Please enable JavaScript.
Coggle requires JavaScript to display documents.
Política de Seguridad de la Información (POLÍTICA DE DESARROLLO SEGURO,…
Política de Seguridad de la
Información
POLÍTICA DE DESARROLLO SEGURO, REALIZACIÓN DE PRUEBAS Y
SOPORTE DE LOS SISTEMAS
Se encarga de que el desarrollo de SI cumpla con:
Buenas prácticas para desarrollo seguro de apps
Metodologías de realización de pruebas de aceptación y seguridad del software
Requerimientos de seguridad esperados
Todo software desarrollado o adquirido cuente con el nivel de soporte requerido por el instituo
Normas
Dirigida a
dirección de TI
Deben implantar los controles necesarios para asegurarse que las migraciones entre ambientes han sido aprobadas,
Deben contar con sistema de control de versiones para administrar los cambios de los SI
Deben asegurarse que todos los SI adquiridos cuenten con un acuerdo de licenciamiento
Deben generar metodologías para la realización de pruebas al software que se desarrolla
Deben asegurarse que la plataforma tecnológica, las herramientas de desarrollo y los componentes de cada sistema de información estén actualizados
Debe incluir dentro del procedimiento de gestion de cambios el manejo de cambios de las aplicaciones y los SI del instituto
Dirigida a propietarios de SI
Encargados de realizar pruebas para asegurar el cumplimiento de los requisitos de seguridad establecidos antes del pase a producción. Debe ser documentado y realizado para cada enrega de funcionalidades nueva.
Aprobar migraciones entre los ambientes de desarrollo, pruebas y producción de sistemas o funcionalidades nuevas.
Dirigidas a: Desarrolladores internos y externos
Considerar las buenas prácticas y lineamientos del desarrollo seguro en todo el ciclo de vida deben ser independientes
Certificar el cierre de conexión de las BD desde las aplicaciones
Prevenir a revelención de la estructura de los directorio de sistemas de información
Desarrollar controles necesarios de transferencia de archivos,
Remover todas las funcionalidades y archivos no necesarios en la puesta de producción
Proporcionar un nivel adecuado de soporte para solución de problemas en los sistemas del instituto
Garantizar que no se divulgue información sensible en respuestas de error deben Implementar mensajes de error genéricos
Deben proteger el código fuente de las aplicaciones construidas, que no puedas modificarse ni descargarse por usuarios
Deben asegurar que no se permite que los aplicativos desarrolladosejecuten comandos directamente en el sistema operativo
Asegurarse que los SI construidos validen la información suministrada por el usuario antes de procesarla
Suministrar opciones de cierre de sesión de aplicativos que permitan terminar la conexión en todas las páginas con autenticación
Asegurar que los aplicativos proporcionen la mínima información de la sesión establecida, almacenada en cookies y complementos, entre otros.
Deben asegurar el manejo de operaciones críticas en los aplicativos con dispositivos adicionales como tokens.
Normas dirigidas a: OFICINA DE RIESGOS
Verificar que las pruebas de seguridad sobre los sistemas de información se realicen de acuerdo a las metodologías definidas.
Política de intercambio de información
Objetivos
Asegurar la protección de la información transferida a otras entidades
Establecer procedimientos y controles para el intercambio de información
Establecer acuerdos de confidencialidad y de intercambio de información
Propender el uso de tecnologías informáticas para el intercambio de información
Establecer directrices para el intercambio de información en medio físico
Normas de intercambio de información
Dirigidas a
Terceros con quienes se
intercambia información del ICETEX
Los terceros deben dar manejo adecuado a la información. Cumpliiendo con las políticas de seguridad de ICETEX
Deben destruir de manera la información suministrada una vez que cumpla la función. Se debe demostrar la realización de la destrucción
Dirección de Tecnología
Debe ofrecer servicios o herramientas de intercambio de información seguros, adoptar cifrados de información
, para proteger la información contra divulgación o modificaciones no autorizadas
Propietarios de los activos de información
Asegurar que los datos requeridos de los beneficiarios sólo sean entregados a terceros
Verificar que el intercambio de información con terceros deje registro del tipo de información
Velar que la información sea protegida de divulgación no autorizada
Autorizar los requerimientos de envío de información a terceros
Asegurar que el intercambio de información digital solamente se realice si se encuentra autorizada
Verificar la destrucción de la información suministrada a terceros
Oficina de riesgos
Definir y establecer el procedimiento de intercambio de información con los terceros
Velar el cumplimiento de las políticas de seguridad para el intercambio de información
Autorizar la transmisión de información con terceros
Coordinación de correspondencia
Acoger el procedimiento para el intercambio de información con terceros
Certificar que todo envío de información física a terceros utilice únicamente los servicios de transporte autorizados
Grupo de Contratación
Definir los modelos de acuerdos de confidencialidad e intercambio de la información entre el información entre el instituto y terceros
Establecer en los contratos con los terceros las responsabilidades y obligaciones legales asignadas a dichos terceros
Todos los usuarios
No deben utilizar el correo electrónico como medio para enviar o recibir información sensible del instituto o de sus beneficiarios
Políticas De Adquisición, Desarrollo Y Mantenimiento De Sistemas De Información
Política Para El Establecimiento De Requisitos De Seguridad
Normas para el establecimiento de requisitos de seguridad
Desarrolladores
Documentar los requerimientos establecidos y definir la arquitectura de software, de acuerdo con los requerimientos de seguridad y los controles deseados.
Deben certificar que todo sistema de información adquirido o desarrollado utilice herramientas de desarrollo licenciadas y reconocidas en el mercado.
Deben des habilitar las funcionalidades de completar automáticamente en formularios de solicitud de datos que requieran información sensible.
Deben establecer el tiempo de duración de las sesiones activas de
las aplicaciones, determinándolas una vez se cumpla este tiempo.
Deben asegurar que no se permitan conexiones recurrentes a los sistemas de información construidos con el mismo usuario.
Deben utilizar usar los protocolos sugeridos por la Dirección de
Tecnología y la Oficina de Riesgos en los aplicativos desarrollados.
Deben certificar la transmisión de información relacionada con pagos
o transacciones en línea a los operadores encargados, por medio de canales seguros.
Propietarios de los Sistemas de Información, Dirección de Tecnología y Oficina de Riesgos
Todos los sistemas de información deben tener un área
propietaria.
La Dirección de Tecnología debe establecer metodologías para el desarrollo de software
Deben establecer las especificaciones de adquisición o desarrollo de sistemas de información, considerando requerimientos de seguridad de la información.
Deben definir qué información sensible puede ser eliminada de sus sistemas y solicitar que estos soporten la eliminación de dicha información, como es el caso de los datos personales o financieros, cuando estos ya no son requeridos
debe liderar la definición de requerimientos de seguridad, teniendo la estandarizan de herramientas de desarrollo, controles de autentican, controles de acceso y arquitectura de aplicaciones
POLÍTICA PARA LA PROTECCIÓN DE LOS DATOS DE PRUEBA
Se encarga de proteger los datos de prueba entregados a los desarrolladores
asegurando la confidencialidad en ambientes de producción
Normas dirigidas a la dirección de tecnología para la protección de los datos de prueba
certificar que la información entregada por los desarrolladores será enmascarada y confidencial en ambientes de producción
Eliminar información de ambientes de prueba una vez concluido