la Direccin y el enfoque de la organizacin en
la gestin de la seguridad de la informacin. Segn [ISO/lEC 27002:20005): intencin y direccin general expresada
formalmente por la Direccin.
Poltica d escritorio despejado: La poltica de la empresa que indica a los funcionarios, contratista y dems
colaboradores del DAPRE, que deben dejar su escritorio libre de cualquier tipo de informaciones susceptibles de mal
uso al finalizar el da.
Proteccin a la duplicidad: La proteccin de copia, tambin conocida como prevencin de copia, es una medida
tcnica diseada para prevenir la duplicacin de informacin. La proteccin de copia es a menudo tema de discusin
y se piensa que en ocasiones puede violar los derechos de copia de los usuarios, por ejemplo, el derecho a hacer
copias de seguridad de una videocinta que el usuario ha comprado de manera legal, el instalar un software de
computadora en varias computadoras, o el subir la msica a reproductores de audio digital para facilitar el acceso y
escucharla.
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o
dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la probabilidad de un evento y sus
consecuencias.
Riesgo Residual: Segn [ISOIIEC Gua 73:2002] El riesgo que permanece tras el tratamiento del riesgo.
Salvaguarda: Vase: Control.
Segregacin de tareas: Separar tareas sensibles entre distintos funcionarios o contratistas para reducir el riesgo de
un mal uso de los sistemas e informaciones deliberado o por negligencia.
Seguridad de la informacin: Segn [ISO/lEC 27002:20005]: Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin; adems, otras propiedades como autenticidad, responsabilidad, no repudio,
trazabilidad y fiabilidad pueden ser tambin consideradas.
Seleccin de controles: Proceso de eleccin de los controles que aseguren la reduccin de los riesgos a un nivel
aceptable.
SGSI Sistema de Gestin de la Seguridad de la Informacin: Segn [ISO/lEC 27001: 20005]: la parle de un
sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitoriza, revisa,
10

Cdigo: M-TI-01
Versin 06
mantiene y mejora la seguridad de la informacin. (Nota: el sistema de gestin incluye una estructura de organizacin,
polticas, planificacin de actividades, responsabilidades, procedimientos, procesos y recursos.)
Servicios de tratamiento de informacin: Segn [ISO/lEC 27002:20005]: cualquier sistema, servicio o
infraestructura de tratamiento de informacin o ubicaciones fsicas utilizados para su alojamiento.
Spamming: Se llama spam, correo basura o sms basura a los mensajes no solicitados, habitualmente de tipo
publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al
receptor. La accin de enviar dichos mensajes se denomina spamming. La va ms usada es el correo electrnico.
Sniffers: Programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad
docente o de control, aunque tambin puede ser utilizado con fines maliciosos.
Spoofing: Falsificacin de la identidad origen en una sesin: la identidad es por una direccin IP o Mac Address.
Tratamiento de riesgos: Segn [ISO/IEC Gua 73:2002]: Proceso de seleccin e implementacin de medidas para
modificar el riesgo.
Trazabilidad: Propiedad que garantiza que las acciones de una entidad se puede rastrear nicamente hasta dicha
entidad.
Troyano: Aplicacin que aparenta tener un uso legtimo pero que tiene funciones ocultas diseadas para sobrepasar
los sistemas de seguridad.
Usuario: en el presente documento se emplea para referirse a directivos, funcionarios, contratistas, terceros y otros
colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas o aplicativos informticos
disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.
Valoracin de riesgos: Segn [ISO/lEC Gua 73:2002]: Proceso completo de anlisis y evaluacin de riesgos.
Virus: tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o conocimiento del usuario.
Vulnerabilidad: Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que
una amenaza afecte a un activo. Segn [ISOIlEC 13335-1:2004]: debilidad de un activo o conjunto de activos que
puede ser explotado por una amenaza.
4. POLTICAS, PROCEDIMIENTOS Y CONTROLES

4.1. Polticas de seguridad de la informacin
Las Polticas de Seguridad de la Informacin, surgen como una herramienta institucional para sensibilizar a cada uno
de los directivos, funcionarios, contratistas y terceros que presten sus servicios o tengan algn tipo de relacin con
el DAPRE sobre la importancia y sensibilidad de la informacin y servicios crticos, de tal forma que le permitan
desarrollar adecuadamente sus labores y cumplir con su propsito misional.
11

Cdigo: M-TI-01
Versin 06
Objetivo:
Definir las pautas de propsito general para asegurar una adecuada proteccin de la informacin del DAPRE.
Brindar apoyo y orientacin a la direccin con respecto a la seguridad de la informacin, de acuerdo con los requisitos
del negocio y los reglamentos y las leyes pertinentes.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores,
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos los usuarios de la
informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Se debe verificar que se definan, implementen, revisen y actualicen las polticas de seguridad de la informacin.
Disear, programar y realizar los programas de auditora del sistema de gestin de seguridad de la informacin,
los cuales estarn a cargo de la Oficina de Control Interno.
Todo aplicativo informtico o software debe ser comprado o aprobado por el rea de Tecnologa y Sistemas de
Informacin en concordancia con la poltica de adquisicin de bienes de la entidad de acuerdo con lo definido
en el proceso C-BS-07 Adquisicin de Bienes y Servicios.
El DAPRE debe contar con un firewall o dispositivo de seguridad perimetral para la conexin a Internet o cuando
sea inevitable para la conexin a otras redes en outsourcing o de terceros.
La conexin remota a la red de rea local del DAPRE debe realizarse a travs de una conexin VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada, a excepcin de los casos que
autorice el rea de Tecnologa y Sistemas de Informacin.
Los jefes de rea o dependencia deben asegurarse que todos los procedimientos de seguridad de la informacin
dentro de su rea de responsabilidad, se realizan correctamente para lograr el cumplimiento de las polticas y
estndares de seguridad de la informacin del DAPRE.
El DAPRE en caso de tener un servicio de transferencia de archivos deber realizarlo empleando protocolos
seguros. Cuando el origen sea el DAPRE hacia entidades externas, el DAPRE establecer los controles
necesarios para preservar la seguridad de la informacin; cuando el origen de la transferencia sea una entidad
externa, se acordarn las polticas y controles de seguridad de la informacin con esa entidad; en todo caso se
deben revisar y proponer controles en concordancia con las polticas de seguridad de la informacin del DAPRE;
los resultados de la revisin de requerimientos de seguridad se documentarn y preservarn para futuras
referencias o para demostrar el cumplimiento con las polticas y con los controles de seguridad del DAPRE.
El comit de seguridad informtica y de sistemas del DAPRE definir de acuerdo a la clasificacin de la informacin,
que datos deben ser cifrados y dar las directrices necesarias para la implementacin de los respectivos controles
(dispositivos a emplear, mecanismos de administracin de claves, polticas de uso de sistemas de cifrado de datos).
12

Cdigo: M-TI-01
Versin 06
4.1.1. Poltica de clasificacin de la informacin.

Objetivo:
Asegurar que la informacin recibe el nivel de proteccin apropiado de acuerdo al tipo de clasificacin establecido
por la ley y el DAPRE.
Aplicabilidad:
Estas polticas se aplican a la Alta Direccin, Altos Consejeros, Consejeros Presidenciales, Directores, Secretarios,
Jefes de Oficina y Jefes de rea, de acuerdo al documento G-GD-02 GUA PARA LA CALIFICACIN DE LA
INFORMACIN DE ACUERDO CON SUS NIVELES DE SEGURIDAD.
Directrices:
Se considera informacin toda forma de comunicacin o representacin de conocimiento o datos digitales, escritos
en cualquier medio, ya sea magntico, papel, visual u otro que genere el DAPRE como por ejemplo:
Formularios / comprobantes propios o de terceros.
Informacin en los sistemas, equipos informticos, medios magnticos/electrnicos o medios fsicos como
papel.
Otros soportes magnticos/electrnicos removibles, mviles o fijos.
Informacin transmitida va oral o por cualquier otro medio de comunicacin.
Los usuarios responsables de la informacin del DAPRE, deben identificar los riesgos a los que est expuesta la
informacin de sus reas, teniendo en cuenta que la informacin pueda ser copiada, divulgada, modificada o
destruida fsica o digitalmente por personal interno o externo.
Un activo de informacin es un elemento definible e identificable que almacena registros, datos o informacin en
cualquier tipo de medio y que es reconocida como Valiosa para el DAPRE; Independiente del tipo de activo, se
deben considerar las siguientes caractersticas.
1) El activo de informacin es reconocido como valioso para el DAPRE.
2) No es fcilmente reemplazable sin incurrir en costos, habilidades especiales, tiempo, recursos o la
combinacin de los anteriores.
3) Forma parte de la identidad de la organizacin y sin el cual el DAPRE puede estar en algn nivel de
riesgo. (La determinacin del nivel y tipo de riesgo se estima sobre la base del modelo MECI del DAPRE).
4) Los niveles de clasificacin de la informacin que se ha establecido son: INFORMACIN PBLICA
RESERVADA, INFORMACIN PBLICA CLASIFICADA (PRIVADA Y SEMI-PRIVADA) e INFORMACIN
PBLICA.
Los aspectos detallados de la poltica de clasificacin de la informacin se encuentran en el documento G-GD-02
GUA PARA LA CALIFICACIN DE LA INFORMACIN DE ACUERDO CON SUS NIVELES DE SEGURIDAD
4.1.2. Polticas de seguridad para los recursos humanos.

Objetivo:
Asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan sus responsabilidades y
las funciones de sus roles y usuarios, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado
de la informacin y de las instalaciones.
13

Cdigo: M-TI-01
Versin 06
Aplicabilidad:
Directrices:
Se debe asegurar que los funcionarios, contratistas y dems colaboradores del DAPRE, entiendan sus
responsabilidades en relacin con las polticas de seguridad de la informacin del DAPRE y acten de manera
consistente frente a las mismas, con el fin de reducir el riesgo de hurto, fraude, filtraciones o uso inadecuado de la
informacin o los equipos empleados para el tratamiento de la informacin
4.1.3. Polticas especficas para usuarios del DAPRE.

Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de los
usuarios de la entidad.
Aplicabilidad:
Directrices:
El DAPRE suministra una cuota de almacenamiento de la informacin en un servidor de archivos con los
permisos necesarios para que cada usuario guarde la informacin que crea importante y sobre ella se
garantizar la disponibilidad en caso de un dao en el equipo asignado, esta informacin ser guardada durante
un mximo de 2 aos; es de aclarar que el usuario final deber copiar la informacin necesaria en la carpeta
destinada para este fin (Mi Arbolito) la cual tiene un acceso directo en el escritorio del PC.
El DAPRE instalar copia de los programas que han sido adquiridos legalmente en los equipos asignados en
las cantidades requeridas para suplir las necesidades. El uso de programas sin su respectiva licencia y
autorizacin del DAPRE (imgenes, vdeos, software o msica), obtenidos a partir de otras fuentes (internet,
dispositivos de almacenamiento externo), puede implicar amenazas legales y de seguridad de la informacin
para la entidad, por lo que sta prctica no est autorizada.
Todo el software usado en la plataforma tecnolgica del DAPRE debe tener su respectiva licencia y acorde con
los derechos de autor.
El DAPRE no se hace responsable por las copias no autorizadas de programas instalados o ejecutados en los
equipos asignados a sus funcionarios o contratistas.
El uso de dispositivos de almacenamiento externo (dispositivos mviles, DVD, CD, memorias USB, agendas
electrnicas, celulares, etc.) pueden ocasionalmente generar riesgos para la entidad al ser conectados a los
computadores, ya que son susceptibles de transmisin de virus informticos o pueden ser utilizados para la
extraccin de informacin no autorizada. Para utilizar dispositivos de almacenamiento externo se debe obtener
14

Cdigo: M-TI-01
Versin 06
aprobacin formal e individual del rea de Tecnologa y Sistemas de Informacin del DAPRE, previa solicitud
escrita por parte del jefe inmediato.
Los programas instalados en los equipos, son de propiedad del DAPRE, la copia no autorizada de programas o
de su documentacin, implica una violacin a la poltica general del DAPRE. Aquellos funcionarios, contratistas
o dems colaboradores que utilicen copias no autorizadas de programas o su respectiva documentacin,
quedarn sujetos a las acciones disciplinarias establecidas por el DAPRE o las sanciones que especifique la ley.
El DAPRE se reserva el derecho de proteger su buen nombre y sus inversiones en hardware y software,
fomentando controles internos para prevenir el uso o la realizacin de copias no autorizadas de los programas
de propiedad de la entidad. Estos controles pueden incluir valoraciones peridicas del uso de los programas,
auditoras anunciadas y no anunciadas.
Los recursos tecnolgicos y de software asignados a los funcionarios del DAPRE son responsabilidad de cada
funcionario.
Los usuarios son los responsables de la informacin que administran en sus equipos personales y deben
abstenerse de almacenar en ellos informacin no institucional, de acuerdo con la gua de clasificacin de la
informacin.
Los usuarios solo tendrn acceso a los datos y recursos autorizados por el DAPRE, y sern responsables
disciplinaria y legalmente de la divulgacin no autorizada de esta informacin.
Es responsabilidad de cada usuario proteger la informacin que est contenida en documentos, formatos,
listados, etc., los cuales son el resultado de los procesos informticos; adicionalmente se deben proteger los
datos de entrada de estos procesos.
Los dispositivos electrnicos (computadores, impresoras, fotocopiadoras, escner, etc.) solo deben utilizarse
para los fines autorizados por la entidad.
Cualquier evento o posible incidente que afecte la seguridad de la informacin, debe ser reportado
inmediatamente a la mesa de ayuda (PUC Punto nico de Contacto) del rea de Tecnologa y Sistemas de
Informacin del DAPRE o al CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante
Incidencias de Seguridad).
Los jefes de las diferentes reas del DAPRE, en conjunto con el Comit de Seguridad Informtica y de Sistemas
propiciarn actividades para concienciar al personal sobre las precauciones necesarias que deben realizar los
usuarios finales, para evitar revelar informacin confidencial cuando se hace una llamada telefnica, que pueda
ser interceptada mediante acceso fsico a la lnea o al auricular o ser escuchada por personas que se encuentren
cerca. Lo anterior debe aplicar tambin cuando el funcionario, contratista o colaborador se encuentre en sitios
pblicos como restaurantes, transporte pblico, ascensores, etc.
Los datos de los sistemas de informacin y aplicaciones no deben intercambiarse utilizando archivos
compartidos en los computadores, discos virtuales, CD, DVD, medios removibles; deben usarse los mismos
servicios del sistema de informacin, los cuales estn controlados y auditados.
15

Cdigo: M-TI-01
Versin 06
4.1.4. Polticas especficas para funcionarios y contratistas del rea de Tecnologa y Sistemas
de Informacin.
Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE por parte de los
funcionarios y contratistas de TI de la entidad.
Aplicabilidad:
Estas polticas aplican a los funcionarios, contratistas, colaboradores del DAPRE actuales o por ingresar y a terceros
que estn encargados de cualquier sistema de informacin.
Directrices:
El personal del rea de Tecnologa y Sistemas de Informacin no debe dar a conocer su clave de usuario a
terceros sin previa autorizacin del Jefe del rea de Tecnologa y Sistemas de Informacin.
Los usuarios y claves de los administradores de sistemas y del personal del rea de Tecnologa y Sistemas
de Informacin son de uso personal e intransferible.
El personal del rea de Tecnologa y Sistemas de Informacin debe emplear obligatoriamente las claves o
contraseas con un alto nivel de complejidad y utilizar los servicios de autenticacin fuerte que posee la entidad
de acuerdo al rol asignado.
Los administradores de los sistemas de informacin deben seguir las polticas de cambio de clave y utilizar
procedimiento de salvaguarda o custodia de las claves o contraseas en un sitio seguro. A este lugar solo debe
tener acceso el Jefe del rea de Tecnologa y Sistemas de Informacin o el Asesor de Seguridad Informtica.
Los documentos y en general la informacin de procedimientos, seriales, software etc. deben mantenerse
custodiados en todo momento para evitar el acceso a personas no autorizadas.
Para el cambio o retiro de equipos de funcionarios, se deben seguir polticas de saneamiento, es decir llevar
a cabo mejores prcticas para la eliminacin de la informacin de acuerdo al software disponible en la entidad.
Ej: Formateo seguro, destruccin total de documentos o borrado seguro de equipos electrnicos.
Los funcionarios encargados de realizar la instalacin o distribucin de software, slo instalarn productos con
licencia y software autorizado.
Los funcionarios del rea de Tecnologa y Sistemas de Informacin no deben otorgar privilegios especiales a
los usuarios sobre las estaciones de trabajo, sin la autorizacin correspondiente del Jefe del rea de
Tecnologa y Sistemas de Informacin y el registro en el sistema de la mesa de ayuda (PUC).
Los funcionarios del rea de Tecnologa y Sistemas de Informacin se obligan a no revelar a terceras
personas, la informacin a la que tengan acceso en el ejercicio de sus funciones de acuerdo con la GUA
PARA LA CALIFICACIN DE LA INFORMACIN DE ACUERDO CON SUS NIVELES DE SEGURIDAD. En
consecuencia, se obligan a mantenerla de manera confidencial y privada y a protegerla para evitar su
divulgacin.
16

Cdigo: M-TI-01
Versin 06
Los funcionarios del rea de Tecnologa y Sistemas de Informacin no utilizarn la informacin para fines
comerciales o diferentes al ejercicio de sus funciones.
Toda licencia de software o aplicativo informtico y sus medios, se deben guardar y relacionar de tal forma
que asegure su proteccin y disposicin en un futuro.
Las copias licenciadas y registradas del software adquirido, deben ser nicamente instaladas en los equipos y
servidores de la entidad. Se deben hacer copias de seguridad en concordancia con las polticas del proveedor
y de la entidad.
La copia de programas o documentacin, requiere tener la aprobacin escrita del DAPRE y del proveedor si
ste lo exige.
El personal del rea de Tecnologa y Sistemas de Informacin debe velar por que se cumpla con el registro
en la bitcora de acceso al datacenter, de las personas que ingresen y que hayan sido autorizadas previamente
por la jefatura del rea o por quien esta delegue.
Por defecto deben ser bloqueados, todos los protocolos y servicios que no se requieran en los servidores; no
se debe permitir ninguno de ellos, a menos que sea solicitado y aprobado oficialmente por la entidad a travs
del Comit de Seguridad Informtica y de Sistemas establecido en la resolucin 5519 del 1 de diciembre de
2014 o el Asesor para la de Seguridad Informtica.
Aquellos servicios y actividades que no son esenciales para el normal funcionamiento de los sistemas de
informacin, deben ser aprobados oficialmente por la entidad, a travs del Comit de Seguridad Informtica y
de Sistemas, cuyas funciones se encuentran en la resolucin 5519 del 1 de diciembre de 2014 y deben ser
asegurados mediante controles que permitan la preservacin de la seguridad de la informacin.
El acceso a cualquier servicio, servidor o sistema de informacin debe ser autenticado y autorizado.
Todos los servidores deben ser configurados con el mnimo de servicios necesarios y obligatorios para
desarrollar las funciones designadas.
Las pruebas de laboratorio o piloto deben ser autorizadas por el Comit de Seguridad Informtica y de
Sistemas, para sistemas de informacin, de software tipo freeware o shareware o de sistemas que necesiten
conexin a internet; estas deben ser realizadas sin conexin a la red LAN de la entidad y con una conexin
separada de internet o en su defecto con una direccin IP diferente a las direcciones pblicas de produccin.
4.1.5. Polticas especficas para Webmaster.

Objetivo:
Proteger la integridad de las pginas Web institucionales, el software y la informacin contenida.
Aplicabilidad:
que se encuentren desempeando el rol de Webmaster.
17

Cdigo: M-TI-01
Versin 06
Directrices:
Los responsables de los contenidos de las pginas Web (webmasters), deben preparar y depurar la informacin de
su rea o dependencia y reportar a la mesa de ayuda (PUC) los requerimientos de actualizacin de la versin del
software; deben disponer de un archivo actualizado con la informacin de la pgina inicial del sitio; y deben registrar
la autorizacin de publicacin por parte del funcionario autorizado y coordinar con el administrador web del rea de
Tecnologa y Sistemas de Informacin los lineamientos del sitio.
Se deber seguir la Poltica Editorial y Actualizacin de Contenidos Web, que permita auditar la publicacin o
modificacin de informacin oficial en las pginas web.
Las claves de acceso de los responsables de los contenidos de las pginas Web (webmasters), son estrictamente
confidenciales, personales e intransferibles.
4.1.6. Poltica de Tercerizacin u Outsourcing.

Objetivo:
Mantener la seguridad de la informacin y los servicios de procesamiento de informacin, a los cuales tienen acceso
terceras partes, entidades externas o que son procesados, comunicados o dirigidos por estas.
Aplicabilidad:
Estas son polticas que aplican a contratistas, proveedores de outsourcing, consultores y contratistas externos,
personal temporal y en general a todos los usuarios de la informacin que realicen estas tareas en el DAPRE.
Directrices:
Seleccin de outsourcing
Se deben establecer criterios de seleccin que contemplen la historia y reputacin de terceras partes, certificaciones
y recomendaciones de otros clientes, estabilidad financiera de la compaa, seguimiento de estndares de gestin
de calidad y de seguridad y otros criterios que resulten de un anlisis de riesgos de la seleccin y los criterios
establecidos por la entidad.
Anlisis de riesgos
Se deben identificar los riesgos para la informacin y los servicios de procesamiento de informacin que involucren
partes externas al DAPRE. El resultado del anlisis de riesgos ser la base para el establecimiento de los controles
y debe ser presentado al Comit de Seguridad Informtica y de Sistemas antes de firmar el contrato de outsourcing.
Acuerdos con terceras partes
Con el fin de proteger la informacin de ambas partes, se debe formalizar un acuerdo de confidencialidad. El acuerdo
deber definir claramente el tipo de informacin que intercambiarn las partes, los medios, la frecuencia y los
procedimientos a seguir.
Si la informacin intercambiada lo amerita teniendo en cuenta GUA PARA LA CALIFICACIN DE LA
INFORMACIN DE ACUERDO CON SUS NIVELES DE SEGURIDAD, se debe preparar y legalizar un acuerdo de
confidencialidad entre la entidad y el outsourcing de acuerdo al objetivo y al alcance del contrato; el cual debe quedar
firmado por ambas partes. En todos los casos deben firmarse acuerdos de niveles de servicio que permitan cumplir
con las polticas de seguridad de la informacin y con los objetivos de la entidad.
18

Cdigo: M-TI-01
Versin 06
4.1.7. Poltica de retencin y archivo de datos.

