Please enable JavaScript.
Coggle requires JavaScript to display documents.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN, Política para uso de…
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Objetivo
establecer las políticas en seguridad de la información del ICETEX
Definiciones
Activo de información
Componente humano
Tecnológico
Software
Documental
Infraestructura
Acuerdo de confidencialidad
No divulgar, usar o explotar información confidencial
Análisis de riesgos de seguridad de la información
Identificación de fuentes, estimación de impactos y probabilidades
Determinar consecuencias potenciales de pérdida de confidencialidad
Recursos tecnológicos
Componentes de hardware y software que apoyan las tareas administrativas para su optimización
Registros de Auditoría
Archivos donde son registrados los eventos que se han identificado en los sistemas de información.
Responsable por el activo de información
Persona o equipo encargado de velar por los activos de la información
SGSI
Sistema de Gestión de Seguridad de la Información
Sistema de información
Datos, operaciones y transacciones que interactúan para el almacenamiento y procesamiento de la información
Sistemas de control ambiental
Sistemas que utilizan la climatización para modificar ciertas características del aire
Autenticación
Comprobación de identidad de un usuario o recurso tecnológico
Capacity Planning
Determinar capacidad de los recursos para satisfacer las necesidades de procesamiento
Centro de cómputo
Zona específica para el almacenamiento de computadores
Software malicioso
Programas que tienen como objeto infiltrarse o dañar los recursos tecnológicos
Confidencialidad
Garantía de que la información no está disponible o divulgada a personas
Terceros
Personas que provean servicios o productos
Vulnerabilidades
Debilidades que pueden ser explotadas por factores externos posibles fuentes de riesgo.
Control
Actividad encaminado a mitigar un riesgo
Criptografía
Disciplina que agrupa a los principios, medios y métodos para la transformación de datos
Custodio del activo de información
Encargado de mantener las medidas de protección establecidas
Hacking ético
Actividades realizadas para lograr un alto grado de penetración en los sistemas de forma controlada, sin intensión maliciosa
Incidente de seguridad
Evento que ha vulnerado la seguridad de la información
Derechos de autor
Conjunto de normas y principios que regulan los derechos morales y patrimoniales
Integridad
Protección de la exactitud y estado completo de los activos
Disponibilidad
Garantía de que los usuarios autorizados tienen a la información cuando se requiere
Inventario de activos de información
Lista documentada de los activos de información
Equipo de cómputo
Dispositivo capaz de recibir instrucciones y ejecutarlas
Licencia de software
Contrato donde se especifícan las cláusulas que rigen el uso de un producto de software
Guías de clasificación de la información
Directrices para catalogar la información de la entidad y hacer distinción en si es crítica
Medio removible
Componente extraíble de hardware usado para el almacenamiento de información
Perfiles de usuario
Grupos de varios usuarios con similares necesidades de información
Propiedad intelectual
Reconocimiento de un derecho particular en favor de un autor
Propietario de la información
Unidad organizacional o proceso donde se crean los activos de información
Sanciones contra violaciones a políticas
Aplicación de medidas correctivas según clasificación y mitigación de posibles afectaciones
Alcance
cubren todos los aspectos administrativos y de control que deben ser cumplidos por los directivos, funcionarios y terceros que laboren o tengan relación con el ICETEX
Políticas Globales
modelo de gestión de seguridad de la información:
Heramienta:
Identificar y minimizar los riesgos a los cuales se expone la información,
Lineamientos
contenidos en el presente documento procuran mantener:
confidencialidad
la integridad
asegurar la disponibilidad de la información
políticas específicas de seguridad de la información
Fundamento
ISO 27001:2013.
Compromiso de la dirección
promoción activa de una cultura de seguridad
Divulgación del manual a todos los funcionarios
Revisión y aprobación de las políticas de seguridad
Aseguramiento de los recursos para implementar y mantener políticas de seguridad
Verificación del cumplimiento
Política global de seguridad de la información
Herramienta para identificar y minimizar los riesgos de la información
Reducción de costos
Establecer una cultura de seguridad
Cumplimiento de las regulaciones vigentes
Apoyo de ISO 27001:2013
Políticas de estructura organizacional
Normas para Alta Gerencia y Secretaría General
Normas para Comité de Seguridad de Información
Normas para Alta Gerencia
Normas para Oficina de Riesgos
Normas para Oficina de Control Interno
Normas para Dirección de Tecnología
Normas para todos los usuarios
Política para uso de conexiones remotas
Oficina de riesgos y dirección de tecnología
Deben analizar y aprobar los métodos de conexión remota a la plataforma tecnológica.
Dirección de tecnología
Debe implantar los métodos y controles de seguridad para establecer conexiones remotas hacia la plataforma.
Debe restringir conexiones remotas a los recursos de la plataforma; sólamente se deben permitir accesos al personal autorizado en los tiempos establecidos y con las labores desempeñadas.
Debe verificar la efectividad de los controles aplicados sobre conexiones remotas a los recursos de la plataforma de manera permanente.
Oficina de control interno
Debe realizar auditoría sobre los controles implantados para las conexiones remotas a la plataforma.
Todos los usuarios
Deben contar con las aprobaciones requeridas para establecer conexión a los dispositivos de la plataforma.
Deben acatar las condiciones de uso establecidas para las conexiones.
Normas para uso de dispositivos móviles
Dirección de tecnología
Debe investigar y probar opciones de protección de los dispositivos que usen servicios provistos.
Debe establecer configuraciones aceptables para todos los dispositivos que hagan uso de los servicios provistos.
Debe establecer un método de bloqueo para dispositivos móviles que serán entregados a los usuarios.
Se deben configurar los mismos para que pasen automáticamente a suspensión y activación del bloqueo de la pantalla.
Debe configurar la opción de borrado remoto de información en los dispositivos móviles institucionales
eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no autorizada de información en caso de pérdida o hurto
Debe activar la opción de cifrado de la memoria de almacenamiento de los dispositivos móviles institucionales haciendo imposible la copia o extracción de datos si no se conoce el método de desbloqueo
Debe contar con una solución de copias de seguridad para la información contenida en los dispositivos móviles institucionales de ICETEX
Debe instalar un software de antivirus tanto en los dispositivos móviles institucionales
Debe activar los códigos de seguridad de la tarjeta SIM para los dispositivos móviles institucionales antes de asignarlos a los usuarios y almacenar estos códigos en un lugar seguro
Todos los usuarios
Evitar usar dispositivos en lugares inseguros.
No cambiar las configuraciones de seguridad de los dispositivos.
Deben evitar hacer uso de redes inalámbricas.
Deben evitar conectar los dispositivos a puertos USBs públicos.
No deben almacenar contenidos multimedia en los dispositivos.
Elaborado por:
Fernanda Arce
Frank Benavides
Andy Guerrero
Valeria Mata
Natalia Pereira
:red_flag:
Referencia:
ICETEX. (2014, octubre). Manual de Políticas de Seguridad de la Información. Recuperado de
https://portal.icetex.gov.co/Portal/docs/default-source/documentos-el-icetex/biblioteca/manuales-de-la-entidad/manual-de-pol%C3%ADticas-de-seguridad-de-la-informaci%C3%B3n.pdf?sfvrsn=2