Objetivo:
Mantener la integridad y disponibilidad de la informacin y de los servicios de procesamiento de informacin.
Aplicabilidad:
Directrices:
La poltica de retencin de archivos debe establecer cunto tiempo se deben mantener almacenados los archivos en
el DAPRE de acuerdo a las tablas de retencin documental TRD, ver Manual de Gestin Documental M-GD-01.
Las reglas y los principios generales que regulan la funcin archivstica del Estado, se encuentran definidos por la
Ley, la cual es aplicable a la administracin pblica en sus diferentes niveles producidos en funcin de su misin y
naturaleza.
La ley prev el uso de las tecnologas de la informacin y las comunicaciones en la administracin, conservacin de
archivos y en la elaboracin e implantacin de programas de gestin de documentos.
4.1.8. Poltica de disposicin de informacin, medios y equipos.

Objetivo:
Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crticos contra los efectos de
fallas importantes en los sistemas de informacin o contra desastres y propender por su recuperacin oportuna.
Aplicabilidad:
Directrices:
Los medios y equipos donde se almacena, procesa o comunica la informacin, deben mantenerse con las medidas
de proteccin fsicas y lgicas, que permitan su monitoreo y correcto estado de funcionamiento; para ello se debe
realizar los mantenimientos preventivos y correctivos que se requieran.
4.1.9. Poltica de respaldo y restauracin de informacin.

Objetivo:
Proporcionar medios de respaldo adecuados para asegurar que toda la informacin esencial y el software, se pueda
recuperar despus de una falla.
Aplicabilidad:
19

Cdigo: M-TI-01
Versin 06
Esta poltica ser aplicada por los administradores de tecnologa, encargados de sistemas de informacin y jefaturas
de rea que decidan sobre la disponibilidad en integridad de los datos.
Directrices:
La informacin de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento como
cinta, cartucho, CD, DVD, etc.
Los administradores de los servidores, los sistemas de informacin o los equipos de comunicaciones, son los
responsables de definir la frecuencia de respaldo y los requerimientos de seguridad de la informacin
(codificacin) y el administrador del sistema de respaldo, es el responsable de realizar los respaldos peridicos.
Todas las copias de informacin crtica deben ser almacenadas en un rea adecuada y con control de acceso.
Las copias de respaldo se guardaran nicamente con el objetivo de restaurar el sistema luego de un virus
informtico, defectos en los discos de almacenamiento, problemas de los servidores o computadores,
materializacin de amenazas, catstrofes y por requerimiento legal.
Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen informacin crtica; el
dueo de la informacin debe asegurar que el plan es adecuado, frecuentemente actualizado y peridicamente
probado y revisado.
Ningn tipo de informacin institucional puede ser almacenada en forma exclusiva en los discos duros de las
estaciones de trabajo; por lo tanto, es obligacin de los usuarios finales realizar las copias en las carpetas
destinadas para este fin.
Deben existir al menos una copia de la informacin de los discos de red, la cual deber permanecer fuera de las
instalaciones del DAPRE.
La restauracin de copias de respaldo en ambientes de produccin debe estar debidamente aprobada por el
propietario de la informacin.
Semanalmente los administradores de infraestructura del DAPRE, verificarn la correcta ejecucin de los
procesos de backup, suministrarn las cintas requeridas para cada trabajo y controlarn la vida til de cada cinta
o medio empleado.
El rea de Tecnologa y Sistemas de Informacin debe mantener un inventario actualizado de las copias de
respaldo de la informacin y los aplicativos o sistemas del DAPRE.
Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro 1 y posteriormente sern
eliminados o destruidos de forma adecuada.
Es responsabilidad de cada dependencia mantener depurada la informacin de las carpetas virtuales para la
optimizacin del uso de los recursos de almacenamiento que entrega el DAPRE a los usuarios.
El borrado seguro se ejecuta cuando al borrar un archivo o formatear un dispositivo de almacenamiento, alguna utilidad de borrado escribe
ceros (o) sobre el archivo, no permitiendo que ste se pueda recuperar posteriormente. Tomado de:
http://es.wikipedia.org/wiki/Borrado_de_archivos
20

Cdigo: M-TI-01
Versin 06
4.1.10. Poltica de gestin de activos de informacin.

Objetivo:
Establece la forma en que se logra y mantiene la proteccin adecuada de los activos de informacin.
Aplicabilidad:
Estas son polticas que aplican a la Alta Direccin, Ministros Consejeros, Consejeros Presidenciales, Directores,
Directrices:
Inventario de activos de informacin
El DAPRE mantendr un inventario o registro actualizado de sus activos de informacin, bajo la responsabilidad de
cada propietario de informacin y centralizado por el rea de Tecnologa y Sistemas de Informacin. El Registro de
Activos de Informacin deber ser publicado en la pgina web de la Entidad, acorde con lo establecido en el literal j
del Artculo 11 de la Ley 1712 de 2014.
Una parte de los activos de informacin se mantendr en una base de datos bajo la responsabilidad del rea de
Tecnologa y Sistemas de Informacin. (Base de datos de gestin de configuraciones - Configuration Management
Database CMDB).
Propietarios de los activos de informacin
El DAPRE es propietario de los activos de informacin y los administradores de estos activos son los funcionarios,
contratistas o dems colaboradores del DAPRE (denominados usuarios) que estn autorizados y sean
responsables por la informacin de los procesos a su cargo, de los sistemas de informacin o aplicaciones
informticas, hardware o infraestructura de tecnologa de informacin y comunicaciones (TIC).
4.1.11. Poltica de uso de los activos.

Objetivo:
Lograr y mantener la proteccin adecuada de los activos de informacin mediante la asignacin de estos a los
usuarios finales que deban administrarlos de acuerdo a sus roles y funciones.
Aplicabilidad:
Directrices:
Los activos de informacin pertenecen al DAPRE y el uso de los mismos debe emplearse exclusivamente con
propsitos laborales.
21

Cdigo: M-TI-01
Versin 06
Los usuarios2 debern utilizar nicamente los programas y equipos autorizados por el rea de Tecnologa y
Sistemas de Informacin.
El DAPRE proporcionar al usuario los equipos informticos y los programas instalados en ellos; los
datos/informacin creados, almacenados y recibidos, sern propiedad del DAPRE, los funcionarios solo podrn
realizar backup de sus archivos personales o de informacin pblica, para copiar cualquier tipo de informacin
clasificada o reservada debe pedir autorizacin a su jefe inmediato, de acuerdo a las normas sobre clasificacin
de la informacin de acuerdo a los niveles de seguridad establecidos por el DAPRE ; Su copia, sustraccin, dao
intencional o utilizacin para fines distintos a las labores propias de la Institucin, sern sancionadas de acuerdo
con las normas y legislacin vigentes.
Peridicamente, el rea de Tecnologa y Sistemas de Informacin efectuar la revisin de los programas
utilizados en cada dependencia. La descarga, instalacin o uso de aplicativos o programas informticos no
autorizados ser considera como una violacin a las Polticas de Seguridad de la Informacin del DAPRE.
Todos los requerimientos de aplicativos, sistemas y equipos informticos deben ser solicitados a travs de la
mesa de ayuda del rea de Tecnologa y Sistemas de Informacin con su correspondiente justificacin para su
respectiva viabilidad.
Estarn bajo custodia del rea de Tecnologa y Sistemas de Informacin los medios magnticos/electrnicos
(disquetes, CDs u otros) que vengan originalmente con el software y sus respectivos manuales y licencias de
uso, adicionalmente las claves para descargar el software de fabricantes de sus pginas web o sitios en internet
y los passwords de administracin de los equipos informticos, sistemas de informacin o aplicativos.
En caso de ser necesario y previa autorizacin del Comit de Seguridad Informtica y de Sistemas del DAPRE ,
los funcionarios del DAPRE podrn acceder a revisar cualquier tipo de activo de informacin y material que los
usuarios creen, almacenen, enven o reciban, a travs de Internet o de cualquier otra red o medio, en los equipos
informticos a su cargo.
Los recursos informticos del DAPRE no podrn ser utilizados, sin previa autorizacin escrita, para divulgar,
propagar o almacenar contenido personal o comercial de publicidad, promociones, ofertas, programas
destructivos (virus), propaganda poltica, material religioso o cualquier otro uso que no est autorizado.
Los usuarios no deben realizar intencionalmente actos que impliquen un mal uso de los recursos tecnolgicos.
Estos actos incluyen, pero no se limitan a: envi de correo electrnico masivo con fines no institucionales y
prctica de juegos en lnea.
Los usuarios no podrn efectuar ninguna de las siguientes labores sin previa autorizacin del rea de Tecnologa
y Sistemas de Informacin:
Instalar software en cualquier equipo del DAPRE;

Bajar o descargar software de Internet u otro servicio en lnea en cualquier equipo del DAPRE;
Modificar, revisar, transformar o adaptar cualquier software propiedad del DAPRE;
Descompilar o realizar ingeniera inversa en cualquier software de propiedad del DAPRE.
Funcionarios, contratistas y otros colaboradores del DAPRE, debidamente autorizados para usar equipos, sistemas y/o aplicativos
informticos disponibles en la red del DAPRE y a quienes se les otorga un nombre de usuario y una clave de acceso.
22

Cdigo: M-TI-01
Versin 06
Copiar o distribuir cualquier software de propiedad del DAPRE.
El usuario deber informar al Jefe Inmediato de cualquier violacin de las polticas de seguridad o uso indebido
que tenga conocimiento.
El usuario ser responsable de todas las transacciones o acciones efectuadas con su cuenta de usuario.
Ningn usuario deber acceder a la red o a los servicios TIC del DAPRE, utilizando una cuenta de usuario o clave
de otro usuario.
Cada usuario es responsable de asegurar que el uso de redes externas, tal como Internet, no comprometa la
seguridad de los recursos informticos del DAPRE. El rea de Tecnologa y Sistemas de Informacin del DAPRE,
es el rea responsable de realizar el aseguramiento de los accesos a internet, acceso a redes de terceros y a
las redes de la entidad; esta responsabilidad incluye, pero no se limita a prevenir que intrusos tengan acceso a
los recursos informticos y a prevenir la introduccin y propagacin de virus.
Todo archivo o material recibido a travs de medio magntico/electrnico o descarga de Internet o de cualquier
red externa, deber ser revisado para deteccin de virus y otros programas destructivos antes de ser instalados
en la infraestructura TIC del DAPRE.
Todos los archivos provenientes de equipos externos al DAPRE, deben ser revisados para deteccin de virus
antes de su utilizacin dentro de la red del DAPRE.
Todo cambio a la infraestructura informtica deber estar controlado y ser realizado de acuerdo con los
procedimientos de gestin de cambios del rea de Tecnologa y Sistemas de Informacin del DAPRE.
La informacin del DAPRE debe ser respaldada de forma frecuente, debe ser almacenada en lugares apropiados
en los cuales se pueda garantizar que la informacin este segura y podr ser recuperada en caso de un desastre
o de incidentes con los equipos de procesamiento.
4.1.12. Poltica de uso de estaciones cliente.

Objetivo:
Garantizar que la seguridad es parte integral de los activos de informacin y que son bien utilizados por los usuarios
finales.
Aplicabilidad:
Directrices:
23

Cdigo: M-TI-01
Versin 06
La instalacin de software en los computadores suministrados por el DAPRE, es una funcin exclusiva del rea
de Tecnologa y Sistemas de Informacin. Se mantendr una lista actualizada del software autorizado para
instalar en los computadores.
Se definirn dos (2) perfiles de Administradores locales:
1. Desarrolladores de aplicaciones.
2. Usuarios que necesitan utilizar software especfico, que por su naturaleza requieren permisos de
administrador local para su ejecucin.
Los usuarios no deben mantener almacenados en los discos duros, de las estaciones cliente o discos virtuales
de red, archivos de vdeo, msica y fotos que no sean de carcter institucional.
En el Disco C:\ de las estaciones cliente se tiene configurado el sistema operativo, aplicaciones y perfil de usuario.
El usuario deber abstenerse de realizar modificaciones a stos archivos.
Los usuarios podrn trabajar sus documentos institucionales en borrador en la estacin cliente asignada por el
DAPRE y debern ubicar copias y documentos finales en las carpetas virtuales centralizadas que se establezca
para cumplir con las tablas de retencin documental TRD de la Entidad.
El prstamo de equipos de cmputo, computadores porttiles y vdeo proyectores se debe tramitar a travs de la
mesa de ayuda con anticipacin y se proveer de acuerdo a la disponibilidad.
Los equipos que ingresan temporalmente al DAPRE que son de propiedad de terceros: deben ser registrados en
las porteras de la entidad para poder realizar su retiro sin autorizacin, ver Procedimiento Ingreso y Salida de
Bienes de la Entidad P-GA-14; el DAPRE no se har responsable en caso de prdida o dao de algn equipo
informtico de uso personal o que haya sido ingresado a sus instalaciones.
El rea de Tecnologa y Sistemas de Informacin no prestar servicio de soporte tcnico (revisin,
mantenimiento, reparacin, configuracin y manejo e informacin) a equipos que no sean del DAPRE.
4.1.13. Poltica de uso de Internet.

Objetivo:
Establecer unos lineamientos que garanticen la navegacin segura y el uso adecuado de la red por parte de los
usuarios finales, evitando errores, prdidas, modificaciones no autorizadas o uso inadecuado de la informacin en
las aplicaciones WEB.
Aplicabilidad:
Directrices:
La navegacin en Internet debe realizarse de forma razonable y con propsitos laborales.
24

Cdigo: M-TI-01
Versin 06
No se permite la navegacin a sitios con contenidos contrarios a la ley o a las polticas del DAPRE o que
representen peligro para la entidad como: pornografa, terrorismo, hacktivismo, segregacin racial u otras fuentes
definidas por el DAPRE.
El acceso a este tipo de contenidos con propsitos de estudio de seguridad o de investigacin, debe contar con
la autorizacin expresa del Comit de Seguridad Informtica y de Sistemas del DAPRE.
La descarga de archivos de Internet debe ser con propsitos laborales y de forma razonable para no afectar el
servicio de Internet/Intranet, en forma especfica el usuario debe cumplir los requerimientos de la poltica de uso
de internet descrita en este manual.
4.1.14. Poltica de uso de mensajera instantnea y redes sociales.

Objetivo:
Definir las pautas generales para asegurar una adecuada proteccin de la informacin de la Presidencia de la
Repblica, en el uso del servicio de mensajera instantnea y de las redes sociales, por parte de los usuarios
autorizados.
Aplicabilidad:
Directrices:
El uso de servicios de mensajera instantnea y el acceso a redes sociales estarn autorizados solo para un
grupo reducido de usuarios, teniendo en cuenta sus funciones y para facilitar canales de comunicacin con la
ciudadana, ver Manual de Atencin a la Ciudadana M-AU-04.
No se permite el envo de mensajes con contenido que atente contra la integridad de las personas o instituciones
o cualquier contenido que represente riesgo de cdigo malicioso.
La informacin que se publique o divulgue por cualquier medio de Internet, de cualquier funcionario, contratista o
colaborador del DAPRE, que sea creado a nombre personal, como redes sociales, twitter, facebook, youtube
likedink o blogs, se considera fuera del alcance del SGSI y por lo tanto su confiabilidad, integridad y
disponibilidad y los daos y perjuicios que pueda llegar a causar sern de completa responsabilidad de la persona
que las haya generado.
4.1.15. Poltica de uso de discos de red o carpetas virtuales.

Objetivo:
Asegurar la operacin correcta y segura de los discos de red o carpetas virtuales.
Aplicabilidad:
25

Cdigo: M-TI-01
Versin 06
Directrices:
Para que los usuarios tengan acceso a la informacin ubicada en los discos de red, se debe registrar la solicitud
a travs de servicios compartidos especificando el acceso y permisos, correspondientes al rol y funciones a
desempear, a la mesa de ayuda del rea de Tecnologa y Sistemas de Informacin del DAPRE. Los usuarios
tendrn permisos de escritura, lectura o modificacin de informacin en los discos de red, dependiendo de sus
funciones y su rol.
La informacin institucional que se trabaje en las estaciones cliente de cada usuario debe ser trasladada
peridicamente a los discos de red por ser informacin institucional.
La informacin almacenada en cualquiera de los discos de red debe ser de carcter institucional.
Est prohibido almacenar archivos con contenido que atente contra la moral y las buenas costumbres de la
entidad o las personas, como pornografa, propaganda racista, terrorista o cualquier software ilegal o malicioso,
ya sea en medios de almacenamiento de estaciones de trabajo, computadores de escritorio o porttiles, tablets,
celulares inteligentes, etc. o en los discos de red.
Se prohbe extraer, divulgar o publicar informacin de cualquiera de los discos de red o estaciones de trabajo, sin
expresa autorizacin de su jefe inmediato.
Se prohbe el uso de la informacin de los discos de red con fines publicitarios, de imagen negativa, lucrativa o
comercial.
La responsabilidad de generar las copias de respaldo de la informacin de los discos de red, est a cargo del
rea de Tecnologa y Sistemas de Informacin.
La responsabilidad de custodiar la informacin en copias de respaldo controladas, fuera de las instalaciones del
DAPRE, estar a cargo del rea de Tecnologa y Sistemas de Informacin.
4.1.16. Poltica de uso de impresoras y del servicio de Impresin.

Objetivo:
Asegurar la operacin correcta y segura de las impresoras y del servicio de impresin.
Aplicabilidad:
Directrices:
26

Cdigo: M-TI-01
Versin 06
Los documentos que se impriman en las impresoras del DAPRE deben ser de carcter institucional.
Es responsabilidad del usuario conocer el adecuado manejo de los equipos de impresin (escner y fotocopiado)
para que no se afecte su correcto funcionamiento.
Ningn usuario debe realizar labores de reparacin o mantenimiento de las impresoras. En caso de presentarse
alguna falla, esta se debe reportar a la mesa de ayuda del rea de Tecnologa y Sistemas de Informacin.
4.1.17. Poltica de uso de puntos de red de datos (red de rea local LAN).
Objetivo:
Asegurar la operacin correcta y segura de los puntos de red.
Aplicabilidad:
Directrices:
Los usuarios debern emplear los puntos de red, para la conexin de equipos informticos estndar. Los equipos
de uso personal, que no son de propiedad del DAPRE, solo tendrn acceso a servicios limitados destinados a
invitados o visitantes, estos equipos deben ser conectados a los puntos de acceso autorizados y definidos por el
rea de Tecnologa y Sistemas de Informacin del DAPRE.
La instalacin, activacin y gestin de los puntos de red es responsabilidad del rea de Tecnologa y Sistemas
de Informacin.
4.1.18. Polticas de seguridad del centro de datos y centros de cableado.

Objetivo:
Asegurar la proteccin de la informacin en las redes y la proteccin de la infraestructura de soporte.
Aplicabilidad:
que estn encargados de cualquier parte o sistema de la plataforma informtica.
Directrices:
No se permite el ingreso al centro de datos, al personal que no est expresamente autorizado. Se debe llevar un
control de ingreso y salida del personal que visita el centro de datos. En el centro de datos debe disponerse de
una planilla para el registro, la cual debe ser diligenciada en lapicero de tinta al iniciar y finalizar la actividad a
realizar.
El rea de Tecnologa y Sistemas de Informacin debe garantizar que el control de acceso al centro de datos del
DAPRE, cuenta con dispositivos electrnicos de autenticacin o sistema de control biomtrico.
27

Cdigo: M-TI-01
Versin 06
El rea de Tecnologa y Sistemas de Informacin deber garantizar que todos los equipos de los centros de datos
cuenten con un sistema alterno de respaldo de energa
La limpieza y aseo del centro de datos estar a cargo del rea Administrativa y debe efectuarse en presencia de
un funcionario o contratista del rea de Tecnologa y Sistemas de Informacin del DAPRE. El personal de
limpieza debe ser ilustrado con respecto a las precauciones mnimas a seguir durante el proceso de limpieza.
Debe prohibirse el ingreso de personal de limpieza con maletas o elementos que no sean estrictamente
necesarios para su labor de limpieza y aseo.
En las instalaciones del centro de datos o centros de cableado, no se debe fumar, comer o beber; de igual forma
se debe eliminar la permanencia de papelera y materiales que representen riesgo de propagacin de fuego, as
como mantener el orden y limpieza en todos los equipos y elementos que se encuentren en este espacio.
El centro de datos debe estar provisto de:
Sealizacin adecuada de todos y cada uno de los diferentes equipos y elementos, as como luces de
emergencia y de evacuacin, cumpliendo las normas de seguridad industrial y de salud ocupacional.
Pisos elaborados con materiales no combustibles.
Sistema de refrigeracin por aire acondicionado de precisin. Este equipo debe ser redundante para que en
caso de falla se pueda continuar con la refrigeracin.
Unidades de potencia ininterrumpida UPS, que proporcionen respaldo al mismo, con el fin de garantizar el
servicio de energa elctrica durante una falla momentnea del fluido elctrico de la red pblica.
Alarmas de deteccin de humo y sistemas automticos de extincin de fuego, conectada a un sistema
central. Los detectores debern ser probados de acuerdo a las recomendaciones del fabricante o al menos
una vez cada 6 meses y estas pruebas debern estar previstas en los procedimientos de mantenimiento y de
control.
Extintores de incendios o un sistema contra incendios debidamente probados y con la capacidad de detener
el fuego generado por equipo elctrico, papel o qumicos especiales.
El cableado de la red debe ser protegido de interferencias por ejemplo usando canaletas que lo protejan.
Los cables de potencia deben estar separados de los de comunicaciones, siguiendo las normas tcnicas.
La grabacin de vdeo en las instalaciones del centro de datos debe estar expresamente autorizada por el Comit
de Seguridad Informtica y de Sistemas y exclusivamente con fines institucionales.
Las actividades de soporte y mantenimiento dentro del centro de datos siempre deben ser supervisadas por un
funcionario o contratista autorizado del DAPRE.
Las puertas del centro de datos deben permanecer cerradas. Si por alguna circunstancia se requiere ingresar y
salir del centro de datos, el funcionario responsable de la actividad se ubicar dentro del centro de datos.
Cuando se requiera realizar alguna actividad sobre algn armario (rack), este debe quedar ordenado, cerrado y
con llave, cuando se finalice la actividad.
Mientras no se encuentre personal dentro de las instalaciones del centro de datos, las luces deben permanecer
apagadas.
28

Cdigo: M-TI-01
Versin 06
Los equipos del centro de datos que lo requieran, deben estar monitoreados para poder detectar las fallas que
se puedan presentar.
4.1.19. Polticas de seguridad de los Equipos

Objetivo:
Asegurar la proteccin de la informacin en los equipos.
Aplicabilidad:
Directrices:
Protecciones en el suministro de energa
A la red de energa regulada de los puestos de trabajo solo se pueden conectar equipos como computadores,
pantallas; los otros elementos debern conectarse a la red no regulada. Esta labor debe ser revisada por el rea
Administrativa.
Seguridad del cableado
Los cables deben estar claramente marcados para identificar fcilmente los elementos conectados y evitar
desconexiones errneas.
Deben existir planos que describan las conexiones del cableado.
El acceso a los centros de cableado (Racks), debe estar protegido.
Mantenimiento de los Equipos
El DAPRE debe mantener contratos de soporte y mantenimiento de los equipos crticos.
Las actividades de mantenimiento tanto preventivo como correctivo deben registrarse para cada elemento.
Las actividades de mantenimiento de los servidores, elementos de comunicaciones, energa o cualquiera que
pueda ocasionar una suspensin en el servicio, deben ser realizadas y programadas.
Los equipos que requieran salir de las instalaciones del DAPRE para reparacin o mantenimiento, deben estar
debidamente autorizados y se debe garantizar que en dichos elementos no se encuentra informacin establecida
como crtica en la clasificacin de la informacin de acuerdo a los niveles de clasificacin de la informacin.
Para que los equipos puedan salir fuera de las instalaciones, se debe suministrar un nivel mnimo de seguridad, que
al menos cumpla con los requerimientos internos, teniendo en cuenta los diferentes riesgos de trabajar en un
ambiente que no cuenta con las protecciones ofrecidas en el interior del DAPRE.
Cuando un dispositivo vaya a ser reasignado o retirado de servicio, debe garantizarse la eliminacin de toda
informacin residente en los elementos utilizados para el almacenamiento, procesamiento y transporte de la
29

Cdigo: M-TI-01
Versin 06
informacin, utilizando herramientas para realizar sobre-escrituras sobre la informacin existente o la presencia de
campos magnticos de alta intensidad. Este proceso puede adems incluir, una vez realizado el proceso anterior, la
destruccin fsica del medio, utilizando impacto, fuerzas o condiciones extremas.
Ingreso y retiro de activos de informacin de terceros.
El retiro e ingreso de todo activo de informacin de propiedad de los usuarios del DAPRE, utilizados para fines
personales, se realizar mediante los procedimientos establecidos por la Administracin del Edificio. El DAPRE no
se hace responsable de los bienes o los problemas que se presenten al conectarse a la red elctrica del
Departamento.
El retiro e ingreso de todo activo de informacin de los visitantes que presten servicios al DAPRE (consultores,
pasantes, visitantes, etc.) ser registrado y controlado en las porteras del edificio. El personal de vigilancia de
recepcin verificar y registrar las caractersticas de identificacin del activo de informacin.
El traslado entre dependencias del DAPRE de todo activo de informacin, est a cargo del rea Administrativa, para
el control de inventarios.
4.1.20. Poltica de escritorio y pantalla limpia.

Objetivo:
Definir las pautas generales para reducir el riesgo de acceso no autorizado, prdida y dao de la informacin durante
y fuera del horario de trabajo normal de los usuarios.
Aplicabilidad:
Directrices:
El personal del DAPRE debe conservar su escritorio libre de informacin, propia de la entidad, que pueda ser
alcanzada, copiada o utilizada por terceros o por personal que no tenga autorizacin para su uso o conocimiento.
El personal del DAPRE debe bloquear la pantalla de su computador con el protector de pantalla, en los momentos
que no est utilizando el equipo o cuando por cualquier motivo deba dejar su puesto de trabajo.
Al imprimir documentos de carcter confidencial, estos deben ser retirados de la impresora inmediatamente y no
se deben dejar en el escritorio sin custodia.
No se debe utilizar fotocopiadoras, escneres, equipos de fax, cmaras digitales y en general equipos
tecnolgicos que se encuentren desatendidos.
4.1.21. Poltica de uso de correo electrnico.

Objetivo:
30

Cdigo: M-TI-01
Versin 06
Definir las pautas generales para asegurar una adecuada proteccin de la informacin del DAPRE, en el uso del
servicio de correo electrnico por parte de los usuarios autorizados.
Aplicabilidad:
Directrices:
Esta poltica define y distingue el uso de correo electrnico aceptable/apropiado e inaceptable/inapropiado y
establece las directrices para el uso seguro del servicio.
Servicio de correo electrnico:
Permite a los usuarios del DAPRE, el intercambio de mensajes, a travs de una cuenta de correo electrnico
institucional, que facilita el desarrollo de sus funciones.
Principios gua
Los usuarios del correo electrnico corporativo son responsables de evitar prcticas o usos del correo que
puedan comprometer la seguridad de la informacin.
Los servicios de correo electrnico corporativo se emplean para servir a una finalidad operativa y
administrativa en relacin con la entidad. Todos los correos electrnicos procesados por los sistemas, redes
y dems infraestructura TIC del DAPRE se consideran bajo el control de la entidad.
Este servicio debe utilizarse exclusivamente para las tareas propias de la funcin desarrollada en el DAPRE y no
debe utilizarse para ningn otro fin.
El envo de cadenas de correo, envo de correos masivos con archivos adjuntos de gran tamao que puedan
congestionar la red, no est autorizado.
No est autorizado, el envo de correos con contenido que atenten contra la integridad y dignidad de las personas y
el buen nombre de la entidad.
Condiciones de uso del servicio:
Cuando un funcionario, contratista o colaborador al que le haya sido autorizado el uso de una cuenta de correo
electrnico y se retire del DAPRE, su cuenta de correo ser desactivada.
Los correos electrnicos deben contener la siguiente nota respecto al manejo del contenido:
El contenido de este mensaje y sus anexos son propiedad del Departamento Administrativo de la
Presidencia de la Repblica, es nicamente para el uso del destinatario ya que puede contener
informacin pblica reservada o informacin pblica clasificada (privada o semiprivada), las cuales
no son de carcter pblico. Si usted no es el destinatario, se informa que cualquier uso, difusin,
distribucin o copiado de esta comunicacin est prohibido. Cualquier revisin, retransmisin,
diseminacin o uso del mismo, as como cualquier accin que se tome respecto a la informacin
contenida, por personas o entidades diferentes al propsito original de la misma, es ilegal.
31

Cdigo: M-TI-01
Versin 06
Si usted es el destinatario, le solicitamos dar un manejo adecuado a la informacin; de presentarse

cualquier suceso anmalo, por favor informarlo al correo soporte@presidencia.gov.co.
El tamao del buzn de correo electrnico estar determinado por el rol desempeado por el usuario en el DAPRE.
Cada rea deber solicitar la creacin de las cuentas electrnicas, sin embargo las reas de Recursos Humanos y
de Contratacin son las responsables de solicitar la modificacin o cancelacin de las cuentas electrnicas a la
Oficina de informacin y sistemas del DAPRE.
Las cuentas de correo electrnico son propiedad del DAPRE, las cuales son asignadas a personas que tengan algn
tipo de vinculacin laboral con la entidad, ya sea como personal de planta, contratistas, consultores o personal
temporal, quienes deben utilizar este servicio nica y exclusivamente para las tareas propias de la funcin
desarrollada en la Entidad y no debe utilizarse para ningn otro fin.
Cada usuario es responsable del contenido del mensaje enviado y de cualquier otra informacin adjunta al mismo,
de acuerdo a la clasificacin de la informacin establecida por el DAPRE.
Todos los mensajes pueden ser sujetos a anlisis y conservacin permanente por parte de la Entidad.
Todo usuario es responsable por la destruccin de los mensajes cuyo origen sea desconocido y por lo tanto asumir
la responsabilidad y las consecuencias que puede ocasionar la ejecucin de cualquier archivo adjunto. En estos
casos no se debe contestar dichos mensajes, ni abrir los archivos adjuntos y se debe reenviar el correo a la cuenta
soporte@presidencia.gov.co con la frase correo sospechoso en el asunto.
El nico servicio de correo electrnico autorizado en la entidad es el asignado por el rea de Tecnologa y Sistemas
de Informacin.
4.1.22. Poltica de control de acceso.

Objetivo:
Definir las pautas generales para asegurar un acceso controlado, fsico o lgico, a la informacin de la plataforma
informtica del DAPRE, as como el uso de medios de computacin mvil.
Aplicabilidad:
Directrices:
El DAPRE proporcionar a los funcionarios y contratistas (personas naturales) todos los recursos tecnolgicos
necesarios para que puedan desempear las funciones para las cuales fueron contratados, por tal motivo no se
permite conectar a la red o instalar dispositivos fijos o mviles, tales como: computadores porttiles, tablets,
enrutadores, agendas electrnicas, celulares inteligentes, access point, que no sean autorizados por el rea de
Tecnologa y Sistemas de Informacin.
32

Cdigo: M-TI-01
Versin 06
El DAPRE suministrar a los usuarios las claves respectivas para el acceso a los servicios de red y sistemas de
informacin a los que hayan sido autorizados, las claves son de uso personal e intransferible. Es responsabilidad
del usuario el manejo que se les d a las claves asignadas.
Solo usuarios designados por el rea de Tecnologa y Sistemas de Informacin estarn autorizados para instalar
software o hardware en los equipos, servidores e infraestructura de telecomunicaciones del DAPRE.
Todo trabajo que utilice los servidores del DAPRE con informacin de la entidad, sus funcionarios o contratistas,
se debe realizar en sus instalaciones, no se podr realizar ninguna actividad de tipo remoto sin la debida
aprobacin del DAPRE.
La conexin remota a la red de rea local del DAPRE debe ser hecha a travs de una conexin VPN segura
suministrada por la entidad, la cual debe ser aprobada, registrada y auditada.
4.1.23. Poltica de establecimiento, uso y proteccin de claves de acceso.

Objetivo:
Controlar el acceso a la informacin.
Aplicabilidad:
Directrices:
Se debe concienciar y controlar que los usuarios sigan buenas prcticas de seguridad en la seleccin, uso y
proteccin de claves o contraseas, las cuales constituyen un medio de validacin de la identidad de un usuario
y consecuentemente un medio para establecer derechos de acceso a las instalaciones, equipos o servicios
informticos.
Los usuarios son responsables del uso de las claves o contraseas de acceso que se le asignen para la utilizacin
de los equipos o servicios informticos de la Entidad.
Los usuarios deben tener en cuenta los siguientes aspectos:
No incluir contraseas en ningn proceso de registro automatizado, por ejemplo almacenadas en un macro o en
una clave de funcin.
El cambio de contrasea solo podr ser solicitado por el titular de la cuenta o su jefe inmediato.
Terminar las sesiones activas cuando finalice, o asegurarlas con el mecanismo de bloqueo cuando no estn en
uso.
Se bloqueara el acceso a todo usuario que haya intentado el ingreso, sin xito, a un equipo o sistema informtico,
en forma consecutiva por cinco veces.
33

Cdigo: M-TI-01
Versin 06
La clave de acceso ser desbloqueada slo por el PUC (Punto nico de Contacto, luego de la solicitud formal
por parte del responsable de la cuenta. Para todas las cuentas especiales, la reactivacin debe ser documentada
y comunicada al PUC.
Las claves o contraseas deben:
Poseer algn grado de complejidad y no deben ser palabras comunes que se puedan encontrar en diccionarios, ni
tener informacin personal, por ejemplo: fechas de cumpleaos, nombre de los hijos, placas de automvil, etc.
Tener mnimo diez caracteres alfanumricos.
Cambiarse obligatoriamente la primera vez que el usuario ingrese al sistema.
Cambiarse obligatoriamente cada 30 das, o cuando lo establezca el rea de Tecnologa y Sistemas de
Informacin.
Cada vez que se cambien estas deben ser distintas por lo menos de las ltimas tres anteriores.
Cambiar la contrasea si ha estado bajo riesgo o se ha detectado anomala en la cuenta de usuario.
No se deben usar caracteres idnticos consecutivos, ni que sean todos numricos, ni todos alfabticos.
No debe ser visible en la pantalla, al momento de ser ingresada o mostrarse o compartirse.
No ser reveladas a ninguna persona, incluyendo al personal del rea de Tecnologa y Sistemas de Informacin.
No regstralas en papel, archivos digitales o dispositivos manuales, a menos que se puedan almacenar de forma
segura y el mtodo de almacenamiento este aprobado.
4.1.24. Poltica de adquisicin, desarrollo y mantenimiento de sistemas de informacin.

Objetivo:
Garantizar que la seguridad es parte integral de los sistemas de informacin.
Aplicabilidad:
Estas son polticas que aplican a los Jefes de Oficina, Jefes de rea, funcionarios, contratistas, y en general a todos
los usuarios de la informacin que cumplan con los propsitos generales del DAPRE.
Directrices:
Asegurar que los sistemas de informacin o aplicativos informticos incluyen controles de seguridad y cumplen
con las polticas de seguridad de la informacin.
En caso de desarrollos propios de la entidad se debe verificar que estn completamente documentados, que las
diferentes versiones se preservan adecuadamente en varios medios y se guarda copia de respaldo externa a la
entidad y que sean registrados ante la Direccin General de Derechos de Autor del Ministerio del Interior y de
Justicia.
34

Cdigo: M-TI-01
Versin 06
Desarrollar estrategias para analizar la seguridad en los sistemas de informacin.

Todo nuevo hardware y software que se vaya a adquirir y conectar a la plataforma tecnolgica del DAPRE, por
cualquier dependencia o proyecto del DAPRE, deber ser gestionado por el rea de Tecnologa y Sistemas de
Informacin para su correcto funcionamiento.
La compra de una licencia de un programa permitir al DAPRE realizar una copia de seguridad (a no ser que
est estipulado de manera distinta), para ser utilizada en caso de que el medio se avere.
Cualquier otra copia del programa original ser considerada como una copia no autorizada y su utilizacin
conlleva a las sanciones administrativas y legales pertinentes.
El rea de Tecnologa y Sistemas de Informacin ser la nica dependencia autorizada para realizar copia de
seguridad del software original.
La instalacin del software en las mquinas del DAPRE, se realizar nicamente a travs del PUC del rea de
El software proporcionado por el DAPRE no puede ser copiado o suministrado a terceros.
En los equipos del DAPRE se podr utilizar el software licenciado por el rea de Tecnologa y Sistemas de
Informacin y el adquirido o licenciado por los proyectos o programas que se encuentran en el DAPRE.
Para la adquisicin y actualizacin de software, es necesario efectuar la solicitud al rea de Tecnologa y
Sistemas de Informacin con su justificacin, quien analizar las propuestas presentadas para su evaluacin y
aprobacin.
El software que se adquiera a travs de los proyectos o programas, debe quedar a nombre del Departamento
Administrativo de la Presidencia de la Repblica.
Se encuentra prohibido el uso e instalacin de juegos en los computadores del DAPRE.
Se presentarn para dar de baja el software de acuerdo con los lineamientos dados por la Entidad.
4.1.25. Poltica de uso de dispositivos mviles

Objetivo:
Establecer las directrices de uso y manejo de dispositivos mviles (telfonos mviles, telfonos inteligentes (smart
phones) tabletas, entre otros) de la entidad.
Aplicabilidad:
Secretarios, Jefes de Oficina, Jefes de rea, funcionarios y en general a todos los usuarios de la informacin que
cumplan con los propsitos generales del DAPRE que tengan asignado un dispositivo.
Directrices:
35

Cdigo: M-TI-01
Versin 06
Los dispositivos mviles (telfonos mviles, telfonos inteligentes (smart phones) tabletas, entre otros), son una
herramienta de trabajo que se deben utilizar nicamente para facilitar las comunicaciones de los usuarios de la
entidad.
Los dispositivos mviles deben estar integrados a una plataforma de administracin controlada por el rea de
Tecnologas y Sistemas de Informacin.
Los usuarios deben tener instaladas nicamente las aplicaciones distribuidas y autorizadas por el administrador
de la plataforma.
Los dispositivos mviles deben tener configurado nicamente la cuenta de correo electrnico de la entidad.
Los sistemas de mensajera instantneos autorizados para los dispositivos mviles son BlackBerry Messenger y
Microsoft Lync.
En el caso del nivel directivo se autoriza el uso de WhatsApp.
Los dispositivos mviles deben tener contrasea de ingreso y bloqueo del equipo.
Los dispositivos mviles deben tener nicamente la tarjeta sim asignada por la entidad, de igual forma la tarjeta
sim nicamente debe instalarse en los equipos asignados por la entidad.
Los usuarios que hagan uso de dispositivos Apple y/o BlackBerry, que sean necesarios para la configuracin de
estos dispositivos mviles, deben estar asociados a la cuenta de correo de presidencia del usuario.
Ante la prdida del equipo, ya sea por sustraccin o extravo, deber dar cuenta en forma inmediata al rea de
Los telfonos mviles y/o telfonos inteligentes, debe permanecer encendidos y cargados durante las horas
laborales o de acuerdo a la responsabilidad y requerimientos propios del cargo.
Es responsabilidad del usuario hacer buen uso del dispositivo suministrado por el DAPRE con el fin de realizar
actividades propias de su cargo o funciones asignadas en la entidad.
En caso de requerir instalacin de aplicaciones adicionales en el dispositivo mvil se debe solicitar al comit de
seguridad informtica para su aprobacin.
4.1.26. Poltica para realizacin de copias en estaciones de trabajo de usuario final.

Objetivo:
Asegurar la operacin de realizacin de copias de informacin en estaciones de trabajo de usuario final.
Aplicabilidad:
36

Cdigo: M-TI-01
Versin 06
Directrices:
De acuerdo a lo previsto por el artculo 91 de la Ley 23 de 1982, los derechos de autor sobre las obras creadas
por los empleados y funcionarios en virtud de su vinculacin a la Entidad pblica correspondiente, en este caso
al Departamento Administrativo de la Presidencia de la Repblica, son de propiedad de esta con las excepciones
que la misma ley han sealado.
En el evento de retiro de un funcionario o traslado de dependencia, previa notificacin del rea de Talento
Humano, el rea de Tecnologa y Sistemas de Informacin generar una copia de la informacin contenida en el
equipo asignado al perfil del usuario (C:\usuarios\nombre-usuario), a una unidad de almacenamiento.
Una vez esta informacin se encuentre ubicada en la unidad de almacenamiento, se le realiza copia de seguridad
mensual en cinta magntica, la cual es enviada al custodio de medios magnticos, para conservar esta
informacin en el tiempo.
Si el jefe de la dependencia de la cual se retira el usuario requiere copia de esta informacin, debe realizar
solicitud al rea de Tecnologa y Sistemas de Informacin, quien escalar la solicitud ante el Comit de Seguridad
Informtica quien evaluar la pertinencia de la copia.
Se debe seguir el procedimiento P-TI-12 Procedimiento de Borrado Seguro para equipos Final, a fin garantizar la
copia de la informacin para la entidad y la eliminacin de la informacin almacenada en el disco local.
Ningn usuario final debe realizar copias de la informacin contenida en la estacin de trabajo a medios extrables
de informacin, excepto aquellos que se encuentren habilitados los privilegios de escritura por puertos USB y el
cliente DLP instalado el cual mantendr un registro de los archivos copiados.
En caso de presentarse alguna falla en los equipos de cmputo, se debe reportar a la mesa de ayuda del rea
de Tecnologa y Sistemas de Informacin, en caso de requerirse copia de la informacin, esta se realizar de
manera temporal durante las diferentes labores de reparacin o mantenimiento.
4.1.27. Poltica de uso de Token (RSA)

Objetivo:
Establecer las directrices de uso del mecanismo de doble autenticacin implementado por el DAPRE (Token), para
los diferentes servicios prestados por la entidad (VPN, conexin inalmbrica, autenticacin del equipo de cmputo
institucional).
Aplicabilidad:
Directrices:
37

Cdigo: M-TI-01
Versin 06
El rea de Tecnologa y Sistemas de Informacin asignar los Token de acuerdo a solicitud elevada por los
usuarios.
La asignacin de Token para VPN a los funcionarios depender del requerimiento para el desarrollo de sus
funciones, de conectarse desde un lugar remoto a los servicios informticos brindados por la entidad.
La asignacin de Token para WiFi a los funcionarios depender si tienen computador porttil asignado por el
DAPRE y si este requiere ser conectado a la red inalmbrica de presidencia.
La asignacin de Token a los funcionarios para la autenticacin del equipo de la entidad depender del tipo de
informacin que maneje y se establezca como informacin pblica reservada o informacin pblica clasificada.
La conexin realizada a travs del servicio de VPN se debe realizar mediante el buen uso del dispositivo
entregado (Token) para la autenticacin y la conexin se debe establecer desde un equipo en un ambiente
seguro.
Es responsabilidad del usuario hacer buen uso del dispositivo entregado, con el fin de realizar actividades propias
de su cargo o funciones asignadas en la entidad DAPRE.
La prdida del Token entregado debe ser reportado de inmediato al rea de Tecnologa y Sistemas de
Informacin para su debida desactivacin y bloqueo.
En caso de no requerir ms el uso del Token o retiro definitivo de la entidad, el funcionario debe realizar la
devolucin del mismo en las condiciones que le fue entregado.
Si se evidencia el no uso del Token asignado por ms de 30 das se realizar su desactivacin.
4.1.28. Poltica para Comunicaciones unificadas.

Objetivo:
Definir las pautas de uso de las comunicaciones unificadas en un entorno federado, por parte de los usuarios
autorizados por el DAPRE.
Aplicabilidad:
informacin que cumplan con los propsitos generales del DAPRE y que utilizan estos servicios.
Directrices:
Las comunicaciones unificadas (Lync de forma federada) deben ser usadas de forma austera y no se permite el
envo de mensajes con contenido que atente contra la integridad de las personas o las instituciones.
Antes de enviar cualquier contenido, se debe verificar que no contenga malware (virus, cdigo malicioso, etc.),
mediante el uso del antivirus instalado por el rea de Tecnologa y Sistemas en los equipos institucionales.
38

Cdigo: M-TI-01
Versin 06
La informacin que se publique o divulgue debe guardar las medidas de seguridad exigibles de acuerdo al tipo de
calificacin que se le haya dado a dicha informacin y debe corresponder al entorno laboral.
Cada usuario ser responsable por el adecuado uso que se le d a las herramientas, a los daos y perjuicios que
puedan llegar a causar, sern de completa responsabilidad de la persona que los haya generado.
Los usuarios de los sistemas comunicaciones unificadas deben firmar el acta de compromiso y reserva previa entrega
de los equipos y/o asignacin de usuario al rea de Tecnologa y Sistemas de Informacin.
4.2. Procedimientos que apoyan la Poltica de Seguridad

Los procedimientos son uno de los elementos dentro de la documentacin del Manual de la Poltica de Seguridad
para las Tecnologas de la Informacin y las comunicaciones. Un procedimiento describe de forma ms detallada lo
que se hace en las actividades de un proceso, en l se especifica cmo se deben desarrollar las actividades, cules
son los recursos, el mtodo y el objetivo que se pretende lograr o el valor agregado que genera y caracteriza el
proceso.
Tambin es recomendable el uso de instructivos para detallar an ms las tareas y acciones puntuales que se deben
desarrollar dentro de un procedimiento, como son los instructivos de trabajo y de operacin; los primeros para la
ejecucin de la tarea por la persona y los segundos para la manipulacin o la operacin de un equipo.
Los usuarios del DAPRE pueden consultar las descripciones detalladas de cada procedimiento a travs del sistema
integrado de gestin SIGEPRE o en el rea de Tecnologa y Sistemas de Informacin del DAPRE.
4.2.1. Procedimiento de control de documentos

Garantiza que la organizacin cuente con los documentos estrictamente necesarios a partir de su perfil de actuacin
en cada momento y maneja la dinmica del mejoramiento, mostrando la realidad que atraviesa la entidad en cada
momento, porque incorpora la eficacia de las diferentes acciones, a travs de la revisin documental y del
cumplimiento de los requisitos idnticos en los diferentes modelos de gestin, sobre el control de documentos. As
mismo, busca garantizar que los documentos en uso son confiables y tambin se pretende mantenerlos actualizados,
una vez se evidencia la eficacia de las acciones correctivas, preventivas y de mejora que hacen que los procesos se
ajusten y evolucionen y que los documentos existentes en el momento de la evaluacin y comprobacin del cambio
que se implement como solucin a un problema, riesgo o a una oportunidad se conserven.
De acuerdo a la correspondencia y vnculos tcnicos entre las normas NTCGP1000 y NTC-IS09001 y las normas
NTC-IS09001 y NTC-IS027001 se tienen en cuenta los lineamientos establecidos en la siguiente documentacin del
Sistema Integrado de Gestin de la Presidencia de la Repblica SIGEPRE: M-DE-02 Manual del SIGEPRE, GDE-01 Gua para la Elaboracin y Control de Documentos y el procedimiento P-DE-05 Generacin y Control
de Documentos del SIGEPRE.
4.2.2. Procedimiento de control de registros

39

Cdigo: M-TI-01
Versin 06
Est definido para evidenciar las acciones realizadas y los resultados obtenidos en la ejecucin de las actividades,
con el fin de analizar los datos, y lo que es ms importante, para la toma de decisiones, de tal forma que registro que
no aporta valor o no lleva a una decisin de mejora o de accin, no se debe tener en el sistema, ya que lo nico que
hara es desgastar a la organizacin y generar residuos slidos como papel mal utilizado.
NTC-IS09001 y NTC-IS027001 se utiliza el Procedimiento de control de registros del Proceso Gestin Documental.
Ver M-GD-01 Manual de Gestin Documental. Ver P-GD-08 Control de registros.
4.2.3. Procedimiento de auditora interna

La auditora interna es una herramienta para la alta direccin, en el momento de determinar la eficacia y la eficiencia
del sistema de gestin, a travs de la identificacin de las fortalezas y debilidades. Esta es la razn por la cual se
recomienda siempre realizar auditoras internas antes de llevar a cabo la revisin gerencial, ya que para esta ltima
se requiere informacin sobre el sistema y los procesos, de tal manera que se pueda evaluar la adecuacin, la
conveniencia y la eficacia del sistema de gestin.
Se hacen auditorias para evaluar la conformidad con las polticas de la organizacin, para evaluar el nivel de
implementacin del sistema de gestin, para evaluar el estado de mantenimiento y la capacidad de mejoramiento
del sistema de gestin.
NTC-IS09001 y NTC-IS027001 se utiliza el documento administracin de auditoras internas al SIGEPRE del Proceso
Evaluacin Control y Mejoramiento. Ver M-EM-01 Manual de Auditoras Internas. Ver P-EM-01 Procedimiento de
Auditoras Internas.
4.2.4. Procedimiento de accin correctiva

El objetivo de este procedimiento es definir los lineamientos para eliminar la causa de no conformidades asociadas
con los requisitos de la poltica de seguridad del DAPRE, as como: definir los lineamientos para identificar, registrar,
controlar, desarrollar, implantar y dar seguimiento a las acciones correctivas necesarias para evitar que se repita la
no conformidad.
NTC-IS09001 y NTC-IS027001 se utiliza el procedimiento de elaboracin y seguimiento de planes de mejoramiento
del Proceso Evaluacin, Control y Mejoramiento. Ver P-EM-06 Formulacin, Seguimiento y Evaluacin de Planes
de Mejoramiento.
4.2.5. Procedimiento de accin preventiva

El objetivo de este procedimiento es definir los lineamientos para identificar, registrar, controlar, desarrollar, implantar
y dar seguimiento a las acciones preventivas generadas por la deteccin de una no conformidad real o potencial en
el sistema de gestin de seguridad de la informacin y eliminar sus causas.
40

Cdigo: M-TI-01
Versin 06
NTC-IS09001 y NTC-IS027001 se utiliza el procedimiento de elaboracin y seguimiento de planes de mejoramiento
del Proceso Evaluacin, Control y Mejoramiento. Ver P-EM-06 Formulacin, Seguimiento y Evaluacin de Planes
de Mejoramiento.
4.2.6. Procedimiento de revisin del Manual de la Poltica de Seguridad

El objetivo de este procedimiento es el de revisar, por parte de la direccin o su representante, el Manual de la
Poltica para la Tecnologa de Informacin y Comunicaciones - Tics del Departamento Administrativo de la
Presidencia de la Repblica en intervalos planificados, para asegurar su conveniencia, eficiencia y eficacia continua.
NTC-IS09001 y NTC-IS027001 se utilizan los requisitos: 5.6. Responsabilidad y Autoridad Alta Direccin del Manual
del Sistema Integrado de Gestin de la Presidencia de la Repblica. Ver M-DE-02 Manual del SIGEPRE.
4.3. Gestin de los Incidentes de la Seguridad de la Informacin

Asegurar que los eventos e incidentes de seguridad que se presenten con los activos de informacin, sean
comunicados y atendidos oportunamente, empleando los procedimientos definidos, con el fin de que se tomen
oportunamente las acciones correctivas.
4.4. Proceso Disciplinario

Dentro de la estrategia de seguridad de la informacin del DAPRE, est establecido un proceso disciplinario formal
para los funcionarios que hayan cometido alguna violacin de la Poltica de Seguridad de la Informacin. El proceso
disciplinario tambin se debera utilizar como disuasin para evitar que los funcionarios, contratistas y otros
colaboradores del DAPRE violen las polticas y los procedimientos de seguridad de la informacin, as como para
cualquier otra violacin de la seguridad. Las investigaciones disciplinarias corresponden a actividades pertenecientes
al Proceso de Talento Humano. Ver P-TH-08 Procedimiento Disciplinario Ordinario.
Actuaciones que conllevan a la violacin de la seguridad de la informacin establecidas por el DAPRE
No firmar los acuerdos de confidencialidad o de entrega de informacin o de activos de informacin.

Ingresar a carpetas de otros procesos, unidades, grupos o reas, sin autorizacin y no reportarlo al punto
nico de contacto o al CSIRT (Computer Security Incident Response Team, Equipo de Respuesta ante
Incidencias de Seguridad).
No reportar los incidentes de seguridad o las violaciones a las polticas de seguridad, cuando se tenga
conocimiento de ello.
No actualizar la informacin de los activos de informacin a su cargo.
Clasificar y registrar de manera inadecuada la informacin, desconociendo los estndares establecidos para
este fin.
41

Cdigo: M-TI-01
Versin 06
No guardar de forma segura la informacin cuando se ausenta de su puesto de trabajo o al terminar la

jornada laboral, de documentos impresos que contengan informacin pblica reservada, informacin
pblica clasificada (privada o semiprivada).
No guardar la informacin digital, producto del procesamiento de la informacin perteneciente al DAPRE.
Dejar informacin pblica reservada, en carpetas compartidas o en lugares distintos al servidor de archivos,
obviando las medidas de seguridad.
Dejar las gavetas abiertas o con las llaves puestas en los escritorios,
Dejar los computadores encendidos en horas no laborables.
Permitir que personas ajenas al DAPRE, deambulen sin acompaamiento, al interior de las instalaciones,
en reas no destinadas al pblico.
Almacenar en los discos duros de los computadores personales de los usuarios, la informacin de la entidad.
Solicitar cambio de contrasea de otro usuario, sin la debida autorizacin del titular o su jefe inmediato.
Hacer uso de la red de datos de la institucin, para obtener, mantener o difundir en los equipos de sistemas,
material pornogrfico (exceptuando el penalizado por la ley) u ofensivo, cadenas de correos y correos
masivos no autorizados.
Utilizacin de software no relacionados con la actividad laboral y que pueda degradar el desempeo de la
plataforma tecnolgica institucional.
Recepcionar o enviar informacin institucional a travs de correos electrnicos personales, diferentes a los
asignados por la institucin.
Enviar informacin pblica reservada o informacin pblica clasificada (privada o semiprivada) por correo,
copia impresa o electrnica sin la debida autorizacin y sin la utilizacin de los protocolos establecidos para
la divulgacin.
Utilizar equipos electrnicos o tecnolgicos desatendidos o que a travs de sistemas de interconexin
inalmbrica, sirvan para transmitir, recepcionar y almacenar datos.
Usar dispositivos de almacenamiento externo en los computadores, cuya autorizacin no haya sido otorgada
por el rea de Tecnologa y Sistemas de Informacin del DAPRE.
Permitir el acceso de funcionarios a la red corporativa, sin la autorizacin del rea de Tecnologa y Sistemas
de Informacin del DAPRE.
Utilizacin de servicios disponibles a travs de internet, como FTP y Telnet, no permitidos por el DAPRE o
de protocolos y servicios que no se requieran y que puedan generar riesgo para la seguridad.
Negligencia en el cuidado de los equipos, dispositivos porttiles o mviles entregados para actividades
propias del DAPRE.
No cumplir con las actividades designadas para la proteccin de los activos de informacin del DAPRE.
Destruir o desechar de forma incorrecta la documentacin institucional.
Descuidar documentacin con informacin pblica reservada o clasificada de la institucin, sin las medidas
apropiadas de seguridad que garanticen su proteccin.
Registrar informacin pblica reservada o clasificada, en pos-it, apuntes, agendas, libretas, etc. Sin el
debido cuidado.
Almacenar informacin pblica reservada o clasificada, en cualquier dispositivo de almacenamiento que no
permanezca al DAPRE o conectar computadores porttiles u otros sistemas elctricos o electrnicos
personales a la red de datos de DAPRE, sin la debida autorizacin.
Archivar informacin pblica reservada o clasificada, sin claves de seguridad o cifrado de datos.
Promocin o mantenimiento de negocios personales, o utilizacin de los recursos tecnolgicos del DAPRE
para beneficio personal.
El que sin autorizacin acceda en todo o parte del sistema informtico o se mantenga dentro del mismo en
contra de la voluntad del DAPRE.
42

Cdigo: M-TI-01
Versin 06
El que impida u obstaculice el funcionamiento o el acceso normal al sistema informtico, los datos
informticos o las redes de telecomunicaciones del DAPRE, sin estar autorizado.
El que destruya, dae, borre, deteriore o suprima datos informticos o un sistema de tratamiento de
informacin del DAPRE.
El que distribuya, enve, introduzca software malicioso u otros programas de computacin de efectos
dainos en la plataforma tecnolgica del DAPRE.
El que viole datos personales de las bases de datos del DAPRE.
El que superando las medidas de seguridad informtica suplante un usuario ante los sistemas de
autenticacin y autorizacin establecidos por el DAPRE.
No mantener la confidencialidad de las contraseas de acceso a la red de datos, los recursos tecnolgicos
o los sistemas de informacin del DAPRE o permitir que otras personas accedan con el usuario y clave del
titular a stos.
Permitir el acceso u otorgar privilegios de acceso a las redes de datos del DAPRE a personas no
autorizadas.
Llevar a cabo actividades fraudulentas o ilegales, o intentar acceso no autorizado a cualquier computador
del DAPRE o de terceros.
Ejecutar acciones tendientes a eludir o variar los controles establecidos por el DAPRE.
Retirar de las instalaciones de la institucin, estaciones de trabajo o computadores porttiles que contengan
informacin institucional sin la autorizacin pertinente.
Sustraer de las instalaciones del DAPRE, documentos con informacin institucional calificada como
informacin pblica reservada o clasificada, o abandonarlos en lugares pblicos o de fcil acceso.
Entregar, ensear y divulgar informacin institucional, calificada como informacin pblica reservada y
clasificada a personas o entidades no autorizadas.
No realizar el borrado seguro de la informacin en equipos o dispositivos de almacenamiento del DAPRE,
para traslado, reasignacin o para disposicin final.
Ejecucin de cualquier accin que pretenda difamar, abusar, afectar la reputacin o presentar una mala
imagen del DAPRE o de alguno de sus funcionarios.
Realizar cambios no autorizados en la plataforma tecnolgica del DAPRE.
Acceder, almacenar o distribuir pornografa infantil.
Instalar programas o software no autorizados en las estaciones de trabajo o equipos porttiles
institucionales, cuyo uso no est autorizado por el rea de Tecnologa y Sistemas de Informacin del
DAPRE.
Copiar sin autorizacin los programas del DAPRE, o violar los derechos de autor o acuerdos de
licenciamiento.
4.5. Gestin de la Continuidad del Negocio

Es el conjunto de procedimientos y estrategias definidos para contrarrestar las interrupciones en las actividades
misionales de la entidad, para proteger sus procesos crticos contra fallas mayores en los sistemas de informacin o
contra desastres y asegurar que las operaciones se recuperen oportuna y ordenadamente, generando un impacto
mnimo o nulo ante una contingencia.
Prevenir interrupciones en las actividades de la plataforma informtica del DAPRE que van en detrimento de los
procesos crticos de TI afectados por situaciones no previstas o desastres.
43

Cdigo: M-TI-01
Versin 06
Se debe desarrollar e implantar un Plan de Continuidad para asegurar que los procesos misionales de TI del DAPRE
podrn ser restaurados dentro de escalas de tiempo razonables.
El DAPRE deber tener definido un plan de accin que permita mantener la continuidad del negocio teniendo en
cuenta los siguientes aspectos:
Identificacin y asignacin de prioridades a los procesos crticos de TI del DAPRE de acuerdo con su
impacto en el cumplimiento de la misin de la entidad.
Documentacin de la estrategia de continuidad del negocio.
Documentacin del plan de recuperacin del negocio de acuerdo con la estrategia definida anteriormente.
Plan de pruebas de la estrategia de continuidad del negocio.
La continuidad del negocio deber ser gestionada por la Subdireccin del DAPRE.
La alta direccin del DAPRE ser la responsable de velar por la implantacin de las medidas relativas a sta.
Igualmente, es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.
La alta direccin del Departamento, se encargar de la definicin y actualizacin de las normas, polticas,
procedimientos y estndares relacionados con la continuidad del negocio, igualmente velar por la implantacin y
cumplimiento de las mismas.
4.6. Cumplimiento
Los diferentes aspectos contemplados en este Manual son de obligatorio cumplimiento para todos los funcionarios,
contratistas y otros colaboradores del DAPRE. En caso de que se violen las polticas de seguridad ya sea de forma
intencional o por negligencia, el DAPRE tomar las acciones disciplinarias y legales correspondientes.
El Manual de la Poltica de Seguridad para las Tecnologas de la Informacin y las Comunicaciones - TICs debe
prevenir el incumplimiento de las leyes, estatutos, regulaciones u obligaciones contractuales que se relacionen con
los controles de seguridad.
4.7. Controles
El Manual de la Poltica de Seguridad para las Tecnologas de la Informacin y las Comunicaciones del DAPRE esta
soportado en un conjunto de procedimientos que se encuentran documentados en archivos complementarios a este
manual. Los usuarios de los servicios y recursos de tecnologa del DAPRE pueden consultar los procedimientos a
travs del rea de Tecnologa y Sistemas de Informacin y del aplicativo del SIGEPRE.
4.8. Declaracin de aplicabilidad

La Declaracin de Aplicabilidad (Statement of Applicability - SOA) referenciado en la clusula 4.2.1j del estndar ISO
27001 es un documento que lista los objetivos y controles que se van a implementar en la Entidad, as como las
justificaciones de aquellos controles que no van a ser implementados.
44

Cdigo: M-TI-01
Versin 06
Para el caso especfico del DAPRE, este tipo de anlisis se hace evaluando el cumplimiento de la norma ISO 27002,
para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestin de la seguridad
de la informacin que este estndar especfica, y una vez se complete este anlisis ya se puede realizar la
Declaracin de aplicabilidad.
Lo anterior acorde con el documento D-TI-21 Declaracin de aplicabilidad

5.
MARCO LEGAL
Constitucin Poltica de Colombia 1991.

Cdigo Penal Colombiano - Decreto 599 de 2000
Ley 906 de 2004, Cdigo de Procedimiento Penal.
Ley 87 de 1993, por la cual se dictan Normas para el ejercicio de control interno en las entidades y
organismos del Estado, y dems normas que la modifiquen.
Decreto 1599 de 2005, por el cual se adopta el Modelo Estndar de Control Interno MECI para el Estado
Colombiano.
Ley 734 de 2002, del Congreso de la Repblica de Colombia, Cdigo Disciplinario nico.
Ley 23 de 1982 de Propiedad Intelectual - Derechos de Autor.
Ley 594 de 2000 - Ley General de Archivos.
Ley 80 de 1993, Ley 1150 de 2007 y decretos reglamentarios.
Ley 527 de 1999, por la cual se define y reglamenta el acceso y uso de los mensajes de datos, del
comercio electrnico y de las firmas digitales y se establecen las entidades de certificacin y se dictan
otras disposiciones.
Directiva presidencial 02 del ao 2000, Presidencia de la Repblica de Colombia, Gobierno en lnea.
Ley 1032 de 2006, por el cual se dictan disposiciones generales del Habeas
Data y se regula el manejo de la informacin contenida en base de datos personales.
Ley 1266 de 2007, por la cual se dictan disposiciones generales del Habeas Data y se regula el manejo
de la informacin contenida en base de datos personales.
Ley 1273 de 2009, "Delitos Informticos" proteccin de la informacin y los datos.
Ley 1437 de 2011, "Cdigo de procedimiento administrativo y de lo contencioso administrativo".
Ley 1581 de 2012, "Proteccin de Datos personales".
Decreto 2609 de 2012, por la cual se reglamenta la ley 594 de 200 y ley 1437 de 2011
Decreto 1377 de 2013, por la cual se reglamenta la ley 1581 de 2012
Ley 1712 de 2014, De transparencia y del derecho de acceso a la informacin pblica nacional
6.
REQUISITOS TCNICOS
Norma Tcnica Colombiana NTCIISO 27001 Sistemas de gestin de la seguridad de la informacin

Norma Tcnica Colombiana NTC/ISO 17799 Cdigo de prctica para la gestin de la seguridad de la
informacin.
ISO/lEC 27005 Information technology Systems- Security techniques- information security risk
management.
45

Cdigo: M-TI-01
Versin 06
Modelo Estndar de Control Interno MECI 1000 2da versin "Subsistema: Control de Gestin;
Componente: Actividades de Control; Elemento: Monitoreo y Revisin e Informacin".
Norma Tcnica Colombiana NTC - ISO 19011 "Directrices para la Auditoria de los Sistemas de Gestin
de la Calidad y/o Ambiental"
7.
DOCUMENTOS ASOCIADOS
Pueden ser consultados en el SIGEPRE

8.
RESPONSABLE DEL DOCUMENTO
Jefe de rea de Tecnologa y Sistemas de Informacin
46

M TI 01 Manual Sistema Seguridad Informacion

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

M TI 01 Manual Sistema Seguridad Informacion

Caricato da

Copyright:

Formati disponibili

MANUAL DE LA POLTICA DE SEGURIDAD PARA LAS TECNOLOGAS DE LA

INFORMACIN Y LAS COMUNICACIONES - TICS

Bogot D.C., Mayo 2016

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.1. Polticas generales de seguridad de la informacin ------------------- Error! Marcador no definido.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.24. Poltica de establecimiento, uso y proteccin de claves de acceso ------------------------------------- 33

Procedimientos que apoyan la Poltica de Seguridad ---------------------------------------------- 39

4.2.1. Procedimiento de control de documentos ---------------------------------------------------------------------- 39

Gestin de los Incidentes de la Seguridad de la Informacin -------------------------------------- 41

Proceso Disciplinario -------------------------------------------------------------------------------- 41

Gestin de la Continuidad del Negocio ------------------------------------------------------------- 43

Declaracin de aplicabilidad ----------------------------------------------------------------------- 44

MARCO LEGAL ------------------------------------------------------------------------------------- 45

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4. POLTICAS, PROCEDIMIENTOS Y CONTROLES

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.1. Poltica de clasificacin de la informacin.

4.1.2. Polticas de seguridad para los recursos humanos.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.3. Polticas especficas para usuarios del DAPRE.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.5. Polticas especficas para Webmaster.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.6. Poltica de Tercerizacin u Outsourcing.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.7. Poltica de retencin y archivo de datos.

4.1.8. Poltica de disposicin de informacin, medios y equipos.

4.1.9. Poltica de respaldo y restauracin de informacin.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.10. Poltica de gestin de activos de informacin.

4.1.11. Poltica de uso de los activos.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

Instalar software en cualquier equipo del DAPRE;

MANUAL DE LA POLTICA DE SEGURIDAD PARA

Copiar o distribuir cualquier software de propiedad del DAPRE.

4.1.12. Poltica de uso de estaciones cliente.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.13. Poltica de uso de Internet.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.14. Poltica de uso de mensajera instantnea y redes sociales.

4.1.15. Poltica de uso de discos de red o carpetas virtuales.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.16. Poltica de uso de impresoras y del servicio de Impresin.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.18. Polticas de seguridad del centro de datos y centros de cableado.

MANUAL DE LA POLTICA DE SEGURIDAD PARA

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.19. Polticas de seguridad de los Equipos

MANUAL DE LA POLTICA DE SEGURIDAD PARA

4.1.20. Poltica de escritorio y pantalla limpia.

4.1.21. Poltica de uso de correo electrnico.

MANUAL DE LA POLTICA DE SEGURIDAD PARA